KR101614809B1 - 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 - Google Patents
엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 Download PDFInfo
- Publication number
- KR101614809B1 KR101614809B1 KR1020140151310A KR20140151310A KR101614809B1 KR 101614809 B1 KR101614809 B1 KR 101614809B1 KR 1020140151310 A KR1020140151310 A KR 1020140151310A KR 20140151310 A KR20140151310 A KR 20140151310A KR 101614809 B1 KR101614809 B1 KR 101614809B1
- Authority
- KR
- South Korea
- Prior art keywords
- execution
- application program
- agent
- whitelist
- file
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 화이트리스트 기반의 응용프로그램 실행제어, 미리 지정된 레지스트리 보호, 주요 파일 변경 방지, 미리 지정된 매체제어, 프로세스 접근 역접속 IP/포트 통제 등의 기술이 악성코드의 침입으로부터 엔드포인트를 더욱 확실하게 보호할 수 있도록 한 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법에 관한 것으로, 응용프로그램 실행시 화이트리스트에 등록된 응용프로그램은 실행하되 화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일은 실행되지 못하도록 차단하는 단말 PC에 설치된 에이전트, 에이전트의 응용프로그램 실행 내역을 관리하고 에이전트의 요청에 따라 화이트리스트의 변경 관리를 수행하여 에이전트에 실행 제어 정책을 전송하며 에이전트의 응용프로그램 실행 이력 저장 관리 및 서버검증 운영 시 응용프로그램 실행 명령 또는 실행 중지 명령을 전송하는 이벤트 서버, 및 공지사항 및 정책 운영관리, 업무지원, 화이트리스트 등록, 응용프로그램 관리, 서비스 현황 분석, 시스템 운영 기능을 수행하며 이벤트 서버로 전송된 실행 검증 이력을 차트 및 통계 리포트로 제공하는 모니터링 콘솔을 포함한 것을 특징으로 한다.
Description
본 발명은 화이트리스트 기반의 응용프로그램 실행제어, 미리 지정된 레지스트리 보호, 중요 파일 변경 방지, 미리 지정된 매체제어, 프로세스 접근 역접속 IP/포트 통제 등의 기술이 악성코드의 침입으로부터 엔드포인트를 더욱 확실하게 보호할 수 있도록 한 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법에 관한 것이다.
기술의 발전에 따라 사이버 위협은 점진적으로 증대되고 있으며, 진화하는 악성코드에 의한 보안사고의 피해도 커지고 있다. 엔드포인트(Endpoint 이하, 단말 PC)를 대상으로 기존 전통적인 네트워크 보안과 시그니처 기반의 백신과 같은 정보 보호 관리체계를 회피한 은밀한 악성코드 유포 공격을 통해 국가기관, 금융기관, 쇼핑몰, 통신사가 보유한 대규모 개인정보 유출 및 보유 시스템 파괴로 대규모의 피해를 발생시키고 있다.
사이버 공격의 증대에 따라, 이에 대응하기 위한 보안 정책의 방향도 변화되고 있다. 특히, 기존의 네트워크 보안과 시그니처 기반 정보보호시스템의 보완 및 투자의 방향에서 사이버 공격의 대상인 단말 PC에 대한 인증, 접근통제, 무결성, 기밀성, 감사기록, 가용성과 같은 정보 보호 기능 및 목표를 제공하는 컴퓨터 보안 강화 방향으로 바뀌고 있다.
APT 공격의 진화와 사회공학적 기법을 활용한 스피어 피싱 등의 방법으로 단말 PC에 설치된 악성코드에서 개인정보 유출 및 보유 시스템 파괴가 시작되므로, 인가된 응용프로그램 실행 여부, 인가된 응용프로그램의 악의적인 위/변조 여부, 운영체제의 중요 파일에 대한 악의적인 변경 여부를 식별하고 차단하는 기술이 필요하다.
알려지지 않은 악성코드를 식별하고 차단하기 위해서는 응용 프로그램을 구성하는 실행파일의 해시 정보를 기반으로 무결성 검증, 파일의 속성정보 및 경로 정보, 파일의 전자서명 검증과 같은 정적 정보 분석과 응용 프로그램 실행 이후 비정상적 프로세스 실행 흐름을 탐지하기 위한 동적 정보 분석을 복합적으로 사용한 분석 및 탐지 기술이 필요하다.
그러나 현재 적용되고 있는 정보보호시스템들은 최근의 단말 PC를 대상으로 한 악성코트 대응에 한계를 보이고 있다. 즉, 이미 확보된 시그니처 또는 이전에 분석된 정보를 기반으로 대응하고 있기 때문에 시그니처가 알려지지 않은 악성코드, 운영체제 및 응용프로그램의 취약점을 기반으로 한 익스플로잇 공격뿐만 아니라, 기존 악성코드의 변경만으로도 탐지 및 식별에 한계를 지니고 있다. 이에, 주요정보를 생산 및 가공하는 업무 PC를 대상으로 해시 정보 기준의 무결성 검증, 파일의 속성 및 전자서명 등의 정적정보 분석과 프로그램 실행 이후의 실행 흐름 추적의 동적 정보를 복합적으로 분석하고 탐지할 수 있는 기술이 적용된 정보 보호 시스템이 절실히 요구되고 있다.
본 발명은 상기와 같은 문제를 해결하고 그 요구를 만족시키기 위한 것으로, 무결성을 검증하는 화이트리스트 기반의 응용프로그램 실행제어, 하드웨어 통제의 미리 지정된 매체제어, 프로세스의 실행 흐름 추적을 위한 미리 지정된 레지스트리 보호, 중요 파일 변경 방지, 및 프로세스 접근 역접속 IP/포트 통제의 기술을 복합적으로 적용하여, 악성코드의 침입과 운영체제 및 응용프로그램 취약점을 기반으로 한 익스플로잇 공격으로부터 단말 PC를 더욱 확실하게 보호할 수 있도록 한 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법을 제공하는데 그 목적이 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 실시 예에 따른 엔드포인트 응용프로그램 실행 제어 시스템은 응용프로그램 실행시 화이트리스트에 등록된 응용프로그램은 실행하되 화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일은 실행되지 못하도록 차단하는 단말 PC에 설치된 에이전트, 에이전트의 응용프로그램 실행 내역을 관리하고 에이전트의 요청에 따라 화이트리스트의 변경 관리를 수행하여 에이전트에 실행 제어 정책을 전송하며 에이전트의 응용프로그램 실행 이력 저장 관리 및 서버검증 운영시 응용프로그램 실행 명령 또는 실행 중지 명령을 전송하는 이벤트 서버, 및 공지사항 및 정책 운영관리, 업무지원, 화이트리스트 등록, 응용프로그램 관리, 서비스 현황 분석, 시스템 운영 기능을 수행하며 이벤트 서버로 전송된 실행 검증 이력을 차트 및 통계 리포트로 제공하는 모니터링 콘솔을 포함한 것을 특징으로 한다.
단말 PC에 설치된 에이전트는 화이트리스트의 실행파일 해시 정보, 파일 속성 정보, 전자서명 정보 중 적어도 하나의 정보를 응용프로그램 실행 이전에 허용된 매체의 실행 여부, 해시 정보, 파일 속성 정보, 전자서명 정보 중 적어도 하나의 정보와 비교하여 비인가 프로그램 및 미식별 실행파일은 실행되지 못하도록 차단하는 것을 특징으로 한다.
단말 PC에 설치된 에이전트는 응용프로그램 실행 이후, 응용프로그램의 프로세스가 미리 지정된 레지스트리 변경, 중요 파일 변경 방지, 프로세스 접근 역접속 IP/포트 통제의 실행 제어 정책에 위배된 실행 흐름을 수행하는 프로세스를 종료시키는 응용프로그램 실행 이후 프로세스 실행 흐름에 따른 검증을 수행한다.
또한, 상기와 같은 목적을 달성하기 위한 본 발명의 실시 예에 따른 엔드포인트 응용프로그램 실행 제어 방법은 단말 PC에 설치된 에이전트를 통해 응용프로그램 실행시 화이트리스트에 등록된 응용프로그램은 실행하되 화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일은 실행되지 못하도록 차단하는 단계, 이벤트 서버를 통해 에이전트의 응용프로그램 실행 내역을 관리하고 에이전트의 요청에 따라 화이트리스트의 변경 관리를 수행하여 상기 에이전트에 실행 제어 정책을 전송하며 상기 에이전트의 응용프로그램 실행 이력 저장 관리 및 서버검증 운영 시 응용프로그램 실행 명령 또는 실행 중지 명령을 전송하는 단계, 및 모니터링 콘솔을 통해 공지사항 및 정책 운영관리, 업무지원, 화이트리스트 등록, 응용프로그램 관리, 서비스 현황 분석, 시스템 운영 기능을 수행하며 이벤트 서버로 전송된 실행 검증 이력을 차트 및 통계 리포트로 제공하는 단계를 포함한 것을 특징으로 한다.
화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일은 실행되지 못하도록 차단하는 단계에서는 단말 PC에 설치된 에이전트를 통해 화이트리스트의 실행파일 해시 정보, 파일 속성 정보, 전자서명 정보 중 적어도 하나의 정보를 응용프로그램 실행 이전 허용된 매체 실행 여부 및 해시 정보, 파일 속성 정보, 전자서명 정보 중 적어도 하나의 추출 정보를 비교하여 비인가 프로그램 및 미식별 실행 파일은 실행되지 못하도록 차단하는 것을 특징으로 한다.
상기와 같은 다양한 기술 특징을 갖는 본 발명의 실시 예에 따른 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법은 화이트리스트 기반의 응용프로그램 실행제어, 미리 지정된 레지스트리 보호, 중요 파일 변경 방지, 미리 지정된 매체제어, 프로세스 역접속 IP/포트 통제의 기술을 통해 협의적으로는 비인가 응용프로그램 실행 방지, 해킹 침투 시 명령제어 서버 접속 차단, 악의적 레지스트리 편집차단, 중요파일 위변조 방지 및 이동식디스크의 우회접근 차단을 통해 악성코드 자체보다는 악성코드 행위를 통제하는 기반을 형성하여, 알려지지 않은 악성코드로 공격이 이루어지는 제로데이 공격, 운영체제 및 응용프로그램의 취약점을 기반으로 한 익스플로잇 공격으로부터 엔드포인트를 더욱 확실하게 보호할 수 있게 되었다.
특히, 실행 전 응용프로그램 무결성 검증과 실행 후 응용프로그램 실행 흐름 통제를 복합적으로 사용하여 알려진 악성코드 시그니처 정보에 의존한 기존 정보 보호 시스템과는 달리 알려지지 않은 악성코드를 원천 차단할 수 있게 되었다.
도 1은 본 발명의 실시 예에 따른 엔드포인트 응용프로그램의 실행 제어 시스템 개념을 설명하기 위한 도면.
도 2는 도 1의 엔드포인트 응용프로그램의 실행 제어 시스템 구성을 나타낸 도면.
도 3은 엔드포인트 응용프로그램 실행 제어 순서를 나타낸 도면.
도 4는 도 3의 미리 지정된 매체제어 및 화이트리스트 기반의 무결성 검증 과정을 나타낸 도면.
도 5는 도 3의 실행제어 정책기반의 프로세스 행위기반 검증에 의한 응용프로그램 실행 흐름 통제 과정을 나타낸 도면.
도 2는 도 1의 엔드포인트 응용프로그램의 실행 제어 시스템 구성을 나타낸 도면.
도 3은 엔드포인트 응용프로그램 실행 제어 순서를 나타낸 도면.
도 4는 도 3의 미리 지정된 매체제어 및 화이트리스트 기반의 무결성 검증 과정을 나타낸 도면.
도 5는 도 3의 실행제어 정책기반의 프로세스 행위기반 검증에 의한 응용프로그램 실행 흐름 통제 과정을 나타낸 도면.
이하, 상기와 같은 특징을 갖는 본 발명의 실시 예에 따른 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법을 첨부된 도면을 참조하여 더욱 상세히 설명하면 다음과 같다.
도 1은 본 발명의 실시 예에 따른 엔드포인트 응용프로그램의 실행 제어 시스템 개념을 설명하기 위한 도면이다. 그리고, 도 2는 도 1의 엔드포인트 응용프로그램의 실행 제어 시스템 구성을 나타낸 도면이다.
도 1 및 도 2의 엔드포인트 응용프로그램의 실행 제어 시스템은 응용프로그램 실행시 화이트리스트에 등록된 응용프로그램은 실행하되 화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일은 실행되지 못하도록 차단하는 단말 PC에 설치된 에이전트, 에이전트의 응용프로그램 실행 내역을 관리하고 에이전트의 요청에 따라 화이트리스트의 변경 관리를 수행하여 에이전트에 실행 제어 정책을 전송하며 에이전트의 응용프로그램 실행 이력 저장 관리 및 서버검증 운영 시 응용프로그램 실행 명령 또는 실행 중지 명령을 전송하는 이벤트 서버, 및 공지사항 및 정책 운영관리, 업무지원, 화이트리스트 등록, 응용프로그램 관리, 서비스 현황 분석, 시스템 운영 기능을 수행하며 이벤트 서버로 전송된 실행 검증 이력을 차트 및 통계 리포트로 제공하는 모니터링 콘솔을 포함한다.
단말 PC에 설치된 에이전트는 응용프로그램 실행 이전의 화이트리스트 기반 무결성 검증 및 정적정보 분석에 의한 검증 과정을 수행한다. 구체적으로, 단말 PC에 설치된 에이전트는 운영체제에서 응용프로그램 실행요청 이벤트가 발생하면 실행 제어 정책에 허용된 매체에서 화이트리스트에 등록된 실행 파일은 실행하고, 허용되지 않은 매체에서의 응용프로그램 실행과 화이트리스트에 미등록된 비인가 프로그램, 미식별 응용프로그램 및 미식별 실행파일은 실행되지 못하도록 차단한다. 이때, 에이전트는 응용프로그램 실행에 따른 이력을 이벤트 서버로 전송하며, 이벤트 서버에서는 해당 이력의 분석을 통해 화이트리스트 및 실행 제어 정책의 변경 관리를 수행한다.
단말 PC에 설치된 에이전트는 응용프로그램 실행 이후, 실행 제어 정책에 따른 프로세스 실행 흐름 검증한다. 구체적으로, 응용프로그램 실행 이후에 에이전트는 프로세스가 지정된 레지스트리 변경 여부, 중요 파일 변경 여부, 제한된 역접속 IP/포트로 접속시도를 탐지하여 실행 제어 정책에 위배된 경우로 판단되면 그 실행을 차단한다. 그리고, 화이트리스트 기반의 응용프로그램 실행제어, 응용프로그램에 종속된 파일 해시 및 속성, 전자서명 유효성 여부, 정책에 따라 프로세스가 미리 지정된 레지스트리 보호, 역접속 탐지 통제, 중요 파일 보호, 미리 지정된 매체제어, 프로세스 역접속 IP/포트 통제의 기능 외에, 에이전트 고유기능으로 에이전트 자체 보호, 이벤트 서버와 실행 제어 정책 및 로그 동기화 처리를 수행한다.
이벤트 서버는 에이전트로부터 전송된 응용프로그램 실행 및 실행차단 내역을 전송받아 이력으로 관리한다. 그리고 각 에이전트로부터 요청된 화이트리스트 등록요청에 대해 정상적으로 인가된 응용프로그램 여부를 판단하여 화이트리스트 변경관리를 수행하여 에이전트에 실행 제어 정책을 전송한다.
특히, 이벤트 서버는 에이전트의 요청 또는 버전 체크 결과에 따라 실행 제어 정책 이벤트들을 생성 및 저장하고, 에이전트와 마찬가지로 이벤트 서버에서도 에이전트로부터 전송된 응용프로그램 실행 이력을 검증하여 그 판단 결과에 따라 실행 명령 또는 실행 중지 명령을 에이전트로 전송한다. 이때, 이벤트 서버 고유기능으로 에이전트의 이벤트 로그 실시간 처리 및 적재, 이벤트 분석을 통한 평판 관리, 에이전트의 업데이트 처리, 에이전트와 정책파일 동기화 처리를 수행한다.
모니터링 콘솔은 공지사항 등의 업무지원, 화이트리스트 등록 응용프로그램 관리, 정책운영, 서비스현황분석, 시스템운영 기능 등을 수행한다. 그리고, 모니터링을 통한 식별 추적으로 현황 및 추이를 다양한 차트 및 통계리포트로 제공하며, 정책 생성 및 등록, 에이전트 업데이트 모듈 등록, 장애 관리, 응용 프로그램 사용빈도, 다양한 로그 정보 리포트 제공 및 사용자 이력 조회 등을 수행한다. 아울러, 모니터링 콘솔을 통해 관리자는 보호대상 레지스트리 지정, 중요 파일 지정, 매체제어 대상 지정, 통제대상 프로세스 역접속 지정을 통해 이벤트 서버에서 실행제어 정책으로 에이전트로 배포한다.
도 3은 엔드포인트 응용프로그램 실행 제어 순서를 나타낸 도면이다.
도 3에 도시된 바와 같이, 엔드포인트 응용프로그램 실행 제어 순서는 단말 PC에 설치된 에이전트에서 운영체제로부터 응용프로그램 실행 이벤트를 감지하여, 감지된 실행 이벤트의 경로가 허용된 매체에서 실행되는지를 우선적으로 식별한다. 그리고 허용된 매체에서 실행 시 실행파일 해시 값, 파일 속성 및 경로정보를 기초로 화이트리스트 기반의 응용프로그램 실행제어를 통해 응용프로그램의 무결성 검증을 수행한다.
응용프로그램 실행 이후 실행 제어 정책에 미리 지정된 레지스트리 보호, 중요 파일 변경 방지, 프로세스 역접속 IP/포트 통제를 실행 제어 정책에 기반하여 프로세스 행위기반 검증을 수행한다.
도 4는 미리 지정된 매체제어 및 화이트리스트 기반의 무결성 검증 과정을 나타낸 도면이다.
도 4에 도시된 바와 같이, 정책적으로 미리 지정된 매체제어 시에는 단말 PC에서 외부 저장장치를 사용하기 위한 프로세스(보안 USB)에 대한 우회 접근 시도 또는 비인가된 프로세스의 접근 시도를 차단한다.
이에, 단말 PC에 무단으로 사용된 USB와 이동 저장장치의 매체 차단, 보안 USB를 우회하기 위한 방법 중 외장 디스크를 다른 드라이브 폴더로 탑재 시 실행되는 프로세스를 분석하여 통제할 수 있다.
화이트리스트 기반의 단말 PC 프로그램 실행제어 절차를 살펴보면, PE(Portable Executable) 정보로 실행파일 여부를 확인하며, 파일 해시, 파일 속성, 전자서명 정보를 통한 유효성 검증 및 비허용 프로그램 차단한다. 또한, 알려진 악성코드 및 APT(Advanced Persistent Threats, 지능형지속위협)에 사용되는 악성 코드를 차단하여, 역접속을 통한 해킹 및 악성 코드의 확산을 방지한다. 그리고, 이벤트 서버로부터 전송받은 화이트리스트 파일을 DB로 저장하고, 응용 프로그램 검증 후 검증결과 로그 기록 및 이벤트 서버로 실행 이력과 검증 결과를 전송한다.
특히, 응용프로그램 실행 과정에서는 실행파일 전체 해시 추출, 파일 속성정보 추출 및 전자서명 정보 검증으로 기존 기술 대비 무결성 검증을 강화하고 응용프로그램에 대한 통제기능을 수행한다. 아울러, 운영체제로부터 응용프로그램 실행 이벤트 감지를 통한 실행파일의 실행 이전 검증시 PE(Portable Executable)정보, 해시 정보, 속성정보, 경로정보, 프로세스정보 등 다양한 정보를 통한 분석으로 위변조 식별 및 분석을 강화시킬 수 있다.
도 5는 실행 제어 정책기반의 프로세스 행위기반 검증에 의한 응용프로그램 실행 흐름 통제 과정을 나타낸 도면이다.
도 5에 도시된 바와 같이, 악의적 레지스트리 편집 차단을 위한 지정된 레지스트리 보호 과정에서는 악성코드에 의한 시작프로그램 등록, 운영체제 재시작 등의 악의적 행위를 차단하는 지정된 레지스트리 보호를 통해 트로이 목마, 웜, 루트킷 해킹에 의한 레지스트리 변조를 방지한다. 특히, 미리 지정된 레지스트리 보호 과정에서는 비인가 응용프로그램에 의한 시스템 자동시작 레지스트리 등록을 방지하며, 악성코드에 의한 윈도우 재시작 및 작업관리자의 무력화를 방지한다. 또한, 악성코드에 의한 레지스트리 변조 시도를 차단하고, 레지스트리 백업 및 복구 기능을 수행한다.
프로세스 실행 후, 정책 기반의 지정된 레지스트리 변조 방지 과정에서 지정된 레지스트리 보호를 하나의 옵션 기능으로서 제공하고, 중요한 레지스트리 키 값을 정책에 등록하여 레지스트리 키 변경 모니터링 및 단말 PC와 실행 제어 정책에 포함하여 동기화 처리한다. 아울러, 중요한 레지스트리 키 값을 정책에 등록하여, 레지스트리 키 변경 모니터링 및 단말 PC와 실행 제어 정책에 포함하여 동기화 처리할 수 있으며, 키 값에 대한 보호뿐만 아니라 키 값의 변조를 유발한 원인의 식별 및 추적으로 근원적 원인 탐지 및 제거한다. 또한, 레지스트리의 시작 프로그램 등록 및 보안 프로그램에 대한 키 변조를 방지하고, 레지스트리 변조를 시도하는 프로세스를 강제로 종료시키고, 해당 프로세스에 대한 정보를 사용자가 식별, 관리자가 분석하여 조치토록 일련의 프로세스화가 가능하다.
디스크 I/O 체크를 통한 중요 파일 보호로 트로이목마, 웜, 루트킷 해킹과 같은 악성코드에 의한 운영체제 주요 시스템 파일의 위변조를 차단할 수 있다. 특히, 위변조시 악의적 행위를 유발하는 윈도우 운영체제의 주요 파일에 대한 디스크 I/O체크로 변경 여부를 감지하여, 시스템 파일에 악의적 위변조 시도를 차단한다.
기존 기술 대비 본 발명에서는 윈도우 운영체제의 주요 파일에 대한 디스크 I/O 체크를 통해 생성, 변경, 삭제 시도에 대해서 감지하여 어떠한 프로세스로부터 변조가 유발되었는지 원인의 식별 및 추적으로 근원적 원인을 제거할 수 있다. 또한, 단말 PC의 기관 고유 업무 프로그램의 로컬파일 DB와 중요 업무 프로그램에 사용되는 환경설정 파일을 보호할 수 있다.
프로세스 역접속 IP/포트 통제 기술은 블랙리스트에 의한 비정상적인 외부 접속 시도를 식별하여, 해당 프로세스를 강제 종료하여 악성코드를 통한 외부 정보유출 및 명령제어 서버와의 접속을 차단하여 목적달성을 불가능하게 한다.
정책적으로 미리 지정된 매체 제어시에는 단말 PC에서 외부 저장장치를 사용하기 위한 프로세스(보안 USB)에 대한 우회 접근 시도 또는 비인가된 프로세스의 접근 시도를 차단한다. 특히, 사용자 PC에 무단으로 사용된 USB와 이동 저장장치의 매체 차단, 보안 USB를 우회하기 위한 방법 중 외장 디스크를 다른 드라이브 폴더로 탑재시 실행되는 프로세스를 분석하여 통제한다.
기존 기술은 프로세스의 실행 패킷을 분석하고 차단하여, 외부 정보유출은 차단 가능하나, PC 파괴에는 한계가 있었다. 하지만, 본 발명에서는 블랙리스트에 의한 비정상적인 외부 접속 시도를 식별하여, 해당 프로세스를 강제 종료하고 블랙 리스트로 지정된 역접속을 시도하는 프로세스 식별로 악성코드 감염 파일을 추적한다.
본 발명의 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법은 화이트리스트 기반의 응용프로그램 실행제어, 미리 지정된 레지스트리 보호, 중요 파일 변경 방지, 미리 지정된 매체제어, 프로세스 역접속 IP/포트 통제의 기술을 통해 협의적으로는 비인가 응용프로그램 실행 방지, 해킹 침투 시 명령제어 서버 접속 차단, 악의적 레지스트리 편집 차단, 중요파일 위변조 방지 및 이동식디스크의 우회접근 차단을 통해 악성코드 자체보다는 악성코드 행위를 통제하는 기반을 형성한다. 아울러, 알려지지 않은 악성코드로 공격이 이루어지는 제로데이 공격, 운영체제 및 응용프로그램의 취약점을 기반으로 한 익스플로잇 공격으로부터 엔드포인트를 더욱 확실하게 보호한다.
특히, 실행 전 응용프로그램 무결성 검증과 실행 후 응용프로그램 실행 흐름 통제를 복합적으로 사용하여 알려진 악성코드 시그니처 정보에 의존한 기존 정보 보호 시스템과는 달리 알려지지 않은 악성코드를 원천 차단할 수 있게 된다.
이상에서 설명한 본 발명은 상술한 실시 예 및 첨부된 도면에 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 종래의 지식을 가진 자에게 있어 명백할 것이다.
Claims (16)
- 응용프로그램 실행시 화이트리스트에 등록된 응용프로그램은 실행하되 상기 화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일은 실행되지 못하도록 차단하는 단말 PC에 설치된 에이전트;
상기 에이전트의 응용프로그램 실행 내역을 관리하고 상기 에이전트의 요청에 따라 상기 화이트리스트의 변경 관리를 수행하여 상기 에이전트에 실행 제어 정책을 전송하며 상기 에이전트의 응용프로그램 실행 이력 저장 관리 및 서버검증 운영 시 상기 응용프로그램 실행 명령 또는 실행 중지 명령을 전송하는 이벤트 서버; 및
공지사항 및 정책 운영관리, 업무지원, 상기 화이트리스트 등록, 상기 응용프로그램 관리, 서비스 현황 분석, 시스템 운영 기능 중 적어도 하나의 기능을 수행함으로써 실행 제어 이력을 차트 및 통계 리포트로 상기 이벤트 서버에 제공하는 모니터링 콘솔을 포함하며,
상기 에이전트는
실행 제어정책을 통한 엔드포인트 응용프로그램 실행 제어를 위해, 프로그램 실행에 따른 이력을 상기 이벤트 서버로 전송하고 비인가 응용프로그램 및 악성코드로 위변조된 실행파일에 대해 탐지 및 실행 차단 기능을 수행함과 아울러,
무결성 검증을 수행하여 비인가 프로그램 및 미식별 실행 파일은 차단하고 무결성이 검증된 응용프로그램을 실행하는 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 시스템. - 삭제
- 제 1 항에 있어서,
상기 에이전트는
상기 화이트리스트에 의한 무결성 검증시 응용프로그램에 종속된 실행파일 해시, 파일 속성정보, 전자 서명 유효성 여부를 미리 등록된 상기 화이트 리스트와 비교하여 무결성 검증을 수행하는 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 시스템. - 제 1 항에 있어서,
상기 에이전트는
악의적 레지스트리 편집 차단을 위한 미리 지정된 레지스트리 보호를 위해, 악성코드에 의한 시작프로그램 등록, 운영체제 재시작 레지스트리 등록을 방지하며, 윈도우 재시작 및 작업관리자의 무력화를 방지하고, 레지스트리 변조 시도를 유발하는 프로세스를 중지하고, 레지스트리 백업 및 복구 기능을 수행하는 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 시스템. - 제 1 항에 있어서,
상기 에이전트는
중요 파일 변경방지를 위해, 디스크 I/O 체크를 통한 주요 파일 보호로 트로이목마, 웜, 루트킷 해킹을 포함한 악성코드에 의한 운영체제 및 주요 시스템 파일의 위변조를 차단하고,
악의적 행위를 유발하는 악성코드에 의해 중요 파일에 대한 변경 여부를 감지하며, 시스템 파일에 악의적 위변조 시도를 차단하는 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 시스템. - 제 1 항에 있어서,
상기 에이전트는
미리 지정된 매체 제어를 위해, 운영체제에 대한 악의적인 하드웨어(USB 또는 이동 저장장치) 접근 시도를 차단하고,
단말 PC에서 외부 저장장치를 사용하기 위한 프로세스(보안 USB)에 대한 우회 접근 시도 또는 비인가된 프로세스의 접근 시도를 차단하여 사용자 PC에 무단으로 사용된 USB 및 이동저장장치의 매체 차단 보안 USB를 우회하기 위한 방법 중 외장 디스크를 다른 드라이브 폴더로 탑재 시 실행되는 프로세스를 분석하여 통제하는 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 시스템. - 제 1 항에 있어서,
상기 에이전트는
프로세스 역접속 IP/포트를 식별하여, 악성코드 및 시스템/응용프로그램의 취약점을 기반으로 익스플로잇 공격을 통해 비정상적 외부 접속을 시도하는 프로세스를 분석하여 통제하는 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 시스템. - 제 1 항에 있어서,
상기 이벤트 서버는
상기 에이전트의 응용프로그램 실행 이력 분석을 통해 상기 화이트리스트 및 실행 제어 정책의 변경 관리를 수행하며,
상기 에이전트의 이벤트 로그 실시간 처리 및 적재, 이벤트 분석을 통한 평판 관리, 에이전트의 업데이트 처리, 에이전트와 정책파일 동기화 처리를 수행하는 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 시스템. - 제 1 항에 있어서,
상기 모니터링 콘솔은
실행 제어 정책 생성 및 등록, 에이전트 업데이트 모듈 등록, 장애 관리, 응용 프로그램 사용빈도, 다양한 로그 정보 리포트 제공 및 사용자 이력 조회 동작을 수행하는 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 시스템. - 단말 PC에 설치된 에이전트를 통해 응용프로그램 실행시 화이트리스트에 등록된 응용프로그램은 실행하되 상기 화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일은 실행되지 못하도록 차단하는 단계;
이벤트 서버를 통해 상기 에이전트의 응용프로그램 실행 내역을 관리하고 상기 에이전트의 요청에 따라 상기 화이트리스트의 변경 관리를 수행하여 상기 에이전트에 실행 제어 정책을 전송하며 상기 에이전트의 응용프로그램 실행 이력 저장 관리 및 서버검증 운영 시 상기 응용프로그램 실행 명령 또는 실행 중지 명령을 전송하는 단계; 및
모니터링 콘솔을 통해 공지사항 및 정책 운영관리, 업무지원, 상기 화이트리스트 등록, 상기 응용프로그램 관리, 서비스 현황 분석, 시스템 운영 기능 중 적어도 하나의 기능을 수행하며 상기 이벤트 서버로 전송된 실행 검증 이력을 차트 및 통계 리포트로 제공하는 단계를 포함하며,
상기 화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일 실행 차단 단계는
응용프로그램 실행 이전 화이트리스트 기반의 엔드포인트 응용프로그램 실행 제어를 위해 비인가 응용프로그램 및 미식별 실행파일은 차단하고 무결성이 검증된 응용프로그램만을 실행시키는 단계, 및
무결성 검증을 수행하여 비인가 응용프로그램 및 미식별 실행파일은 차단하고 무결성이 검증된 정상적인 응용프로그램은 실행시키는 단계를 포함한 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 방법. - 삭제
- 제 10 항에 있어서,
상기 화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일 실행 차단 단계는
상기 화이트리스트에 의한 무결성 검증시 응용프로그램에 종속된 파일 해시 및 속성, 디지털 인증서 유효성 여부, 정책에 따라 프로세스가 지정된 레지스트리 보호, 역접속 탐지 통제, 주요 파일 보호, 지정된 매체제어를 수행하며, 제품 고유기능으로 에이전트의 보호, 이벤트 서버와 동기화 처리를 수행하는 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 방법. - 제 10 항에 있어서,
상기 화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일 실행 차단 단계는
악의적 레지스트리 편집 차단을 위한 미리 지정된 레지스트리 보호를 위해, 악성코드에 의한 시작프로그램 등록, 운영체제 재시작 레지스트리 등록을 방지하며,
상기 이벤트 서버의 비인가 응용 프로그램에 의한 시스템 자동시작 레지스트리 등록을 방지하며, 악성코드에 의한 윈도우 재시작 및 작업관리자의 무력화를 방지하고, 상기 악성코드에 의한 레지스트리 변조 시도 차단하고, 레지스트리 백업 및 복구 기능을 수행하는 단계를 포함한 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 방법. - 제 10 항에 있어서,
상기 화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일 실행 차단 단계는
주요 파일 변경방지를 위해, 디스크 I/O 체크를 통한 주요 파일 보호로 트로이목마, 웜, 루트킷 해킹을 포함한 악성코드에 의한 운영체제 및 주요 시스템 파일의 위변조를 차단하고,
악의적 행위를 유발하는 윈도우 운영체제의 주요 파일에 대한 디스크 I/O체크로 변경 여부를 감지하고, 필터 드라이버를 통해 추출된 정보를 기반으로 시스템 파일에 악의적 위변조 시도를 차단하는 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 방법. - 제 10 항에 있어서,
상기 화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일 실행 차단 단계는
단말 PC에서 외부 저장장치를 사용하기 위한 프로세스(보안 USB)에 대한 우회 접근 시도 또는 비인가된 프로세스의 접근 시도를 차단하여 사용자 PC에 무단으로 사용된 USB 및 이동저장장치의 매체 차단 보안 USB를 우회하기 위한 방법 중 외장 디스크를 다른 드라이브 폴더로 탑재 시 실행되는 프로세스를 분석하여 통제하는 것을 특징으로 하는 엔드포인트 응용프로그램 실행 제어 방법. - 제 10 항에 있어서,
상기 화이트리스트에 미등록된 비인가 프로그램 및 미식별 실행파일 실행 차단 단계는
프로세스 역접속 IP/포트 식별하여, 악성코드 및 시스템/응용프로그램의 취약점을 기반으로 익스플로잇 공격을 통해 비정상적 외부 접속을 시도하는 프로세스를 분석하여 통제하는 것을 특징으로 하는 엔드포인트 프로그램 실행 제어 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140151310A KR101614809B1 (ko) | 2014-11-03 | 2014-11-03 | 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140151310A KR101614809B1 (ko) | 2014-11-03 | 2014-11-03 | 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101614809B1 true KR101614809B1 (ko) | 2016-04-22 |
Family
ID=55918494
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140151310A KR101614809B1 (ko) | 2014-11-03 | 2014-11-03 | 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101614809B1 (ko) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018182126A1 (ko) * | 2017-03-29 | 2018-10-04 | 최승환 | 안전 소프트웨어 인증 시스템 및 방법 |
KR101983997B1 (ko) * | 2018-01-23 | 2019-05-30 | 충남대학교산학협력단 | 악성코드 검출시스템 및 검출방법 |
US10540509B2 (en) | 2017-06-08 | 2020-01-21 | Cisco Technology, Inc. | File-type whitelisting |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101414084B1 (ko) | 2013-03-28 | 2014-07-04 | 한신대학교 산학협력단 | 모바일 단말의 악성 어플리케이션 탐지 시스템 및 방법 |
-
2014
- 2014-11-03 KR KR1020140151310A patent/KR101614809B1/ko not_active IP Right Cessation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101414084B1 (ko) | 2013-03-28 | 2014-07-04 | 한신대학교 산학협력단 | 모바일 단말의 악성 어플리케이션 탐지 시스템 및 방법 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018182126A1 (ko) * | 2017-03-29 | 2018-10-04 | 최승환 | 안전 소프트웨어 인증 시스템 및 방법 |
US11086983B2 (en) | 2017-03-29 | 2021-08-10 | Seung Hwan Choi | System and method for authenticating safe software |
US10540509B2 (en) | 2017-06-08 | 2020-01-21 | Cisco Technology, Inc. | File-type whitelisting |
KR101983997B1 (ko) * | 2018-01-23 | 2019-05-30 | 충남대학교산학협력단 | 악성코드 검출시스템 및 검출방법 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10264104B2 (en) | Systems and methods for malicious code detection accuracy assurance | |
CN109766699B (zh) | 操作行为的拦截方法及装置、存储介质、电子装置 | |
US10893068B1 (en) | Ransomware file modification prevention technique | |
US20180375826A1 (en) | Active network backup device | |
EP2951955B1 (en) | Method and system for protecting web applications against web attacks | |
US20060026683A1 (en) | Intrusion protection system and method | |
KR101744631B1 (ko) | 네트워크 보안 시스템 및 보안 방법 | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
CN110233817B (zh) | 一种基于云计算的容器安全系统 | |
JP6134395B2 (ja) | アプリケーション制御のためのリスクベースの規則のシステム及び方法 | |
KR102079304B1 (ko) | 화이트리스트 기반 악성코드 차단 장치 및 방법 | |
US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
WO2021046811A1 (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
KR101614809B1 (ko) | 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 | |
CN113239349B (zh) | 一种电力监控系统网络安全测试方法 | |
JP2019075131A (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 | |
TWI711939B (zh) | 用於惡意程式碼檢測之系統及方法 | |
CN114205166A (zh) | 病毒防护系统 | |
Powers et al. | Whitelist malware defense for embedded control system devices | |
KR20100067383A (ko) | 서버 보안 시스템 및 서버 보안 방법 | |
Kim et al. | A Study on the Security Requirements Analysis to build a Zero Trust-based Remote Work Environment | |
US20200401712A1 (en) | Command line interface replacement for security purposes | |
Tupakula et al. | Trust enhanced security architecture for detecting insider threats | |
Washington | Software Supply Chain Attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
N231 | Notification of change of applicant | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |