KR101904415B1 - 지능형 지속위협 환경에서의 시스템 복구 방법 - Google Patents
지능형 지속위협 환경에서의 시스템 복구 방법 Download PDFInfo
- Publication number
- KR101904415B1 KR101904415B1 KR1020160138078A KR20160138078A KR101904415B1 KR 101904415 B1 KR101904415 B1 KR 101904415B1 KR 1020160138078 A KR1020160138078 A KR 1020160138078A KR 20160138078 A KR20160138078 A KR 20160138078A KR 101904415 B1 KR101904415 B1 KR 101904415B1
- Authority
- KR
- South Korea
- Prior art keywords
- user terminal
- file
- terminal
- window
- recovery
- Prior art date
Links
- 238000011084 recovery Methods 0.000 title claims abstract description 87
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000002085 persistent effect Effects 0.000 title description 6
- 230000002159 abnormal effect Effects 0.000 claims abstract description 10
- 230000008859 change Effects 0.000 claims description 12
- 238000012544 monitoring process Methods 0.000 claims description 10
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 2
- 238000009434 installation Methods 0.000 abstract description 3
- 238000001514 detection method Methods 0.000 description 20
- 230000003449 preventive effect Effects 0.000 description 12
- 241000700605 Viruses Species 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004374 forensic analysis Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/108—Transfer of content, software, digital rights or licenses
- G06F21/1082—Backup or restore
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G06F2221/0782—
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Retry When Errors Occur (AREA)
Abstract
본 발명은 시스템 복구 방법에 관한 것으로, 본 발명에 따른 시스템 복구 방법은 사용자 단말 또는 관리자 단말에서 스파이 웨어를 포함하는 비정상 프로그램 설치 또는 해킹 시도를 포함하는 비정상 행위가 모니터링 되면, 해당 단말의 시스템 파일 복구를 위하여, 미리 설정된 체크 포인트로 복구하는 복구 모드 1, 시스템 파일의 원본 이미지로 복구하는 복구 모드 2 및 윈도우 종료 이전에 시스템 파일과 관련된 패치 프로그램을 업데이트하는 복구 모드 3 중 어느 하나의 복구 모드로 시스템 파일을 복원하여 설정된 목표복구시간 또는 데이터 목표복구시점으로 시스템을 복구하여 최대 중단 허용 시간(Maximum Tolerable Period of Disruption)을 줄일 수 있는 지능형 지속위협 환경에서의 시스템 복구 방법에 관한 것이다.
Description
본 발명은 시스템 복구 방법에 관한 것으로, 특히 해킹 등의 외부 침입에 대응하여 설정된 목표복구시간 또는 데이터 목표복구시점으로 상태를 복원할 수 있는 지능형 지속위협 환경에서의 시스템 복구 방법에 관한 것이다.
사이버 공격은 조직적이고 지능적으로 이루어지고 있으며, 특히, 해킹 조직이 경제적인 목적을 가지고 특정 공격 표적을 대상으로 은밀하고, 지속적으로 지능적인 공격을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격이 급격히 증가하고 있어 사회적으로 큰 문제가 되고 있다. 특히, APT 공격은 조직의 중요정보를 불법적으로 갈취하기 위해 해커 또는 해킹 조직이 공격 대상 조직에 악성코드를 침투시킨 후, 지속적인 악성코드 업데이트를 통해, 중요정보 접근 권한자의 호스트를 악성코드로 감염시킴으로써, 중요정보를 유출시키는 공격 방법이다.
국내등록특허 제10-0635130호("윈도우 네트워크 감시를 통한 커널 백도어 탐지 시스템 및 방법")에서는 윈도우 네트워크 구성요소 중에서 TDI(Transport Driver Interface) 계층과 NDIS(Network Driver Interface Specification) 계층을 통과하는 네트워크 패킷의 정보를 비교 분석하여 정상적인 네트워크 행위로부터 발생된 네트워크 패킷과 커널 백도어와 같은 악성 네트워크 행위로부터 발생된 네트워크 패킷을 서로 구분하여 커널 백도어를 탐지함과 아울러, 이러한 커널 백도어로부터 발생된 네트워크 패킷을 필터링하여 커널 백도어로 인한 침입을 방지할 수 있는 커널 백도어 탐지 시스템 및 방법을 개시하고 있다.
그러나 국내등록특허 제10-0635130호는 커널 백도어로 칩입을 방지하는 데 국한된 기술로, 시스템 서버 또는 내부 네트워크에 접속된 단말들을 통해 문서 유출 또는 해킹을 방지할 수 없을 뿐만 아니라, 바이러스, 스파이웨어 등에 의해 시스템이 손상되었을 경우 즉각적으로 복구하는 기술이 개시되어 있지 않다.
본 발명이 해결하고자 하는 과제는 해킹 등의 외부 침입 발생시, 미리 설정된 목표복구시간 또는 데이터 목표복구시점으로 시스템을 복구하여 최대 중단 허용 시간(Maximum Tolerable Period of Disruption)을 줄여 업무의 가용성과 연속성을 제공할 수 있는 지능형 지속위협 환경에서의 시스템 복구 방법을 제공하는 데 있다.
상기 과제를 해결하기 위하여, 본 발명은 (a) 사용자 단말 또는 관리자 단말에서 입력되는 부팅 신호를 확인하는 단계; (b) 상기 사용자 단말 또는 관리자 단말의 하드 디스크 드라이브의 부팅 영역에서 MBR(Master boot recoder; 이하 'MBR'이라 함)의 백업 유무를 확인하는 단계; (c) 상기 MBR의 백업이 있을 경우 상기 MBR의 손상 유무를 확인하는 단계; (d) 상기 MBR의 손상이 없을 경우 윈도우 부팅을 시작 단계; (e) 상기 사용자 단말 또는 관리자 단말의 스파이 웨어를 포함하는 비정상 프로그램 설치 또는 해킹 시도를 포함하는 비정상 행위를 모니터링 단계; (f) 상기 사용자 단말 또는 관리자 단말의 비정상 행위 발견시 해당 단말의 업무를 종료하는 단계; (g) 상기 해당 단말의 시스템 파일 복구를 위한 복구 모드 선택 단계; 및 (h) 상기 해당 단말의 윈도우를 종료하는 단계를 포함하되, 상기 복구 모드는 미리 설정된 체크 포인트로 복구하는 복구 모드 1, 시스템 파일의 원본 이미지로 복구하는 복구 모드 2 및 윈도우 종료 이전에 시스템 파일과 관련된 패치 프로그램을 업데이트하는 복구 모드 3 중 어느 하나인 것을 특징으로 하는 시스템 복구 방법을 포함할 수 있다.
상기 시스템 복구 방법은 상기 단계(h) 이후, 상기 윈도우가 정상적으로 종료되지 않을 경우 상기 시스템 파일의 파일 변경을 모니터링 하고, 상기 시스템 파일의 파일 변경이 상기 패치 프로그램의 업데이트와 관련된 파일일 경우 상기 파일 변경을 포함하는 시스템 파일을 원본 이미지로 저장하는 단계를 더 포함할 수 있다.
상기 시스템 복구 방법은 상기 단계(h) 이후, 상기 윈도우가 정상적으로 종료된 경우 상기 패치 프로그램의 업데이트 시점을 체크포인트로 저장하는 단계를 더 포함할 수 있다.
본 발명의 실시 예에 따른 지능형 지속위협 환경에서의 시스템 복구 방법은 바이러스, 스파이웨어 등에 의해 시스템이 손상되었을 경우 즉각적으로 복구할 수 있으며, 설정된 목표복구시간 또는 데이터 목표복구시점으로 시스템을 복구하여 최대 중단 허용 시간(Maximum Tolerable Period of Disruption)을 줄일 수 있다.
도 1은 본 발명의 실시 예에 따른 지능형 지속위협 환경에서의 시스템 복구 방법이 적용된 네트워크 시스템을 도시한 시스템도.
도 2는 도 1에 도시된 사용자 단말의 주요 구성 요소를 도시한 블록도.
도 3은 도 1에 도시된 보안 서버의 주요 구성 요소를 도시한 블록도.
도 4는 도 3에 도시된 교정 통제부의 주요 구성 요소를 도시한 블록도.
도 5는 본 발명의 실시 예에 따른 지능형 지속위협 환경에서의 시스템 복구 방법을 순차적으로 도시한 흐름도.
도 2는 도 1에 도시된 사용자 단말의 주요 구성 요소를 도시한 블록도.
도 3은 도 1에 도시된 보안 서버의 주요 구성 요소를 도시한 블록도.
도 4는 도 3에 도시된 교정 통제부의 주요 구성 요소를 도시한 블록도.
도 5는 본 발명의 실시 예에 따른 지능형 지속위협 환경에서의 시스템 복구 방법을 순차적으로 도시한 흐름도.
이하, 도면을 참조한 본 발명의 설명은 특정한 실시 형태에 대해 한정되지 않으며, 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있다. 또한, 이하에서 설명하는 내용은 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
이하의 설명에서 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용되는 용어로서, 그 자체에 의미가 한정되지 아니하며, 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
본 명세서 전체에 걸쳐 사용되는 동일한 참조번호는 동일한 구성요소를 나타낸다.
본 발명에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 또한, 이하에서 기재되는 "포함하다", "구비하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것으로 해석되어야 하며, 하나 또는 그 이상의 다른 특징들이나, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 본 발명의 실시 예를 첨부한 도 1 내지 도 5를 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 실시 예에 따른 지능형 지속위협 환경에서의 시스템 복구 방법이 적용된 네트워크 시스템을 도시한 시스템도이고, 도 2는 도 1에 도시된 사용자 단말의 주요 구성 요소를 도시한 블록도이며, 도 3은 도 1에 도시된 보안 서버의 주요 구성 요소를 도시한 블록도이며, 도 4는 도 3에 도시된 교정 통제부의 주요 구성 요소를 도시한 블록도이다.
도 1 내지 도 4를 참조하면, 네트워크 시스템은 사용자 단말(10), 관리자 단말(20), 보안 서버(40) 및 시스템 서버(30)를 포함할 수 있다.
구체적으로, 사용자 단말(10)은 기업, 학교, 기관 등에서 사용되는 개인용 컴퓨터, 노트북, 스마트 단말 등을 포함할 수 있다. 사용자 단말(10)을 각종 소프트웨어를 탑재하여 문서작성, 통계, 이미지 처리 등의 업무를 수행할 수 있다. 사용자 단말(10)은 유선 또는 무선 인터넷을 이용하여 내부 네트워크와 접속하여 정보를 공유할 수 있으며, 외부 네트워크와 접속하여 외부의 개인 또는 기업, 단체, 기관 등의 외부 서버에 접속할 수 있다.
사용자 단말(10)은 도 2에 도시된 바와 같이, 하드 디스크 드라이버(11), 중앙처리장치(15), 디스플레이장치(미도시), 입력장치(미도시) 등의 구성을 포함할 수 있다.
하드 디스크 드라이버(11)는 시스템 파일, 일반 데이터 파일 및 복원용 시스템 파일을 저장할 수 있다. 또한, 하드 디스크 드라이버(11)는 시스템 파일을 업데이트하는 패치 프로그램을 저장할 수 있다. 이러한 하드 디스크 드라이버(11)는 시스템 파일을 저장하는 시스템 파일 저장 영역(12), 일반 데이터 파일을 저장하는 데이터 파일 저장 영역(13) 및 복원용 시스템 파일을 저장하는 복원용 시스템 파일 저장 영역(14)이 구분될 수 있다.
또한, 하드 디스크 드라이버(11)는 최외각 섹터에 MBR(Master boot recoder; 이하 'MBR'이라 함)이 저장되는 영역이 설정될 수 있다.
중앙처리장치(15)는 윈도우 운영체제 등의 시스템 파일을 이용하여 사용자 단말(10)을 부팅시키는 프로세서이며, 사용자 단말(10)에서 사용되는 각종 응용 프로그램 등을 실행시킨다.
중앙 처리 장치(15)는 시스템 복구 또는 시스템 복원시 복구 데이터 저장 영역의 시스템 파일을 사용하여 복구하거나, 패치 업데이트가 기록된 체크 포인트를 이용하여 복구 할 수 있다. 이에 대한 설명은 추후 다시 하기로 한다.
관리자 단말(20)은 사용자 단말(10)과 같은 개인용 컴퓨터, 노트북, 스마트 단말 등을 포함할 수 있다. 관리자 단말(20)은 내부 네트워크와 접속하여 각 사용자 단말(10)에 보안 관련 사항을 전송할 수 있다. 또한, 관리자 단말(20)은 보안 서버(30)에 접속하여 확정된 보안 정책을 실행하도록 할 수 있다. 관리자 단말(20)은 상기 사용자 단말(10)과 같은 구성요소를 구비한다.
시스템 서버(30)는 사용자 단말(10)과 내부 통신망을 통해 접속되어 사용자 단말(10)에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장할 수 있다. 시스템 서버(30)는 접속하는 사용자 단말(10)의 사용환경을 제공할 수 있다.
보안 서버(40)는 복수의 주요 정보 또는 문서 정보들의 중요도를 평가하여 중요도별로 접근 권한을 설정한다. 예를 들면, 보안 서버(40)는 복수의 주요 정보 또는 문서 정보들 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 주요 정보 또는 문서 정보의 중요도를 평가하고, 평가된 주요 정보 또는 문서 정보들을 중요도에 따라 접근 권한을 다르게 한다.
또한, 보안 서버(40)는 위험 요소를 분석하여 위험 요소가 있는 주요 정보 또는 문서 정보의 접근을 통제한다. 보안 서버(40)는 주요 정보 또는 문서 정보의 접근 통제를 위하여 권한에 따른 사용자 단말(10)의 주요 정보 또는 문서 정보 접근을 통제한다.
보안 서버(40)는 외부 외부 해킹으로부터 주요 정보 또는 문서 정보를 보호하기 위하여, 해킹으로 사용되는 외부 서버를 등록하고, 사용자 단말(10)이 해킹의 주요 루트가 되는 외부 서버로 접속하는 것을 사전에 차단하거나, 외부 서버에서 사용자 단말(10)로 접근하는 것을 통제한다. 이를 위하여, 보안 서버(40)는 사용자 단말(10)의 네트워크 트래픽을 감시한다. 또한, 보안 서버(40)는 사용자 단말(10)의 로그 파일을 저장하며, 사용자 단말(10)을 통한 해킹을 포함하는 비정상행위가 모니터링되면 해당 사용자 단말의 업무를 종료시키거나, 사용자 단말(10)를 로그오프 시킨다.
이때, 보안 서버(40)는 사용자 단말(10)의 백업 이미지를 생성하여 저장하고, 백업 이미지를 복원하여 사용자 단말(10)에 제공할 수 있다.
보안 서버(40)는 백업 이미지 복원 이전에 사용자 단말(10)을 통해 접속된 해킹 서버 등의 위험에 대한 위험 요소를 업데이트하여 사용자 단말(10)에 공지할 수 있다.
도 3 및 도 4에 도시된 바와 같이, 보안 서버(40)는 예방 통제부(100), 탐지 통제부(200) 및 교정 통제부(300)를 구비할 수 있다.
먼저, 예방 통제부(100)은 사용자 단말(10)에서 생성되는 주요 정보 또는 문서 정보들의 중요도를 평가하고, 평가가 완료된 문서에 대한 결함여부를 평가할 수 있다. 예방 통제부(100)은 미리 설정된 기준에 따라 복수의 주요 정보 또는 문서 정보들의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 주요 정보 또는 문서 정보의 중요도를 평가한다. 예를 들면, 정보 자산 평가부(110)는 시스템 서버(30)에 저장된 주요 정보 또는 문서 정보를 기밀성에 대하여 상, 중, 하 또는 A, B, C, … 또는 1, 2, 3, … 등으로 등급을 설정한다. 예를 들면, 개인 정보, 금융 정보 등의 경우 기밀성을 높게 설정하고, 일반 업무 문서 등의 문서는 기밀성을 상대적으로 낮게 설정한다.
문서의 결함여부는 바이러스 또는 악성 코드의 감염여부, 문서의 작성 종결 여부, 암호화 여부 등을 통해 기밀성 평가와 같이 등급을 설정한다. 또한, 예방 통제부(100)은 주요 정보 또는 문서 정보의 가용성에 대하여 기밀성 평가와 같이 등급을 설정한다.
예방 통제부(100)은 주요 정보 또는 문서 정보의 등급이 결정되면 등급에 따라 사용자 단말(10) 또는 관리자 단말(20)에서 접근시 접근 권한을 다르게 할 수 있다.
예방 통제부(100)은 네트워크의 취약점 또는 주요 정보 또는 문서 정보의 취약점을 분석할 수 있다. 예를 들면, 예방 통제부(100)은 취약성 분석 도구를 이용하여 주요 정보 또는 문서 정보의 잠재적 위험 요소를 분석하고, 신규 취약성에 발견되면 신규 취약성에 대한 안전성 검사를 수행하도록 관리자 단말(20)에 신규 취약성 발견에 대한 정보를 제공한다.
예방 통제부(100)은 잠재적 위험 요소의 취약성 검사 및 취약성 발견 정보와 관련된 이력을 저장하며, 이러한 이력을 관리자 단말(20)에 제공할 수 있다.
또한, 예방 통제부(100)은 주요 정보 또는 문서 정보에 접근을 통제하기 위하여, 사용자 단말(10) 또는 관리자 단말(20)이 인가되지 않은 웹서버로 접근하는 것을 통제한다. 이를 위하여, 예방 통제부(100)은 접속 가능한 웹서버 또는 접속 차단한 웹서버의 URL 정보를 미리 설정한다. 예방 통제부(100)은 사용자 단말(10)로 보안공지를 강제하도록 할 수 있다. 예방 통제부(100)은 관리자 단말(20)에서 발송된 보안공지를 사용자 단말(10)의 확인 여부를 파악하기 위하여 사용자 단말(10)로 전송된 보안공지를 관리자 단말(20) 또는 통제 정책 관리부(130)에 피드백하도록 할 수 있다.
구체적으로, 탐지 통제부(200)은 사용자 단말(10) 또는 관리자 단말(20)의 업무를 위한 시스템 서버(30) 접속 인증을 수행할 수 있다. 이때, 탐지 통제부(200)은 2개 이상의 인증 요소를 사용하여 인증할 수 있는 2팩터(2 factor) 인증 방식을 사용할 수 있다. 예를 들면, 탐지 통제부(200)은 사용자 단말(10) 또는 관리자 단말(20)에서 아이디(ID)와 패스워드(Password) 입력시 1차 인증을 수행하고, 1차 인증이 완료되면 이후 OTP, 공인인증서, ARS, QR코드 등의 방식을 이용하여 2차 인증을 수행한다. 이를 통해 단말의 접속 보안을 강화할 수 있다.
인증이 완료되면, 시스템 서버(30)에 이를 통지하여 사용자 단말(10) 또는 관리자 단말(20)에서 시스템 서버(30)로 접근하도록 할 수 있다.
탐지 통제부(200)은 지능형 타깃 지속 공격(APT; Advanced Persistent Threat)의 호스트 역할을 역할을 하는 C&C C&C(Command & Control Server) 서버의 IP 목록을 관리하고, 이에 대한 관련 정보를 수집 및 분석한다. 탐지 통제부(200)은 RSS 서비스로 제공되는 신규 C&C 서버의 목록을 주기적으로 업데이트하여 사용자 단말(10) 또는 관리자 단말(20)에서 C&C 서버를 통해 접속하거나, C&C 서버를 통해 사용자 단말(10) 또는 관리자 단말(20)이 시스템 서버(30)로 접속하는 것을 관리할 수 있다.
탐지 통제부(200)은 사용자 단말(10) 또는 관리자 단말(20)이 P2P서버 또는 유해 사이트에 접근하는 것을 통제할 수 있다. 탐지 통제부(200)은 앞서 설명한 설정된 P2P서버 또는 유해 사이트의 URL정보를 이용하여 유해 사이트의 접근을 통제할 수 있다. 이때, 탐지 통제부(200)은 C&C 서버 접속 이외의 P2P서버 또는 유해 사이트들의 접근을 통제한다.
또한, 탐지 통제부(200)은 사용자 단말(10)에서 주요 정보 또는 문서 정보에 접근시 이를 탐지하여 관리자 단말(20)에 통보한다.
탐지 통제부(200)은 사용자 단말(10)에서 발생되는 모든 네트워크 트래픽을 수집하고 경로를 저장한다. 한편, 탐지 통제부(200)은 URL과 IP의 사전 매칭을 이용하여 미리 등록된 사이트 또는 서버에 대해서 패킷 감시를 수행하지 않을 수 있다.
한편, 탐지 통제부(200)은 IP 기반 C&C 서버의 탐지를 위하여 암호화 통신을 통해 전달되는 비밀 패킷을 모니터링 할 수 있다.
교정 통제부(300)는 TCP 패킷 태깅 및 인식부(310), 보안 에이전트 관리부(320), 중앙 문서 관리부(330), 사용자 단말 제어부(340) 및 시스템 복원부(350)를 포함할 수 있다.
구체적으로, TCP 패킷 태깅 및 인식부(310)는 내부 네트워크의 공유기를 사용하는 사용자 단말(10)에서 발생한 네트워크 패킷을 구별하기 위하여 사용자 단말(10)에서 발생한 모든 TCP 패킷에 고유 ID를 태깅할 수 있다. 이를 통해, TCP 패킷 태깅 및 인식부(310)는 TCP 패킷을 구분할 수 있어 탐지 통제부(200)에서 수집된 네트워크 트래픽을 용이하게 분석하도록 할 수 있다.
보안 에이전트 관리부(320)는 사용자 단말(10)에 설치되는 보안 에이전트(예를 들면, 보안 프로그램 또는 안티 바이러스 프로그램 등)의 설치를 감시하고, 보안 에이전트가 설치되지 않은 사용자 단말(10)에 보안 에이전트를 설치하도록 보안 에이전트를 사용자 단말(10)에 전송할 수 있다.
또한, 보안 에이전트 관리부(320)는 사용자 단말(10)에 설치된 보안 에이전트에 최신 버전의 업데이트를 진행한다.
중앙 문서 관리부(330)는 사용자 단말(10)에서 작업된 문서를 시스템 서버(30)에 저장할 수 있도록 파일 시스템 드라이버를 사용한다. 여기서, 파일 시스템 드라이버는 사용자 단말(10)의 문서 작성 표준 파일 시스템일 수 있다.
사용자 단말 제어부(340)는 허가되지 않은 사용자 단말(10)에서 주요 정보 또는 문서 정보에 접근할 경우 이를 외부 공격으로 판단하고, 사용자 단말(10)의 네트워크를 통신 및 주요 매체(시스템 서버 등)으로 접근을 차단할 수 있다. 사용자 단말 제어부(340)는 사용자 단말(10)에 접근하여 내부에 악성코드, 스파이웨어, 바이러스, 스파이 봇 등의 위험요소로 분류된 프로세스 또는 프로그램의 실행을 강제로 종료시키거나, 해당 프로세서의 실행을 방지할 수 있다. 그리고, 사용자 단말 제어부(340)는 상기 위험 요소가 발견되지 않은 사용자 단말(10)에 시스템 서버(30)로 접근이 가능하도록 1회용 암호를 생성하여 전송하고, 암호 입력시 시스템 서버(30)로 접근을 허락한다.
시스템 복원부(350)는 사용자 단말(10) 또는 관리자 단말(20)이 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 감염된 것으로 판단되면, 해당 사용자 단말의 백업 이미지를 저장한다.
시스템 복원부(350)는 사용자 단말(10) 또는 관리자 단말(20)을 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 감염 이전 상태로 복원하도록 할 수 있다. 이때, 시스템 복원부(350)는 사용자 단말(10) 또는 관리자 단말(20)의 복원시 복구목표시간이나, 데이터 목표복구시점으로 즉각적인 복원이 되도록 하여 최대 중단 허용 시간을 줄이도록 한다. 이를 위하여, 시스템 복원부(350)는 선택적인 복구 모드가 설정될 수 있다.
예를 들면, 시스템 복원부(350)는 체크포인트로 복구하는 복구 모드 1, 원본 시스템 파일로 복구하는 복구 모드 2 및 윈도우 종료를 통한 복구 모드 3이 선택적으로 설정될 수 있도록 한다.
제1 복구 모드의 경우, 미리 설정된 체크포인트로 복구 시점을 지정함으로써 사용자 단말(10) 또는 관리자 단말(20)이 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 감염된 것으로 판단되면 바로 상기 체크포인트 시점의 시스템 파일을 이용하여 사용자 단말(10) 또는 관리자 단말(20)의 상태를 복원하도록 한다. 이를 위하여, 시스템 복원부(350)는 윈도우 종료 이전에 상시적으로 패치 프로그램을 업데이트하고, 윈도우 종료시 패치 프로그램의 업데이트 시점을 체크포인트로 저장할 수 있다.
또한, 시스템 복원부(350)는 체크 포인트로 복구 시점 설정 시 특정 일자를 선택하도록 할 수 있으며, 특정 일자는 인증을 수행한 관리자 단말(20)에서 설정하도록 할 수 있다. 시스템 복원부(350)는 체크포인트를 바이러스, 악성코드, 스파이웨어, 스파이 봇 등의 감염 바로 직전의 패치 프로그램 설정 시점으로 체크포인트를 설정할 수도 있다. 이에 따라, 바이러스, 악성코드, 스파이웨어, 스파이 봇 등이 검출되었을 경우 그 이후에 설치된 패치 프로그램이 시스템 파일 저장 영역에 저장되었을 경우에도 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 의한 시스템 오류, 해킹 등을 방지하도록 할 수 있다.
복구 모드 2는 저장된 시스템 파일 원본의 이미지를 이용한 복구 모드이다. 예를 들면, 시스템 복원부(350)는 윈도우 등의 운영체제가 정상적으로 종료되지 않을 경우 해당 사용자 단말(10) 또는 관리자 단말(20)의 시스템 파일 변경을 모니터링 하고, 패치 프로그램이 정상적으로 업데이트 되었을 경우 이를 시스템 파일로 저장함과 동시에 시스템 파일 원본 이미지로 사용하도록 한다.
복구 모드 3은 윈도우 종료 및 리부팅을 통한 복구모드로서 시스템 파일 업데이트를 위한 패치 프로그램의 수신과 시스템 파일의 정상적인 동작 등을 확인하고 윈도우를 종료한다.
시스템 복원부(350)는 보안 서버(40)에 탑재된 것을 예를 들어 설명하였으나, 각각의 사용자 단말(10) 또는 관리자 단말(20)에 설치될 수 있다.
또한, 시스템 복원부(350)는 구성요소로서 설명되었으나, 컴퓨터에서 동작하는 프로그램 등으로 구현될 수 있다.
도 5는 본 발명의 실시 예에 따른 지능형 지속위협 환경에서의 시스템 복구 방법을 순차적으로 도시한 흐름도이다.
도 5를 참조하면, 본 발명의 실시 예에 따른 시스템 복구 방법은 부팅 신호를 확인하는 단계(S100), 부팅 영역에서 MBR의 백업 유무를 확인하는 단계(S110), MBR 손상 유무를 확인하는 단계(S130), 윈도우 부팅 시작 단계(S150), 업무 수행 단계(S160), 비정상 행위 모니터링 단계(S170), 업무 종료 단계(S180), 복구 모드 선택 단계(S200), 복구 모드 1로 동작하는 단계(S210), 복구 모드 2로 동작하는 단계(S220), 복구 모드 3으로 동작하는 단계, 윈도우 종료 단계(S300), 체크포인트 저장 단계(S310), 파일변경 모니터링 단계(S320), 패치 프로그램 관련 여부 판단 단계(S330), 시스템 파일 저장 단계(S350) 및 임시 데이터 저장 단계(S340)를 포함할 수 있다.
구체적으로, 사용자가 사용자 단말(10)의 전원스위치 또는 시작 스위치를 동작시켜 부팅을 실시할 경우 사용자 단말(10)의 내부 메모리의 부트 영역을 시작하도록 하는 시작 신호를 확인한다(S100). 또한, 복구 모드 1 또는 복구 모드 2로 동작시 재부팅하는 경우도 이에 해당한다.
이어서, 부팅신호가 수신되면 사용자 단말의 하드 디스크 드라이브에 설정된 부팅 영역에서 MBR(Master boot recoder; 이하 'MBR'이라 함)의 백업 유무를 확인한다(S110). 예를 들면, 사용자 단말은 부팅 시 지정된 메모리 영역에 저장되어 있을 경우, 백업된 것으로 간주하고, 지정된 영역에 MBR이 없을 경우 백업되지 않은 것으로 간주한다. 통상적으로, 사용자 단말을 포함하는 컴퓨터는 하드 디스크 드라이브의 지정된 섹터에 MBR이 저장되며, 부팅신호가 수신되면 지정된 섹터의 MBR을 검색하여 MBR 코드를 검사한다. 이때, 미리 지정된 섹터에 MBR이 없을 경우 백업이 이루어지지 않은 것으로 간주하고, MBR을 저장하며, 저장된 메모리 섹터를 지정한다(S120).
MBR이 있을 경우, MBR의 손상 여부를 판단한다(S130). 부팅 시 파티션 정보 및 실행코드 중 어느 하나의 정보 손상이 발생된 것으로 판단되면, MBR을 복원한다(S140).
MRR 손상이 없을 경우 윈도우 부팅을 시작한다(S150).
사용자 단말은 사용자의 일반 업무를 위한 프로세서를 실행한다(S160). 이때, 보안 서버 또는 사용자 단말 또는 관리자 단말은 외부의 비정상적인 접근, 예를 들면, 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 의한 해킹 등이 모니터링되면 업무를 종료한다(S170, S180).
이어서, 복구모드를 선택한다(S200). 복구모드 선택시 사용자 또는 관리자에 의해 미리 복구모드 1, 2, 3 중 어느 하나가 지정되거나, 복구 모드 선택 메시지가 출력되어 사용자 또는 관리자가 선택하도록 할 수 있다.
복구 모드 1로 선택될 경우, 체크포인트를 이용하여 복구한다(S210). 즉, 복구 모드 1은 사용자 또는 보안 서버에서 미리 설정한 체크포인트를 이용하여 시스템 파일을 복구할 수 있다. 예를 들면, 시스템 파일의 체크포인트 복구를 위하여 설정된 시간, 패치프로그램 설치 시점, 윈도우 종료 시점 등을 기준으로 사용할 수 있다.
이때, 체크포인트는 시간으로 설정될 경우에는 사용자가 특정한 날짜로 설정될 수 있다. 즉, 체크포인트는 사용자가 미리 설정한 특정일자로 설정될 수 있으며, 특정일자를 설정하기 위한 날짜 정보가 미리 제공될 수 있다.
또한, 체크포인트는 패치프로그램 설치 시점으로 설정될 수도 있다. 즉, 체크포인트는 시스템 파일 중 주로 업데이트되는 업데이트가 완료된 패치프로그램의 최종 설치 시점으로 설정될 수 있다.
또한, 체크포인트는 윈도우 종료 시점으로 설정될 수도 있다. 즉, 윈도우 종료 시점 시 설치된 업데이트 패치프로그램 등이 정상적으로 동작하는 것으로 판단이 가능하므로 최종 윈도우 종료 시점을 체크포인트로 설정할 수 있다.
상기와 같이, 체크포인트로 시스템 파일을 복구할 경우 복구시점 이후에 설치되거나, 업데이트된 파일 또는 프로그램은 삭제된다.
복구 모드 2가 선택될 경우 시스템 파일 저장영역에 저장된 시스템 파일 원본 이미지를 이용하여 시스템을 복구할 수 있다(S220). 시스템 파일 원본 이미지는 보안 서버에서 이상이 없는 시스템 파일 원본 이미지가 생성되고, 이러한 원본 이미지는 복구시 해당 사용자 단말 또는 관리자 단말에 제공되거나, 주기적으로 제공될 수 있다.
상기 복구 모드 1 또는 2가 진행된 이후, 윈도우 재부팅을 위하여 부트 신호 확인 단계(S100)로 회귀한 후 이후 프로세스가 진행된다. 이때, 업무 수행 단계(S160) 내지 업무 종료 단계(S180)는 제외된다.
복구 모드 3이 선택될 경우 윈도우를 종료한다(S300).
이때, 복구 모드 3은 복구 모드 1 또는 복구 모드 2가 동작된 이후 상시적으로 수행되는 단계일 수 있다. 즉, 복구 모드 1 또는 2로 시스템이 복구된 이후, 패치 프로그램의 업데이트를 위하여 윈도우를 종료한다.
이때, 윈도우 종료 이전에 상시적으로 패치 프로그램을 업데이트하는 단계가 추가될 수 있다. 즉, 시스템 파일의 정상 사용을 위한 업데이트는 외부 시스템 파일 제공 서버에서 상시적으로 패치 프로그램이 제공되므로 이러한 패치 프로그램이 제공될 경우 사용자 단말 또는 관리자 단말에서는 이를 감지하여 해당 패치 프로그램을 업데이트 한다.
윈도우 정상 종료될 경우 상기 패치 프로그램 업데이트 정보를 알 수 있도록 체크 포인트를 저장한다(S310). 특히, 정상적인 패치 프로그램을 삭제할 경우 추후 복구 이후에 패치 프로그램 설치 시간이 소요될 수 있으므로 패치 프로그램 업데이트 시 정상적인 패치 프로그램이 설치된 시점 또는 영역을 기준으로 체크 포인트가 저장되는 것이 바람직하다.
한편, 윈도우가 정상 종료되지 않을 경우 파일 변경을 모니터링 한다(S320). 보안 서버는 사용자 단말 또는 관리 단말의 윈도우가 정상 종료 되지 않았을 경우 시스템 파일의 변경이 있는지 모니터링하고, 변경된 시스템 파일이 비정상일 경우 복구 선택 모드로 회귀한다.
파일변경 모니터링 결과 변경된 시스템 파일이 정상일 경우 패치 프로그램과 관련이 있을 경우 시스템 파일을 저장한다(S330, S350). 이때, 패치 프로그램은 추후 복구 시간이 줄어들 수 있도록 패치 프로그램이 업데이트된 시스템 파일을 원본 이미지로 사용할 수 있도록 이를 저장하는 것이 바람직하다.
한편, 변경된 파일이 패치 프로그램과 관련이 없을 경우 임시 데이터를 저장하고, 이를 포렌식 분석하도록 한다(S340).
이후, 윈도우 종료 단계(S300)로 회귀한다.
상기에서 설명한 시스템 복구 방법에서 복구 모드 1을 먼저 진행하고, 복구 모드 1로 복구가 되지 않을 경우 복구 모드 2로 다시 시스템 복구를 진행할 수 있다. 또한, 복구 모드 1은 설정된 회수 동안 반복 진행된 후, 설정된 회수 이후에도 시스템 복구에 오류가 발생될 경우 복구 모드 2로 진행할 수 있다.
한편, 본 발명의 설명에서는 보안 서버에서 사용자 단말, 관리자 단말, 시스템 서버 등에서 이상 발견 시 복구 모드를 실행하는 것을 예를 들어 설명하였으나, 복구 모드 선택 단계(S200), 복구 모드 1로 동작하는 단계(S210), 복구 모드 2로 동작하는 단계(S220), 복구 모드 3으로 동작하는 단계, 윈도우 종료 단계(S300), 체크포인트 저장 단계(S310), 파일변경 모니터링 단계(S320), 패치 프로그램 관련 여부 판단 단계(S330)를 수행하는 프로그램이 사용자 단말, 관리자 단말, 시스템 서버에 설치되어 각 단말 내에서 실행될 수 있다.
상기와 같이, 본 발명의 실시 예에 따른 지능형 지속위협 환경에서의 시스템 복구 방법은 바이러스, 스파이웨어 등에 의해 시스템이 손상되었을 경우 즉각적으로 복구할 수 있으며, 설정된 목표복구시간 또는 데이터 목표복구시점으로 시스템을 복구하여 최대 중단 허용 시간(Maximum Tolerable Period of Disruption)을 줄일 수 있다.
10: 사용자 단말
20: 관리자 단말
30: 시스템 서버
40: 보안 서버
100: 예방 통제 부
200: 탐지 통제 부
300: 교정 통제 부
310: TCP 패킷 태깅 및 인식부
320: 보안 에이전트 관리부
330: 중앙 문서 관리부
340: 사용자 단말 제어부
350: 시스템 복원부
20: 관리자 단말
30: 시스템 서버
40: 보안 서버
100: 예방 통제 부
200: 탐지 통제 부
300: 교정 통제 부
310: TCP 패킷 태깅 및 인식부
320: 보안 에이전트 관리부
330: 중앙 문서 관리부
340: 사용자 단말 제어부
350: 시스템 복원부
Claims (3)
- (a) 사용자 단말 또는 관리자 단말에서 입력되는 부팅 신호를 확인하는 단계;
(b) 상기 사용자 단말 또는 관리자 단말의 하드 디스크 드라이브의 부팅 영역에서 MBR(Master boot recoder; 이하 'MBR'이라 함)의 백업 유무를 확인하는 단계;
(c) 상기 MBR의 백업이 있을 경우 상기 MBR의 손상 유무를 확인하는 단계;
(d) 상기 MBR의 손상이 없을 경우 윈도우 부팅을 시작 단계;
(e) 상기 사용자 단말 또는 관리자 단말의 스파이 웨어를 포함하는 비정상 프로그램 설치 또는 해킹 시도를 포함하는 비정상 행위를 모니터링 단계;
(f) 상기 사용자 단말 또는 관리자 단말의 비정상 행위 발견시 해당 단말의 업무를 종료하는 단계;
(g) 상기 해당 단말의 시스템 파일 복구를 위한 복구 모드 선택 단계; 및
(h) 상기 해당 단말의 윈도우를 종료하는 단계를 포함하되,
상기 복구 모드는 미리 설정된 체크 포인트로 복구하는 복구 모드 1, 시스템 파일의 원본 이미지로 복구하는 복구 모드 2 및 윈도우 종료 이전에 시스템 파일과 관련된 패치 프로그램을 업데이트하는 복구 모드 3 중 어느 하나이며,
상기 단계(h) 이후,
상기 윈도우가 정상적으로 종료되지 않을 경우 상기 시스템 파일의 파일 변경을 모니터링 하고, 상기 시스템 파일의 파일 변경이 상기 패치 프로그램의 업데이트와 관련된 파일일 경우 상기 파일 변경을 포함하고,
상기 시스템 파일의 파일 변경이 상기 패치 프로그램의 업데이트와 관련이 없는 파일일 경우 임시 데이터를 저장하고, 이를 포렌식 분석한 후 상기 윈도우를 종료 단계로 회귀하는 단계를 포함하는 시스템 복구 방법. - 삭제
- 제 1 항에 있어서,
상기 단계(h) 이후,
상기 윈도우가 정상적으로 종료된 경우 상기 패치 프로그램의 업데이트 시점을 체크포인트로 저장하는 단계를 더 포함하는 시스템 복구 방법.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160138078A KR101904415B1 (ko) | 2016-10-24 | 2016-10-24 | 지능형 지속위협 환경에서의 시스템 복구 방법 |
| PCT/KR2016/012033 WO2018079867A1 (ko) | 2016-10-24 | 2016-10-26 | 지능형 지속위협 환경의 네트워크 복구 시스템을 이용한 복구 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160138078A KR101904415B1 (ko) | 2016-10-24 | 2016-10-24 | 지능형 지속위협 환경에서의 시스템 복구 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20180044506A KR20180044506A (ko) | 2018-05-03 |
| KR101904415B1 true KR101904415B1 (ko) | 2018-10-04 |
Family
ID=62244892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160138078A KR101904415B1 (ko) | 2016-10-24 | 2016-10-24 | 지능형 지속위협 환경에서의 시스템 복구 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101904415B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102221593B1 (ko) * | 2020-10-23 | 2021-03-02 | 주식회사 오파스넷 | 단말의 설치 환경 유지를 위한 시스템 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110023114A1 (en) * | 2009-07-22 | 2011-01-27 | Wael William Diab | Method and System For Traffic Management Via Virtual Machine Migration |
-
2016
- 2016-10-24 KR KR1020160138078A patent/KR101904415B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110023114A1 (en) * | 2009-07-22 | 2011-01-27 | Wael William Diab | Method and System For Traffic Management Via Virtual Machine Migration |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20180044506A (ko) | 2018-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101744631B1 (ko) | 네트워크 보안 시스템 및 보안 방법 | |
| US10331884B2 (en) | Method and system for countering ransomware | |
| EP3225010B1 (en) | Systems and methods for malicious code detection accuracy assurance | |
| EP3486824B1 (en) | Determine malware using firmware | |
| US20180375826A1 (en) | Active network backup device | |
| RU2568295C2 (ru) | Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости | |
| US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
| RU2571721C2 (ru) | Система и способ обнаружения мошеннических онлайн-транзакций | |
| EP2637121A1 (en) | A method for detecting and removing malware | |
| KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
| EP3014515B1 (en) | Systems and methods for directing application updates | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| CN113632432A (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
| Alzahrani et al. | Ransomware in windows and android platforms | |
| RU2583714C2 (ru) | Агент безопасности, функционирующий на уровне встроенного программного обеспечения, с поддержкой безопасности уровня операционной системы | |
| US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
| KR101872605B1 (ko) | 지능형 지속위협 환경의 네트워크 복구 시스템 | |
| JP4462849B2 (ja) | データの保護装置、方法およびプログラム | |
| KR20110131627A (ko) | 악성 코드 진단 및 복구 장치, 그리고 이를 위한 단말 장치 | |
| KR101904415B1 (ko) | 지능형 지속위협 환경에서의 시스템 복구 방법 | |
| Alzahrani et al. | An overview of ransomware in the windows platform | |
| KR101614809B1 (ko) | 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 | |
| JP6602471B2 (ja) | 自動化されたアプリケーション分析のための技法 | |
| Kono et al. | An unknown malware detection using execution registry access | |
| KR102211846B1 (ko) | 랜섬웨어 탐지 시스템 및 그의 동작 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |