KR101772439B1 - 파일보호시스템 및 파일 보호 방법 - Google Patents

파일보호시스템 및 파일 보호 방법 Download PDF

Info

Publication number
KR101772439B1
KR101772439B1 KR1020160008154A KR20160008154A KR101772439B1 KR 101772439 B1 KR101772439 B1 KR 101772439B1 KR 1020160008154 A KR1020160008154 A KR 1020160008154A KR 20160008154 A KR20160008154 A KR 20160008154A KR 101772439 B1 KR101772439 B1 KR 101772439B1
Authority
KR
South Korea
Prior art keywords
file
action
backup
protection target
target file
Prior art date
Application number
KR1020160008154A
Other languages
English (en)
Other versions
KR20170088160A (ko
Inventor
황규범
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020160008154A priority Critical patent/KR101772439B1/ko
Publication of KR20170088160A publication Critical patent/KR20170088160A/ko
Application granted granted Critical
Publication of KR101772439B1 publication Critical patent/KR101772439B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1435Saving, restoring, recovering or retrying at system level using file system or storage system metadata
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • Library & Information Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은, 파일보호시스템 및 파일 보호 방법이 개시되어 있다. 본 발명의 실시예들은 랜섬웨어와 같이 정보(파일)를 임의로 변조시켜 사용 불가능 상태로 만드는 공격을 감행하는 악성코드로부터, 악성코드의 공격(행위)을 지연시키는 것과 같은 결과를 유도함으로써, 정보(파일)를 보호할 수 있다.

Description

파일보호시스템 및 파일 보호 방법{FILE PROTECTION SYSTEM AND FILE PROTECTION METHOD}
본 발명은 악성코드로부터 파일을 보호하는 기술에 관한 것으로, 더욱 상세하게는 파일을 임의로 변조시켜 사용 불가능 상태로 만드는 형태의 공격을 감행하는 악성코드로부터 파일을 보호할 수 있는 파일보호시스템 및 파일 보호 방법에 관한 것이다.
랜섬웨어는, 정보(파일)를 외부로 유출시키는 형태의 공격을 감행하는 악성코드와는 달리, 정보(파일)를 암호화하거나 압축하는 등 임의로 변조시켜 사용자가 다시 보기 어려운 상태 즉 사용 불가능 상태로 만드는 형태의 공격을 감행한다.
이러한 랜섬웨어는, 정보(파일)를 사용 불가능 상태로만 만든 후 정보(파일) 공격 사실을 사용자에게 알려, 정보(파일) 복원의 대가로 금전을 갈취하는 악의적 목적으로 주로 사용되고 있다.
이때, 랜섬웨어는, 금전 갈취의 목적 달성을 위해, 정보(파일)를 사용 불가능 상태로 변조시킬 뿐 완전히 파괴하지는 않기 때문에, 랜섬웨어의 공격을 사전에 명백하게 인지하는 것이 쉽지 않고 따라서 공격 자체를 차단하는 것이 어려운 실정이다.
따라서, 랜섬웨어에 의한 공격 사실을 인지한 후 피해를 입은 정보(파일)을 복원할 수 있는 보호 기능이 필요하다.
이러한 보호 기능은, 기존에 백업 시스템이나 업로드 시스템으로 달성할 수 있었다.
헌데, 기존의 백업 시스템이나 업로드 시스템은, 별도의 서버를 구축해 운영해야 하는 점, 정보(파일)의 수정 시마다 또는 일정 주기마다 백업되는 방대한 양의 백업정보를 관리해야 하는 점, 사용자의 추가적인 작업이 요구되는 점, 및 그럼에도 불구하고 백업 시점들 사이에 공격된 피해에 대해서는 복원할 수 없는 점 등으로 인한 비용, 운용, 효율 측면의 문제점이 있다.
한편, 랜섬웨어의 주요 공격 대상은, 금전 갈취의 목적 달성을 위해, 재 설치 및 다운로드 등이 가능한 프로그램 파일이나 시스템 파일이 아닌, 사용자에게 복원의 의미가 큰 사용자 저작 파일이 주를 이루고 있다.
이에, 본 발명에서는, 기존의 백업 시스템이나 업로드 시스템 없이도, 랜섬웨어로부터 정보(파일)을 보호할 수 있는 새로운 형태의 보호 기능(방안)을 제안하고자 한다.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은 랜섬웨어와 같이 정보(파일)을 임의로 변조시켜 사용 불가능 상태로 만드는 형태의 공격을 감행하는 악성코드로부터 파일을 보호할 수 있는 파일보호시스템 및 파일 보호 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 파일 보호 방법은, 보호 대상 파일에 대한 행위를 모니터링하는 모니터링단계; 상기 모니터링 결과를 토대로, 상기 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지를 구분하는 행위구분단계; 상기 모니터링 결과를 토대로, 상기 행위의 종류를 판단하는 행위판단단계; 및 상기 판단한 행위 종류 및 상기 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지를 구분한 구분 결과에 기초하여, 상기 보호 대상 파일의 백업정보를 선택적으로 저장하는 백업/행위지연단계를 포함한다.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 파일보호시스템은, 보호 대상 파일에 대한 행위를 모니터링하는 모니터링부; 상기 모니터링 결과를 토대로, 상기 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지를 구분하는 행위구분부; 상기 모니터링 결과를 토대로, 상기 행위의 종류를 판단하는 행위판단부; 및 상기 판단한 행위 종류 및 상기 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지를 구분한 구분 결과에 기초하여, 상기 보호 대상 파일의 백업정보를 선택적으로 저장하는 백업/행위지연부를 포함한다.
본 발명의 실시예들에 따르면, 랜섬웨어와 같이 정보(파일)를 임의로 변조시켜 사용 불가능 상태로 만드는 공격을 감행하는 악성코드로부터, 악성코드의 공격(행위)을 지연시키는 것과 같은 결과를 유도함으로써, 정보(파일)를 보호하는 효과를 도출한다.
도 1은 본 발명의 바람직한 실시예에 따른 파일보호시스템의 구성을 보여주는 구성도이다.
도 2는 본 발명의 바람직한 실시예에 따른 파일 보호 방법을 보여주는 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.
먼저, 도 1을 참조하여 본 발명을 설명하면 다음과 같다. 여기서, 도 1은 본 발명의 바람직한 실시예에 따른 파일보호시스템의 구성을 보여주고 있다.
도 1에 도시된 바와 같이, 본 발명에 따른 파일보호시스템(100)은, 컴퓨터와 같이 독립된 사용자 디바이스(500)에 탑재되는 것이 바람직하다. 이러한 본 발명의 파일보호시스템(100)은, 사용자 디바이스(500)에 설치되는 어플리케이션 형태일 수도 있다.
도 1에서는, 설명의 편의를 위해, 사용자 디바이스(500)에서 정보(파일)을 저장하고 있는 저장장치(400)와, 저장장치(400)에 저장된 정보(파일)에 대한 접근을 시도하는 응용프로그램(300)와, 저장장치(400) 및 응용프로그램(300) 사이에서 정보(파일)에 대한 I/O를 제어하는 파일시스템(200)의 구성을 도시하였다.
도 1에 도시된 바와 같이 본 발명에 따른 파일보호시스템(100)은, 보호 대상 파일에 대한 행위를 모니터링하는 모니터링부(110)와, 상기 모니터링 결과를 토대로, 상기 행위의 종류를 판단하는 행위판단부(130)와, 상기 모니터링 결과를 토대로, 상기 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지를 구분하는 행위구분부(120)와, 상기 판단한 행위 종류 및 상기 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지를 구분한 구분 결과에 기초하여, 상기 보호 대상 파일의 백업정보를 선택적으로 저장하는 백업/행위지연부(140)를 포함한다.
모니터링부(110)는, 보호 대상 파일에 대한 행위를 모니터링한다.
예컨대, 응용프로그램(300)이 저장장치(400)에 저장된 파일에 대한 접근(행위)을 시도하게 되면, 파일시스템(200)은 해당되는 파일에 대하여 응용프로그램(300)의 시도된 접근(행위)에 따른 I/O를 처리하게 될 것이다.
이때, 모니터링부(110)는, 파일시스템(200)에서 처리되는 I/O를 모니터링하여, 보호 대상 파일에 대한 행위를 모니터링할 수 있다.
본 발명은, 랜섬웨어와 같이 정보(파일)을 임의로 변조시켜 사용 불가능 상태로 만드는 형태의 공격을 감행하는 악성코드를 감안하고 있으며, 이러한 악성코드의 주요 공격 대상은, 금전 갈취의 목적 달성을 위해, 재 설치 및 다운로드 등이 가능한 프로그램 파일이나 시스템 파일이 아닌, 사용자에게 복원의 의미가 큰 사용자 저작 파일이 주를 이루고 있다.
따라서, 보호 대상 파일은, 이러한 저작 파일인 것이 바람직하다.
보다 구체적으로 예를 들면, 본 발명에서 보호 대상 파일은, 아래의 표1과 같이 확장자, 파일 포맷, 파일 크기 등으로 정의될 수 있다.
확장자 파일 포멧 크기 비고
HWP OLE 10KB~2GB 아래아 한글 파일 포멧
HWPX XML 10KB~2GB 아래아 한글 XML 파일 포멧
DOC/XLS/PPT OLE 10KB~2GB OFFICE 2003 이하 문서 포멧
DOCX/XLSX/PPTX ZIP 10KB~2GB XML 기반 OFFICE 문서 포멧
PDF OLE 10KB~2GB Acrobat PDF 파일
JPG JPG 1MB~40MB 사진 파일
PSD PSD 5MB~400MB 포토샵 저작파일
RAW RAW 10MB~100MB 사진 파일
ACD.DWG OLE 5MB~2GB AUTOCAD 도면파일
이에, 모니터링부(110)는, 파일시스템(200)에서 처리되는 I/O를 확인하여, 금번 응용프로그램(300)이 접근(행위)을 시도하는 파일이 보호 대상 파일로 사전 정의된 확장자, 파일 포맷, 파일 크기를 갖는 파일(즉, 보호 대상 파일)인 경우, 이러한 보호 대상 파일에 대한 행위를 모니터링할 수 있다.
행위판단부(130)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일에 대한 행위의 종류를 판단한다.
여기서, 행위의 종류는, 파일 생성, 파일 수정, 파일 삭제, 파일명의 확장자 변경, 파일의 지정 폴더 이동, 파일 포맷 변경을 포함한다.
즉, 행위판단부(130)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일에 대한 행위의 종류가 파일 생성인지, 또는 파일 수정인지, 또는 파일 삭제인지, 또는 파일명의 확장자 변경 인지, 파일의 지정 폴더 이동인지, 파일 포맷 변경 인지를 판단하는 것이다.
구체적으로, 행위판단부(130)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일의 오픈(OPEN) 시 FILE_CREATE I/O가 확인되고 파일 크기가 0이면 파일 생성으로 판단할 수 있고, 보호 대상 파일의 오픈(OPEN) 시 RDWR로 FILE_OPEN I/O가 확인되고 파일 크기가 존재하면(≠0) 파일 수정으로 판단할 수 있다.
더욱 구체적으로, 행위판단부(130)는, 보호 대상 파일의 오픈(OPEN) 시 RDWR로 FILE_OPEN I/O가 확인되고 파일 크기가 존재하면서(≠0), 보호 대상 파일의 클로즈(CLOSE) 시 파일 크기가 오픈 시 파일 크기와 동일하면 단순 읽기로 판단하여, 행위 종류의 판단 자체를 배제함으로써 후술할 백업/행위지연부(140)의 불필요한 백업정보 저장을 방지할 수 있다.
그리고, 행위판단부(130)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일의 DELETE I/O가 확인되면 파일 삭제로 판단할 수 있고, 보호 대상 파일의 RENAME I/O가 확인되면 파일명의 확장자 변경으로 판단할 수 있다.
그리고, 행위판단부(130)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일의 MOVE I/O가 확인되면 파일의 지정 폴더 이동으로 판단할 수 있고, 보호 대상 파일의 포맷 변경이 확인되면 파일 포맷 변경으로 판단할 수 있다.
행위구분부(120)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일에 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지를 구분한다.
구체적으로 설명하면, 행위구분부(120)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일의 오픈(OPEN) 후 오픈 상태가 지정시간 이상 유지되는 경우, 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
예를 들면, 보호 대상 파일의 정의된 각 파일 포맷 별로, 사용자 작업 행위로 구분하기 위한 지정시간이 기 설정되어 있을 수 있다.
이에, 행위구분부(120)는, 보호 대상 파일의 오픈(OPEN) 후 오픈 상태가 금번 보호 대상 파일의 파일 포맷에 설정된 지정시간(예 : 1분) 이상 유지되는 경우 금번 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
이는, 하나의 파일(보호 대상 파일)이 열린 상태로 지정시간(예 : 1분) 이상 유지되는 것은, 사용자가 자의적으로 작업하고 있는 상황으로 보아도 무방하다는 점에 기인한다.
또는, 행위구분부(120)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일의 오픈 후 파일의 마지막 부분이 읽힌 다음, 지정 시간 이후에 다시 파일이 재오픈되어 수정되는 경우, 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
또는, 행위구분부(120)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일의 오픈 후 단위시간 당 특정 크기 이상의 수정이 미확인되는 경우 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
예를 들면, 보호 대상 파일의 정의된 각 파일 포맷 별로, 사용자 작업 행위로 구분하기 위한 특정 크기가 기 설정되어 있을 수 있다.
이에, 행위구분부(120)는, 보호 대상 파일의 오픈 후 단위시간(예: 1초) 당 금번 보호 대상 파일의 파일 포맷에 설정된 특정 크기(예: 1KB) 이상의 수정이 미확인되는 경우 금번 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
이는, 파일(보호 대상 파일)에 급격한 대량 수정이 발생하는 것은, 사용자의 자의적으로 작업에 의한 수정으로 보기 어렵다는 점에 기인한다.
또는, 행위구분부(120)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일의 오픈 후 파일 포맷이 유지되는 경우, 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
예를 들면, 행위구분부(120)는, 보호 대상 파일의 오픈 시 파일 포맷과 클로즈(CLOSE) 시 파일 포맷이 같으면 파일 포맷이 유지되는 경우이므로, 금번 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
이는, 파일 포맷 유지는, 사용자의 의도로 인해 유지되는 경우가 대부분이라는 점에 기인하기도 하고, 뿐만 아니라 후술할 백업/행위지연부(140)에 의해 백업정보가 저장되더라도 백업 의미가 없다는 점에도 기인한다.
또는, 행위구분부(120)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일이 동일 폴더 내에서 파일 포맷과 파일명의 확장자가 유지되고 이름만 변경되는 경우, 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
또는, 행위구분부(120)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일의 삭제 후 보호 대상 파일이 저장되어 있는 폴더도 삭제되는 경우, 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
예를 들면, 행위구분부(120)는, 보호 대상 파일이 삭제(DELETE)된 후 일정시간(예: 20초) 내에 보호 대상 파일이 저장되어 있는 폴더도 삭제되는 경우, 금번 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
이는, 파일 삭제 시 폴더까지 함께 삭제되는 것은, 사용자의 자의적으로 작업에 의한 파일 정리 개념의 삭제로 보아도 무방하다는 점에 기인한다.
또는, 행위구분부(120)는, 모니터링부(110)의 모니터링 결과를 토대로, 사용자 작업을 식별하기 위한 특정 동작이 확인되는 경우, 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
예를 들면, 행위구분부(120)는, 사용자 작업을 식별하기 위한 특정 동작 예컨대 지정된 키보드 입력에 따른 I/O가 발생하거나 또는 지정된 액션이 존재하면, 금번 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
이상에서 설명한 바와 같이, 행위구분부(120)는, 모니터링부(110)의 모니터링 결과를 토대로, 보호 대상 파일의 오픈 후 오픈 상태가 지정시간 이상 유지되는 경우, 보호 대상 파일의 오픈 및 파일 마지막 부분이 읽힌 후 지정 시간 이후 재오픈되어 수정되는 경우, 보호 대상 파일의 오픈 후 단위시간 당 특정 크기 이상의 수정이 미확인되는 경우, 보호 대상 파일의 오픈 후 파일 포맷이 유지되는 경우, 보호 대상 파일이 동일 폴더 내에서 파일 포맷과 파일명의 확장자가 유지되고 이름만 변경되는 경우, 보호 대상 파일의 삭제 후 보호 대상 파일이 저장되어 있는 폴더도 삭제되는 경우, 사용자 작업을 식별하기 위한 특정 동작이 확인되는 경우 중 적어도 하나의 경우가 확인되거나, 또는 전술의 경우들 중 정의된 조합이 확인되면, 금번 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
그리고, 행위구분부(120)는, 전술에 따른 사용자 작업 행위로 구분되지 않는 경우의 행위를, 악성코드 의심 행위로 구분할 수 있다.
즉, 행위구분부(120)는, 사용자 작업 행위로 구분되지 않는, 보호 대상 파일에 대한 행위를 모두 악성코드 의심 행위로 구분하는 것이다.
백업/행위지연부(140)는, 행위판단부(130)에서 판단한 행위 종류 및 행위구분부(120)에서 구분한 구분 결과에 기초하여, 보호 대상 파일의 백업정보를 선택적으로 저장한다.
보다 구체적으로 설명하면, 백업/행위지연부(140)는, 행위종류 별 백업방식을 토대로, 행위판단부(130)에서 판단한 행위 종류에 정의된 백업방식에 따라서 행위구분부(120)에서 구분 결과에 기초하여 보호 대상 파일의 백업정보를 저장하는 것이 바람직하다.
이때, 백업/행위지연부(140)는, 보호 대상 파일의 백업정보를 일정 시간 동안 저장하여, 금번 보호 대상 파일에 대한 행위가 일정 시간 만큼 지연되는 결과를 유도할 수 있다.
그리고, 행위종류 별 백업방식은, 행위의 종류 별로, 보호 대상 파일의 백업정보, 백업정보를 저장하는 시점 및 백업정보를 저장하는 위치 중 적어도 하나가 상이할 수 있다.
이하에서는, 보다 구체적인 실시예를 언급하여 백업/행위지연부(140)의 동작을 설명하겠다.
백업/행위지연부(140)는, 행위판단부(130)에서 행위의 종류가 파일 생성으로 판단된 경우, 행위구분부(120)의 구분 결과가 사용자 작업 행위인지 또는 악성코드 의심 행위인지와 무관하게, 금번 보호 대상 파일이 클로즈(CLOSE)된 이후 시점에 보호 대상 파일의 최종본을 백업정보로서 지정된 위치에 저장한다.
이때, 백업/행위지연부(140)는, 백업정보(보호 대상 파일의 최종본)을 지정된 위치, 예컨대 탐색기와 같은 일반적 도구가 접근할 수 없는 파일시스템(200), 또는 금번 보호 대상 파일 내에, 일정 시간 동안 저장할 수 있다.
즉, 본 발명에서는, 보호 대상 파일이 새롭게 생성되는 경우(파일 생성 시), 파일 생성의 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지와 무관하게, 보호 차원에서 사용자 디바이스(500) 내부에 일정시간 백업정보를 저장(보유)하는 것이다.
한편, 백업/행위지연부(140)는, 행위판단부(130)에서 행위의 종류가 파일 수정으로 판단된 경우, 행위구분부(120)에서 악성코드 의심 행위로 구분되면, 금번 보호 대상 파일이 클로즈(CLOSE)되기 이전 시점에 보호 대상 파일의 수정 전 원본을 백업정보로서 지정된 위치에 저장한다.
여기서, 수정 전 원본이란, 금번 보호 대상 파일에 대한 악성코드 의심 행위 수행에 따른 수정 전의 파일을 의미하는 것이 자명할 것이다.
이때, 백업/행위지연부(140)는, 백업정보(보호 대상 파일의 수정 전 원본)을 지정된 위치, 예컨대 파일시스템(200), 또는 금번 보호 대상 파일 내에, 일정 시간 동안 저장할 수 있다.
한편, 백업/행위지연부(140)는, 행위판단부(130)에서 행위의 종류가 파일 삭제로 판단된 경우, 행위구분부(120)에서 악성코드 의심 행위로 구분되면, 금번 보호 대상 파일이 클로즈(CLOSE)되기 이전 시점에 보호 대상 파일의 삭제 전 원본을 백업정보로서 지정된 위치에 저장한다.
이때, 백업/행위지연부(140)는, 백업정보(보호 대상 파일의 삭제 전 원본)을 지정된 위치, 예컨대 금번 보호 대상 파일이 저장된 폴더, 또는 별도의 백업폴더에, 일정 시간 동안 저장할 수 있다.
한편, 백업/행위지연부(140)는, 행위판단부(130)에서 행위의 종류가 파일명의 확장자 변경으로 판단된 경우, 행위구분부(120)에서 악성코드 의심 행위로 구분되면, 금번 보호 대상 파일이 클로즈(CLOSE)되기 이전 시점에 보호 대상 파일의 파일명의 확장자 변경 전 원본을 백업정보로서 지정된 위치에 저장한다.
이때, 백업/행위지연부(140)는, 백업정보(보호 대상 파일의 파일명의 확장자 변경 전 원본)을 지정된 위치, 예컨대 금번 보호 대상 파일이 저장된 폴더, 또는 별도의 백업폴더에, 일정 시간 동안 저장할 수 있다.
한편, 백업/행위지연부(140)는, 행위판단부(130)에서 행위의 종류가 파일의 지정 폴더(예 TEMP, APPDATA등) 이동으로 판단된 경우, 행위구분부(120)에서 악성코드 의심 행위로 구분되면, 금번 보호 대상 파일이 클로즈(CLOSE)되기 이전 시점에 보호 대상 파일의 폴더 이동 전 원본을 백업정보로서 지정된 위치에 저장한다.
이때, 백업/행위지연부(140)는, 백업정보(보호 대상 파일의 폴더 이동 전 원본)을 지정된 위치, 예컨대 금번 보호 대상 파일이 저장된 폴더, 또는 별도의 백업폴더에, 일정 시간 동안 저장할 수 있다.
물론, 백업/행위지연부(140)는, 행위판단부(130)에서 행위의 종류가 파일 수정, 또는 파일 삭제, 또는 파일명의 확장자 변경, 또는 파일의 지정 폴더 이동, 또는 파일 포맷 변경으로 판단된 경우, 행위구분부(120)에서 사용자 작업 행위로 구분되면, 별도로 백업정보를 저장할 필요가 없을 것이다.
즉, 본 발명에서는, 기 저장되어 있던 보호 대상 파일이 수정되거나 삭제되거나 파일명의 확장자가 변경(파일명 변경)되거나 보호 대상 파일이 지정 폴더로 이동되거나 보호 대상 파일의 포맷이 변경되는 경우, 랜섬웨어와 같은 악성코드에 의한 악성코드 의심 행위로 판단되면, 보호 차원에서 사용자 디바이스(500) 내부에 일정시간 백업정보를 저장(보유)하는 것이다.
따라서, 본 발명에 따르면, 실제로 보호 대상 파일이 랜섬웨어와 같은 악성코드에 의한 공격(행위)로 인해 수정되거나 삭제되거나 파일명의 확장자가 변경되거나 지정 폴더로 이동되거나 포맷이 변경되었다 하더라도, 이를 복원하는데 필요한 백업정보가 내부에 저장(보유)되기 때문에, 악성코드의 공격 사실을 인지한 후 피해를 입은 보호 대상 파일을 용이하게 복원할 수 있게 된다.
이에, 본 발명에 따르면, 랜섬웨어와 같은 악성코드의 공격 사실을 감지(인지)한 후 피해를 입은 보호 대상 파일을 자동 복원할 경우, 악성코드의 공격(행위)을 지연시키는 것과 같은 결과를 유도하여 사용자는 피해 입은 사실을 모르게 함으로써, 기존의 백업 시스템이나 업로드 시스템 없이도, 랜섬웨어와 같은 악성코드로부터 정보(보호 대상 파일)을 보호할 수 있는 새로운 형태의 보호 기능(방안)을 실현할 수 있다.
한편, 더 나아가 본 발명의 바람직한 실시예에 따른 파일보호시스템(100)은, 검증부(150) 및 거부/복원부(160)을 더 포함할 수 있다.
검증부(150)는, 보호 대상 파일에 대한 행위(접근)을 시도하는 응용프로그램(300)을 검증한다.
구체적으로, 검증부(150)는, 응용프로그램(300)의 설치정보, 설치시간, 프로그램실행코드 분석, 프로그램별 비정상 행위 등을 기반으로 응용프로그램(300)을 검증할 수 있다.
예를 들면, 아래의 표2에 도시된 바와 같이, 설치정보, 설치시간, 프로그램실행코드 분석, 프로그램별 비정상 행위를 기반으로 해당 조건을 만족하는 경우 정상 행위를 수행하는 정상 프로그램인 것으로 검증하는 방식을 채택할 수 있다.
조건 분류 그룹 비고
프로그램 설치자에 등록된 프로그램 설치정보 설치과정으로 설치됨을 확인
TrustedInstaller에 의해 생성된 프로그램 설치정보 설치과정으로 설치됨을 확인
프로그램 이름과 인증서명의 연관성 설치정보 설치과정으로 설치됨을 확인
정상적인 프로그램 파일 서명 설치정보 설치과정으로 설치됨을 확인
Program files에 설치된 프로그램 설치정보 TI로 설치된것과 같을 수 있음
프로그램이 다운로드 된 시간이 1일 미만 설치시간 사용자가 즉시 다운로드해 실행하지 않음
프로그램이 다운로드 된 시간이 1일 미만 설치시간 사용자가 즉시 다운로드해 실행하지 않음
UI를 포함하지 않은 프로그램 프로그램실행코드분석
메인 코드 소속의 행위 스레드 프로그램실행코드분석
지정 프로그램에서 발생하지 않은 행위 프로그램별 비정상 행위 EXPLORER.EXE, RULDLL32.EXE의 보호 대상 파일의 수정 행위
여기서, 응용프로그램(300)에 대한 검증을 개시하는 시점은, 금번 응용프로그램(300)이 접근(행위)을 시도하는 파일이 보호 대상 파일로 확인된 시점, 또는 보호 대상 파일에 대한 행위의 종류가 판단 완료되는 시점, 또는 그 행위가 사용자 작업 행위인지 악성코드 의심 행위인지 구분 완료되는 시점 중 기 설정된 시점일 수 있다.
거부/복원부(160)는, 검증부(150)에서 응용프로그램(300)이 정상 프로그램이 아닌 것으로 검증되면, 보호 대상 파일에 대한 금번 응용프로그램(300)의 행위를 거부하거나 또는 보호 대상 파일의 백업정보를 이용하여 보호 대상 파일을 복원할 수 있다.
구체적으로, 거부/복원부(160)는, 검증부(150)에서 응용프로그램(300)이 정상 프로그램이 아닌 것으로 검증되면, 이와 같은 검증이 완료된 시점에 따라 거부 또는 복원 또는 거부&복원을 수행할 수 있다.
예컨대, 응용프로그램(300)이 정상 프로그램이 아닌 것으로 검증 완료된 시점이 행위에 의한 변조(공격)이 아직 발생되지 않은 시점이라면, 거부/복원부(160)는, 금번 응용프로그램(300)의 행위를 즉시 거부한다.
한편, 응용프로그램(300)이 정상 프로그램이 아닌 것으로 검증 완료된 시점이 행위에 의한 변조(공격)이 진행 중인 시점이라면, 거부/복원부(160)는, 금번 응용프로그램(300)의 행위를 거부하고, 더불어 금번 보호 대상 파일의 백업정보가 이미 저장되어 있다면 이 백업정보를 이용하여 보호 대상 파일을 복원한다.
한편, 응용프로그램(300)이 정상 프로그램이 아닌 것으로 검증 완료된 시점이 행위에 의한 변조(공격)이 완료된 시점이라면, 거부/복원부(160)는, 금번 보호 대상 파일의 백업정보를 이용하여 보호 대상 파일을 복원한다.
이상에서 설명한 바와 같이, 본 발명에 따른 파일보호시스템은, 랜섬웨어와 같이 파일을 임의로 변조시켜 사용 불가능 상태로 만드는 형태의 공격을 감행하는 악성코드로부터 파일을 보호할 수 있는 새로운 형태의 보호 기능(방안)을 제안함으로써, 기존의 백업 시스템이나 업로드 시스템 없이도, 파일을 효과적으로 보호할 수 있다.
따라서, 본 발명을 채용한다면, 악성코드(예: 랜섬웨어)로부터 파일을 보호하는데 있어서, 기존의 백업 시스템이나 업로드 시스템이 갖는 비용, 운용, 효율 측면의 문제점으로부터 자유로울 수 있고, 보호 대상 파일의 백업정보 저장이 빈번하지 않기 때문에 파일 보호를 위한 내부적 저장용량 부담이 사실상 미미하여 시스템 부담 및 사용상 불편함이 거의 없으며, 파일 보호를 위한 사용자의 추가적인 동작이 불필요하기 때문에 사용성 역시 향상될 것이다.
이하에서는, 도 2를 참조하여 본 발명의 바람직한 실시예에 따른 파일 보호 방법을 보다 구체적으로 설명하도록 한다. 여기서, 설명의 편의를 위해 전술한 도 1에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다.
설명의 편의를 위해, 본 발명에 따른 파일 보호 방법은, 도 1에 도시된 파일보호시스템(100)에 의해 동작되는 동작 방법인 것으로 언급하여 설명하도록 하겠다.
본 발명에 따른 파일보호시스템(100)의 동작 방법은, 응용프로그램(300)이 저장장치(400)에 저장된 파일에 대한 접근(행위)을 시도하게 되면(S100), 파일시스템(200)에서 처리되는 I/O를 모니터링하여, 보호 대상 파일에 대한 행위를 모니터링할 수 있다.
보다 구체적으로, 응용프로그램(300)이 저장장치(400)에 저장된 파일에 대한 접근(행위)을 시도하게 되면(S100), 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 파일시스템(200)에서 처리되는 I/O를 확인하여, 금번 응용프로그램(300)이 접근(행위)을 시도하는 파일이 보호 대상 파일로 사전 정의된 확장자, 파일 포맷, 파일 크기를 갖는 파일(즉, 보호 대상 파일)인지 확인한다(S110).
본 발명에 따른 파일보호시스템(100)의 동작 방법은, 금번 응용프로그램(300)이 접근(행위)을 시도하는 파일이 보호 대상 파일인 경우(S110 Yes), 보호 대상 파일에 대한 행위를 모니터링한다(S125).
이후, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, S125단계의 모니터링 결과를 토대로, 보호 대상 파일에 대한 행위의 종류를 판단한다.
즉, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, S125단계의 모니터링 결과를 토대로, 보호 대상 파일에 대한 행위의 종류가 파일 생성인지, 또는 파일 수정인지, 또는 파일 삭제인지, 또는 파일명의 확장자 변경인지, 파일의 지정 폴더 이동인지, 또는 파일 포맷 변경인지를 판단하는 것이다.
또한, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, S125단계의 모니터링 결과를 토대로, 보호 대상 파일에 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지를 구분한다(S140).
예컨대, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, S125단계의 모니터링 결과를 토대로, 보호 대상 파일의 오픈 후 오픈 상태가 지정시간 이상 유지되는 경우, 보호 대상 파일의 오픈 및 파일 마지막 부분이 읽힌 후 지정 시간 이후에 재오픈되어 수정되는 경우, 보호 대상 파일의 오픈 후 단위시간 당 특정 크기 이상의 수정이 미확인되는 경우, 보호 대상 파일의 오픈 후 파일 포맷이 유지되는 경우, 보호 대상 파일이 동일 폴더 내에서 파일 포맷과 파일명의 확장자가 유지되고 이름만 변경되는 경우, 보호 대상 파일의 삭제 후 보호 대상 파일이 저장되어 있는 폴더도 삭제되는 경우, 사용자 작업을 식별하기 위한 특정 동작이 확인되는 경우 중 적어도 하나의 경우가 확인되거나, 또는 전술의 경우들 중 정의된 조합이 확인되면, 금번 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분할 수 있다.
그리고, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 전술에 따른 사용자 작업 행위로 구분되지 않는 경우의 행위를, 악성코드 의심 행위로 구분할 수 있다.
즉, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 사용자 작업 행위로 구분되지 않는, 보호 대상 파일에 대한 행위를 모두 악성코드 의심 행위로 구분하는 것이다.
여기서, 전술한 S130단계와 S140단계의 선후 관계를 변경될 수도 있다.
이후, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 앞선 단계에서 판단한 행위 종류 및 구분한 구분 결과에 기초하여, 보호 대상 파일의 백업정보를 선택적으로 저장한다(S150~S180).
보다 구체적으로 설명하면, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 행위종류 별 백업방식을 토대로, S130단계에서 판단한 행위 종류에 정의된 백업방식에 따라서 S140단계에서 구분 결과에 기초하여 보호 대상 파일의 백업정보를 저장하는 것이 바람직하다(S150~S180).
이하에서는, 보다 구체적인 실시예를 언급하여 보호 대상 파일의 백업정보를 선택적으로 저장하는 과정을 설명하겠다.
본 발명에 따른 파일보호시스템(100)의 동작 방법은, S130단계에서 행위의 종류가 파일 생성으로 판단된 경우, S140단계의 구분 결과가 사용자 작업 행위인지 또는 악성코드 의심 행위인지와 무관하게, 금번 보호 대상 파일이 클로즈(CLOSE)된 이후 시점에 보호 대상 파일의 최종본을 백업정보로서 지정된 위치에 저장한다(S150).
이때, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 백업정보(보호 대상 파일의 최종본)을 지정된 위치, 예컨대 탐색기와 같은 일반적 도구가 접근할 수 없는 파일시스템(200), 또는 금번 보호 대상 파일 내에, 저장할 수 있다.
그리고, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 백업정보(보호 대상 파일의 최종본) 저장 후 일정시간이 경과하면(S190 Yes), 해당 백업정보(보호 대상 파일의 최종본)를 삭제한다(S200).
즉, 본 발명에서는, 보호 대상 파일이 새롭게 생성되는 경우(파일 생성 시), 파일 생성의 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지와 무관하게, 보호 차원에서 사용자 디바이스(500) 내부에 일정시간 백업정보를 저장(보유)하는 것이다.
한편, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, S130단계에서 행위의 종류가 파일 수정으로 판단된 경우, S140단계에서 악성코드 의심 행위로 구분되면, 금번 보호 대상 파일이 클로즈(CLOSE)되기 이전 시점에 보호 대상 파일의 수정 전 원본을 백업정보로서 지정된 위치에 저장한다(S160).
이때, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 백업정보(보호 대상 파일의 수정 전 원본)을 지정된 위치, 예컨대 파일시스템(200), 또는 금번 보호 대상 파일 내에, 저장할 수 있다.
그리고, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 백업정보(보호 대상 파일의 수정 전 원본) 저장 후 일정시간이 경과하면(S190 Yes), 백업정보(보호 대상 파일의 수정 전 원본)를 삭제한다(S200).
한편, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, S130단계에서 행위의 종류가 파일 삭제로 판단된 경우, S140단계에서 악성코드 의심 행위로 구분되면, 금번 보호 대상 파일이 클로즈(CLOSE)되기 이전 시점에 보호 대상 파일의 삭제 전 원본을 백업정보로서 지정된 위치에 저장한다(S170).
이때, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 백업정보(보호 대상 파일의 삭제 전 원본)을 지정된 위치, 예컨대 금번 보호 대상 파일이 저장된 폴더, 또는 별도의 백업폴더에, 저장할 수 있다.
그리고, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 백업정보(보호 대상 파일의 삭제 전 원본) 저장 후 일정시간이 경과하면(S190 Yes), 백업정보(보호 대상 파일의 삭제 전 원본)를 삭제한다(S200).
한편, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, S130단계에서 행위의 종류가 파일명의 확장자 변경으로 판단된 경우, S140단계에서 악성코드 의심 행위로 구분되면, 금번 보호 대상 파일이 클로즈(CLOSE)되기 이전 시점에 보호 대상 파일의 파일명의 확장자 변경 전 원본을 백업정보로서 지정된 위치에 저장한다(S180).
이때, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 백업정보(보호 대상 파일의 파일명의 확장자 변경 전 원본)을 지정된 위치, 예컨대 금번 보호 대상 파일이 저장된 폴더, 또는 별도의 백업폴더에, 저장할 수 있다.
그리고, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 백업정보(보호 대상 파일의 파일명의 확장자 변경 전 원본) 저장 후 일정시간이 경과하면(S190 Yes), 백업정보(보호 대상 파일의 파일명의 확장자 변경 전 원본)를 삭제한다(S200).
물론, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, S130단계에서 행위의 종류가 파일 수정, 또는 파일 삭제, 또는 파일명의 확장자 변경으로 판단된 경우, S140단계에서 사용자 작업 행위로 구분되면, 별도로 백업정보를 저장할 필요가 없을 것이다(①).
즉, 본 발명에서는, 기 저장되어 있던 보호 대상 파일이 수정되거나 삭제되거나 파일명의 확장자가 변경(파일명 변경)되는 경우, 랜섬웨어와 같은 악성코드에 의한 악성코드 의심 행위로 판단되면, 보호 차원에서 사용자 디바이스(500) 내부에 일정시간 백업정보를 저장(보유)하는 것이다.
여기서, 저장된 백업정보는, 일정시간이 경과하면 삭제되는 방식 외에도, 인증된 사용자의 조작에 의해 언제든지 삭제되는 것이 가능하다. 이때, 인증된 사용자의 조작은, 기 정의된 인증 절차에 따라서 입력되는 조작을 의미하며, 예컨대 사용자 액션 감지 기능에 의해 감지된 사용자의 조작이거나 또는 기 정의된 특정 키보다 조작이 병행되는 조작일 수 있다.
더 나아가, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 보호 대상 파일에 대한 행위(접근)을 시도하는 응용프로그램(300)을 검증한다.
이때, 응용프로그램(300)에 대한 검증을 개시하는 시점은, 금번 응용프로그램(300)이 접근(행위)을 시도하는 파일이 보호 대상 파일로 확인된 시점, 또는 보호 대상 파일에 대한 행위의 종류가 판단 완료되는 시점, 또는 그 행위가 사용자 작업 행위인지 악성코드 의심 행위인지 구분 완료되는 시점 중 기 설정된 시점일 수 있다.
도 2에서는 설명의 편의 상, 금번 응용프로그램(300)이 접근(행위)을 시도하는 파일이 보호 대상 파일로 확인된 시점에, 응용프로그램(300)에 대한 검증을 개시하는 것으로 설명하겠다(S120).
이에, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 응용프로그램(300)이 정상 프로그램이 아닌 것으로 검증되면, 보호 대상 파일에 대한 금번 응용프로그램(300)의 행위를 거부하거나 또는 보호 대상 파일의 백업정보를 이용하여 보호 대상 파일을 복원할 수 있다.
구체적으로, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 응용프로그램(300)이 정상 프로그램이 아닌 것으로 검증되면, 이와 같은 검증이 완료된 시점에 따라 거부 또는 복원 또는 거부&복원을 수행할 수 있다.
도 2에서는 응용프로그램(300)이 정상 프로그램인지 아닌지 검증이 완료되는 시점으로 S210단계를 언급하고 있지만, 이는 일 실시예일 뿐이다.
이처럼, 검증이 완료되는 시점에 응용프로그램(300)이 정상 프로그램이 아닌 것으로 검증되면(S210 No), 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 금번 보호 대상 파일의 백업정보를 이용하여 보호 대상 파일을 복원한다(S220).
도 2에 도시된 예시와 달리, 본 발명에 따른 파일보호시스템(100)의 동작 방법은, 응용프로그램(300)이 정상 프로그램이 아닌 것으로 검증 완료된 시점이 행위에 의한 변조(공격)이 아직 발생되지 않은 시점이라면 금번 응용프로그램(300)의 행위를 즉시 거부할 수 있고, 응용프로그램(300)이 정상 프로그램이 아닌 것으로 검증 완료된 시점이 행위에 의한 변조(공격)이 진행 중인 시점이라면 금번 응용프로그램(300)의 행위를 거부하고 더불어 금번 보호 대상 파일의 백업정보가 이미 저장되어 있다면 이 백업정보를 이용하여 보호 대상 파일을 복원할 수도 있다.
이상에서 설명한 바와 같이 본 발명에 따른 파일보호시스템(100)의 동작 방법 즉 본 발명에 따른 파일 보호 방법은, 랜섬웨어이 같이 파일을 임의로 변조시켜 사용 불가능 상태로 만드는 형태의 공격을 감행하는 악성코드로부터 파일을 보호할 수 있는 새로운 형태의 보호 기능(방안)을 제안함으로써, 기존의 백업 시스템이나 업로드 시스템 없이도, 파일을 효과적으로 보호할 수 있다.
본 발명의 일실시예에 따른 파일 보호 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 파일보호시스템
110 : 모니터링부 120 : 행위구분부
130 : 행위판단부 140 : 백업/행위지연부
150 : 검증부 160 : 거부/복원부
200 : 파일시스템
300 응용프로그램
400 : 저장장치
500 : 사용자 디바이스

Claims (17)

  1. 파일보호시스템에 의해 수행되는 파일 보호 방법에 있어서,
    상기 파일보호시스템이, 보호 대상 파일에 대한 행위를 모니터링하는 모니터링단계;
    상기 파일보호시스템이, 상기 모니터링 결과를 토대로, 상기 행위의 종류를 판단하는 행위판단단계;
    상기 파일보호시스템이, 상기 모니터링 결과를 토대로, 상기 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지를 구분하는 행위구분단계; 및
    상기 파일보호시스템이, 상기 판단한 행위 종류 및 상기 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지를 구분한 구분 결과에 기초하여, 상기 보호 대상 파일의 백업정보를 선택적으로 저장하는 백업/행위지연단계를 포함하며;
    상기 백업/행위지연단계는,
    행위종류 별 백업방식을 토대로, 상기 판단한 행위 종류에 정의된 백업방식에 따라서 상기 구분 결과에 기초하여 상기 보호 대상 파일의 백업정보를 저장하는 것을 특징으로 하는 파일 보호 방법.
  2. 제 1 항에 있어서,
    상기 백업/행위지연단계는,
    상기 보호 대상 파일의 백업정보를 일정 시간 동안 저장하여, 상기 보호 대상 파일에 대한 행위가 수행되더라도 상기 행위 수행 이전에 상기 보호 대상 파일의 백업정보가 상기 일정 시간 동안 보유되도록 하는 것을 특징으로 하는 파일 보호 방법.
  3. 삭제
  4. 제 1 항에 있어서,
    상기 행위의 종류는, 파일 생성, 파일 수정, 파일 삭제, 파일명의 확장자 변경, 파일의 지정 폴더 이동, 파일 포맷 변경을 포함하고,
    상기 행위종류 별 백업방식은,
    상기 행위의 종류 별로, 보호 대상 파일의 백업정보, 백업정보를 저장하는 시점 및 백업정보를 저장하는 위치 중 적어도 하나가 상이한 것을 특징으로 하는 파일 보호 방법.
  5. 제 1 항에 있어서,
    상기 백업/행위지연단계는,
    상기 행위의 종류가 파일 생성으로 판단된 경우, 상기 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지와 무관하게, 상기 보호 대상 파일이 클로즈(CLOSE)된 이후 시점에 상기 보호 대상 파일의 최종본을 백업정보로서 파일시스템 또는 파일 내에 저장하는 것을 특징으로 하는 파일 보호 방법.
  6. 제 1 항에 있어서,
    상기 백업/행위지연단계는,
    상기 행위의 종류가 파일 수정으로 판단된 경우, 상기 행위가 악성코드 의심 행위로 구분되면, 상기 보호 대상 파일이 클로즈(CLOSE)되기 이전 시점에 상기 보호 대상 파일의 수정 전 원본을 백업정보로서 파일시스템 또는 파일 내에 저장하는 것을 특징으로 하는 파일 보호 방법.
  7. 제 1 항에 있어서,
    상기 백업/행위지연단계는,
    상기 행위의 종류가 파일 삭제로 판단된 경우, 상기 행위가 악성코드 의심 행위로 구분되면, 상기 보호 대상 파일이 클로즈(CLOSE)되기 이전 시점에 상기 보호 대상 파일의 삭제 전 원본을 백업정보로서 상기 보호 대상 파일이 저장된 폴더 또는 백업폴더에 저장하는 것을 특징으로 하는 파일 보호 방법.
  8. 제 1 항에 있어서,
    상기 백업/행위지연단계는,
    상기 행위의 종류가 파일명의 확장자 변경으로 판단된 경우, 상기 행위가 악성코드 의심 행위로 구분되면, 상기 보호 대상 파일이 클로즈(CLOSE)되기 이전 시점에 상기 보호 대상 파일의 파일명의 확장자 변경 전 원본을 백업정보로서 상기 보호 대상 파일이 저장된 폴더 또는 백업폴더에 저장하는 것을 특징으로 하는 파일 보호 방법.
  9. 제 1 항에 있어서,
    상기 백업/행위지연단계는,
    상기 행위의 종류가 파일의 지정 폴더 이동으로 판단된 경우, 상기 행위가 악성코드 의심 행위로 구분되면, 상기 보호 대상 파일이 클로즈(CLOSE)되기 이전 시점에 상기 보호 대상 파일의 폴더 이동 전 원본을 백업정보로서 상기 보호 대상 파일이 저장된 폴더 또는 백업폴더에 저장하는 것을 특징으로 하는 파일 보호 방법.
  10. 제 1 항에 있어서,
    상기 행위구분단계는,
    상기 모니터링 결과, 상기 보호 대상 파일의 오픈(OPEN) 후 오픈 상태가 지정시간 이상 유지되는 경우, 상기 보호 대상 파일의 오픈 및 파일 마지막 부분이 읽힌 후 지정 시간 이후 재오픈되어 수정되는 경우, 상기 보호 대상 파일의 오픈 후 단위시간 당 특정 크기 이상의 수정이 미확인되는 경우, 상기 보호 대상 파일의 오픈 후 파일 포맷이 유지되는 경우, 보호 대상 파일이 동일 폴더 내에서 파일 포맷과 파일명의 확장자가 유지되고 이름만 변경되는 경우, 상기 보호 대상 파일의 삭제 후 상기 보호 대상 파일이 저장되어 있는 폴더도 삭제되는 경우, 사용자 작업을 식별하기 위한 특정 동작이 확인되는 경우 중 적어도 하나의 경우가 확인되면 상기 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분하고,
    상기 사용자 작업 행위로 구분되지 않는 경우의 행위를 악성코드 의심 행위로 구분하는 것을 특징으로 하는 파일 보호 방법.
  11. 제 1 항에 있어서,
    상기 파일보호시스템이, 상기 보호 대상 파일에 대한 행위를 시도하는 응용 프로그램을 검증하는 단계; 및
    상기 파일보호시스템이, 상기 응용 프로그램 검증 결과 정상 프로그램이 아닌 것으로 검증되면, 상기 보호 대상 파일에 대한 상기 응용 프로그램의 행위가 수행되기 이전 또는 수행 중인 경우 상기 응용 프로그램의 행위를 거부하고, 상기 백업/행위지연단계에 의해 상기 보호 대상 파일의 백업정보가 저장되어 있는 경우 상기 백업정보를 이용하여 상기 보호 대상 파일을 복원하는 단계를 더 포함하는 것을 특징으로 하는 파일 보호 방법.
  12. 보호 대상 파일에 대한 행위를 모니터링하는 모니터링부;
    상기 모니터링 결과를 토대로, 상기 행위의 종류를 판단하는 행위판단부;
    상기 모니터링 결과를 토대로, 상기 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지를 구분하는 행위구분부; 및
    상기 판단한 행위 종류 및 상기 행위가 사용자 작업 행위인지 또는 악성코드 의심 행위인지를 구분한 구분 결과에 기초하여, 상기 보호 대상 파일의 백업정보를 선택적으로 저장하는 백업/행위지연부를 포함하며;
    상기 백업/행위지연부는,
    행위종류 별 백업방식을 토대로, 상기 판단한 행위 종류에 정의된 백업방식에 따라서 상기 구분 결과에 기초하여 상기 보호 대상 파일의 백업정보를 저장하는 것을 특징으로 하는 파일보호시스템.
  13. 제 12 항에 있어서,
    상기 백업/행위지연부는,
    상기 보호 대상 파일의 백업정보를 일정 시간 동안 저장하여, 상기 보호 대상 파일에 대한 행위가 수행되더라도 상기 행위 수행 이전에 상기 보호 대상 파일의 백업정보가 상기 일정 시간 동안 보유되도록 하는 것을 특징으로 하는 파일보호시스템.
  14. 삭제
  15. 제 12 항에 있어서,
    상기 행위의 종류는, 파일 생성, 파일 수정, 파일 삭제, 파일명의 확장자 변경, 파일의 지정 폴더 이동, 파일 포맷 변경을 포함하고,
    상기 행위종류 별 백업방식은,
    상기 행위의 종류 별로, 보호 대상 파일의 백업정보, 백업정보를 저장하는 시점 및 백업정보를 저장하는 위치 중 적어도 하나가 상이한 것을 특징으로 하는 파일보호시스템.
  16. 제 12 항에 있어서,
    상기 행위구분부는,
    상기 모니터링 결과, 상기 보호 대상 파일의 오픈(OPEN) 후 오픈 상태가 지정시간 이상 유지되는 경우, 상기 보호 대상 파일의 오픈 및 파일 마지막 부분이 읽힌 후 지정 시간 이후 재오픈되어 수정되는 경우, 상기 보호 대상 파일의 오픈 후 단위시간 당 특정 크기 이상의 수정이 미확인되는 경우, 상기 보호 대상 파일의 오픈 후 파일 포맷이 유지되는 경우, 보호 대상 파일이 동일 폴더 내에서 파일 포맷과 파일명의 확장자가 유지되고 이름만 변경되는 경우, 상기 보호 대상 파일의 삭제 후 상기 보호 대상 파일이 저장되어 있는 폴더도 삭제되는 경우, 사용자 작업을 식별하기 위한 특정 동작이 확인되는 경우 중 적어도 하나의 경우가 확인되면 상기 보호 대상 파일에 대한 행위를 사용자 작업 행위로 구분하고,
    상기 사용자 작업 행위로 구분되지 않는 경우의 행위를 악성코드 의심 행위로 구분하는 것을 특징으로 하는 파일보호시스템.
  17. 제 1 항 내지 제 2 항, 제 4 항 내지 제 11 항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.
KR1020160008154A 2016-01-22 2016-01-22 파일보호시스템 및 파일 보호 방법 KR101772439B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160008154A KR101772439B1 (ko) 2016-01-22 2016-01-22 파일보호시스템 및 파일 보호 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160008154A KR101772439B1 (ko) 2016-01-22 2016-01-22 파일보호시스템 및 파일 보호 방법

Publications (2)

Publication Number Publication Date
KR20170088160A KR20170088160A (ko) 2017-08-01
KR101772439B1 true KR101772439B1 (ko) 2017-08-29

Family

ID=59650302

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160008154A KR101772439B1 (ko) 2016-01-22 2016-01-22 파일보호시스템 및 파일 보호 방법

Country Status (1)

Country Link
KR (1) KR101772439B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020028152A1 (en) * 2018-07-30 2020-02-06 Oscar Chen Ransomware infection detection in filesystems
KR20200088022A (ko) 2019-01-14 2020-07-22 (주) 이드라 파일 보안 장치 및 방법

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101970993B1 (ko) * 2017-11-29 2019-04-23 주식회사 더볼터 랜섬웨어에 대한 데이터 손실이 없는 ssd 내부 방어 방법 및 랜섬웨어 탐지 시스템
KR101889841B1 (ko) 2018-02-20 2018-08-21 (주)지란지교시큐리티 멀티미디어 파일 보안용 컨텐트 방화벽, 컨텐트 보안 시스템 및 기록매체
KR101986638B1 (ko) * 2018-03-06 2019-06-07 주식회사 안랩 보호대상 파일에 대한 악성 차단 시스템 및 악성 차단 방법
KR102091787B1 (ko) * 2018-05-29 2020-03-20 고려대학교 산학협력단 파일 시스템에서의 랜섬웨어 탐지 방법 및 그 장치
US11599629B2 (en) 2019-01-31 2023-03-07 Rubrik, Inc. Real-time detection of system threats
US11550901B2 (en) 2019-01-31 2023-01-10 Rubrik, Inc. Real-time detection of misuse of system credentials
US11709932B2 (en) * 2019-01-31 2023-07-25 Rubrik, Inc. Realtime detection of ransomware
KR102262679B1 (ko) 2019-09-03 2021-06-09 (주)지란지교시큐리티 멀티미디어 파일 보안 시스템 및 방법과 컴퓨터로 읽을 수 있는 기록매체
KR102289407B1 (ko) * 2019-10-16 2021-08-12 국민대학교산학협력단 회피형 랜섬웨어 탐지를 위한 피처 가공 장치 및 방법
KR102262688B1 (ko) 2020-10-29 2021-06-09 (주)지란지교시큐리티 멀티미디어 파일 보안을 위한 기록매체
KR102262680B1 (ko) 2020-10-29 2021-06-09 (주)지란지교시큐리티 멀티미디어 파일 보안 방법 및 기록매체
KR102320387B1 (ko) 2020-11-16 2021-11-03 (주)지란지교시큐리티 멀티미디어 파일 보안용 컴퓨팅 장치, 멀티미디어 보안방법 및 기록매체
KR102303930B1 (ko) 2020-11-26 2021-09-24 (주)지란지교시큐리티 멀티미디어 파일 보안 시스템, 멀티미디어 보안방법 및 기록매체
KR20220101939A (ko) * 2021-01-12 2022-07-19 삼성전자주식회사 데이터 백업을 지원하는 전자 장치 및 그 운용 방법
KR102412298B1 (ko) 2021-12-28 2022-06-23 (주)지란지교시큐리티 멀티미디어 파일 보안 시스템, 그 작동 방법과 기록매체
CN117272392B (zh) * 2023-11-21 2024-03-15 国网四川省电力公司信息通信公司 用于终端的数据安全保护与备份控制方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012208699A (ja) 2011-03-29 2012-10-25 Nec Corp ファイル管理システムおよびバックアップ方法
KR101288833B1 (ko) * 2012-02-01 2013-08-23 주식회사 인프라웨어테크놀러지 오피스문서를 통한 악성 프로그램 유포 차단 방법 및 이를 위한 컴퓨터로 판독가능한 기록매체
US20150172304A1 (en) * 2013-12-16 2015-06-18 Malwarebytes Corporation Secure backup with anti-malware scan

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012208699A (ja) 2011-03-29 2012-10-25 Nec Corp ファイル管理システムおよびバックアップ方法
KR101288833B1 (ko) * 2012-02-01 2013-08-23 주식회사 인프라웨어테크놀러지 오피스문서를 통한 악성 프로그램 유포 차단 방법 및 이를 위한 컴퓨터로 판독가능한 기록매체
US20150172304A1 (en) * 2013-12-16 2015-06-18 Malwarebytes Corporation Secure backup with anti-malware scan

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020028152A1 (en) * 2018-07-30 2020-02-06 Oscar Chen Ransomware infection detection in filesystems
US11120131B2 (en) 2018-07-30 2021-09-14 Rubrik, Inc. Ransomware infection detection in filesystems
US11783036B2 (en) 2018-07-30 2023-10-10 Rubrik, Inc. Ransomware infection detection in filesystems
KR20200088022A (ko) 2019-01-14 2020-07-22 (주) 이드라 파일 보안 장치 및 방법

Also Published As

Publication number Publication date
KR20170088160A (ko) 2017-08-01

Similar Documents

Publication Publication Date Title
KR101772439B1 (ko) 파일보호시스템 및 파일 보호 방법
US7680830B1 (en) System and method for policy-based data lifecycle management
JP5669867B2 (ja) 重複排除データシステムにおけるガーベジコレクション用のシステムおよび方法
US7673324B2 (en) Method and system for tracking an operating performed on an information asset with metadata associated therewith
US8224796B1 (en) Systems and methods for preventing data loss on external devices
CN107563192B (zh) 一种勒索软件的防护方法、装置、电子设备及存储介质
US20130276122A1 (en) System and method for providing storage device-based advanced persistent threat (apt) protection
US20120296878A1 (en) File set consistency verification system, file set consistency verification method, and file set consistency verification program
KR102024053B1 (ko) 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법
WO2020011121A1 (zh) 数据处理方法和存储设备
KR20090064699A (ko) 증거 수사를 위한 디지털 포렌식 서버 및 그 방법
JP2007213405A (ja) 割符情報の管理方法および管理装置
CN111090857B (zh) 防御恶意软件攻击文件的方法、计算机系统以及记录介质
JP5212921B2 (ja) ファイルサーバシステム及びファイル管理方法
KR101055287B1 (ko) 응용프로그램에서 사용되는 임시 파일의 관리 방법
KR102034678B1 (ko) 데이터파일 접근 제어 기반의 악성 차단 시스템 및 악성 차단 방법
KR101763184B1 (ko) 백업을 이용한 파일 복구 방법
KR101857575B1 (ko) 악성코드탐지시스템 및 악성코드 탐지 방법
KR100968121B1 (ko) 이동식 디스크를 통한 악성 프로그램 차단 방법 및 그 장치
KR101995015B1 (ko) 문서의 저장 위치를 제어하기 위한 방법
JP2007226658A (ja) 情報処理端末装置,情報処理方法及び情報処理用プログラム
KR101845284B1 (ko) 악성코드탐지시스템 및 악성코드 탐지 방법
US10162984B2 (en) Method of destroying file contents
TWI493375B (zh) 應用於電腦及電腦系統架構之資訊安全管理方法
JP5435642B2 (ja) ファイル制御プログラム、ファイル制御装置及びファイル制御方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant