KR102019483B1 - Removable storage device and security method thereof - Google Patents

Removable storage device and security method thereof Download PDF

Info

Publication number
KR102019483B1
KR102019483B1 KR1020170180881A KR20170180881A KR102019483B1 KR 102019483 B1 KR102019483 B1 KR 102019483B1 KR 1020170180881 A KR1020170180881 A KR 1020170180881A KR 20170180881 A KR20170180881 A KR 20170180881A KR 102019483 B1 KR102019483 B1 KR 102019483B1
Authority
KR
South Korea
Prior art keywords
malicious code
access attempt
area
computing device
removable storage
Prior art date
Application number
KR1020170180881A
Other languages
Korean (ko)
Other versions
KR20190079002A (en
Inventor
정경훈
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020170180881A priority Critical patent/KR102019483B1/en
Publication of KR20190079002A publication Critical patent/KR20190079002A/en
Application granted granted Critical
Publication of KR102019483B1 publication Critical patent/KR102019483B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 이동식 저장 장치 및 그의 보안 방법에 있어서, 상기 이동식 저장 장치가 연결되는 컴퓨팅 장치와 통신하기 위한 적어도 하나의 인터페이스 모듈을 포함하는 통신부, 데이터를 저장하되, 상기 이동식 저장 장치의 보안을 위해 필요한 보안 데이터가 저장되는 보안 모듈 영역 및 사용자 데이터가 저장되는 사용자 데이터 영역으로 구성되는 저장부 및 상기 컴퓨팅 장치로부터 상기 저장부에 저장된 상기 데이터로의 접근 시도가 감지되면, 상기 접근 시도가 상기 보안 모듈 영역에 대한 것인지 또는 상기 사용자 데이터 영역에 관한 것인지를 기초로 보안 동작을 수행하는 제어부를 포함하는 것을 특징으로 하는 이동식 저장 장치 및 그의 보안 방법에 관한 것이다. The present invention relates to a removable storage device and a security method thereof, comprising: a communication unit including at least one interface module for communicating with a computing device to which the removable storage device is connected; If an attempt is made to access the data stored in the storage unit and the storage unit configured to include a security module area storing security data and a user data area storing user data, the access attempt is determined in the security module area. And a control unit for performing a security operation based on whether or not the information relating to the user data area.

Description

이동식 저장 장치 및 그의 보안 방법{Removable storage device and security method thereof}Removable storage device and security method

본 발명은 이동식 저장 장치 및 그의 보안 방법에 관한 것으로, 보다 구체적으로, 컴퓨팅 장치의 임의의 모듈이 이동식 저장 장치의 데이터에 접근하는 것이 감지되면 해당 모듈의 악성 코드 포함 여부를 판단함으로써 이동식 저장 장치에 저장된 데이터를 보호하도록 하는 이동식 저장 장치 및 그의 보안 방법에 관한 것이다. The present invention relates to a removable storage device and a security method thereof, and more particularly, when any module of the computing device detects access to data on the removable storage device, the device determines whether the module includes malicious code. A removable storage device and a security method thereof for protecting stored data.

사용자 컴퓨터와 같은 컴퓨팅 장치가 악성 코드나 악성 URL을 통해 공격에 감염되면, 컴퓨팅 장치에 연결되는 이동식 저장 장치에 저장된 사용자 데이터가 공격자에게 유출될 수 있다. When a computing device, such as a user's computer, is infected with an attack via malicious code or a malicious URL, user data stored in a removable storage device connected to the computing device may be leaked to the attacker.

최근 이동식 저장 장치에 사용자의 일반 데이터뿐만 아니라 공인 인증서 등과 같이 보안과 관련된 데이터들을 저장하는 경우가 증가하고 있다. 일반 데이터와 달리 공인 인증서의 유출은 사용자의 경제적 손실을 유발할 수 있다. 이러한 데이터의 유출은 이동식 저장 장치를 사용하는 사용자의 인지 없이 발생하기 때문에, 그 위험성이 더 크다.Recently, data related to security, such as a public certificate, as well as a user's general data, are stored in a removable storage device. Unlike general data, the leakage of a public certificate can cause economic loss for the user. This risk of data leakage is greater because it occurs without the knowledge of the user using the removable storage device.

또한, 한 명의 사용자의 공인 인증서 유출은 대규모 공인 인증서 유출 상황을 발생시킬 수 있다. 예를 들어, 특정 그룹에 속해있는 사용자의 공인 인증서가 유출되는 경우, 공격자가 해당 사용자의 공인 인증서를 사용하여 해당 그룹원들이 이용하는 홈페이지에 로그인하고 악성 코드를 심을 수 있다. 이 경우, 해당 홈페이지를 이용하는 그룹원들의 장치가 공격자의 악성 코드에 감염될 수 있고, 결과적으로 그룹원들의 공인 인증서가 공격자에 의해 탈취될 수 있다. In addition, a single user's public certificate leak can result in a large public certificate leak situation. For example, if a public certificate of a user belonging to a certain group is leaked, an attacker can log in to the homepage used by the members of the group using the public certificate of the user and plant malicious code. In this case, the devices of the group members who use the home page may be infected by the attacker's malicious code, and as a result, the group members' public certificates may be hijacked by the attacker.

따라서, 악성 코드에 감염된 컴퓨팅 장치에 의해 이동식 저장 장치에 저장된 사용자 데이터의 유출 시도가 감지되는 경우, 이를 사용자에게 경고하고 차단할 수 있는 방법이 요구된다. Therefore, when an attempt is made to leak user data stored in a removable storage device by a computing device infected with malicious code, a method for warning and blocking the user is required.

본 발명은 상기한 문제점을 해결하기 위한 것으로, 컴퓨팅 장치의 임의의 모듈이 이동식 저장 장치의 데이터에 접근하는 경우, 해당 모듈에 대한 악성 코드 포함 여부를 판단하는 이동식 저장 장치 및 그의 보안 방법을 제공한다.The present invention is to solve the above problems, and when any module of the computing device accesses the data of the removable storage device, provides a removable storage device and a security method thereof that determines whether or not to include malicious code for the module. .

또한, 본 발명은 이동식 저장 장치의 데이터에 접근하는 모듈이 악성 코드를 포함하는 것으로 판단되는 경우, 컴퓨팅 장치를 통해 이를 사용자에게 경고하고 데이터로의 접근을 차단하는 이동식 저장 장치 및 그의 보안 방법을 제공한다. In addition, the present invention provides a removable storage device and a security method thereof that warn a user through a computing device and block access to data when it is determined that a module accessing data on the removable storage device includes malicious code. do.

상술한 과제를 해결하기 위한 본 발명에 따른 이동식 저장 장치는, 상기 이동식 저장 장치가 연결되는 컴퓨팅 장치와 통신하기 위한 적어도 하나의 인터페이스 모듈을 포함하는 통신부, 데이터를 저장하되, 상기 이동식 저장 장치의 보안을 위해 필요한 보안 데이터가 저장되는 보안 모듈 영역 및 사용자 데이터가 저장되는 사용자 데이터 영역으로 구성되는 저장부 및 상기 컴퓨팅 장치로부터 상기 저장부에 저장된 상기 데이터로의 접근 시도가 감지되면, 상기 접근 시도가 상기 보안 모듈 영역에 대한 것인지 또는 상기 사용자 데이터 영역에 관한 것인지를 기초로 보안 동작을 수행하는 제어부를 포함하는 것을 특징으로 한다. According to an aspect of the present invention, there is provided a mobile storage device including a communication unit including at least one interface module for communicating with a computing device to which the mobile storage device is connected, and storing data, the security of the mobile storage device. If an attempt is made to access the data stored in the storage unit and the storage unit comprising a security module area storing security data necessary for the user data area and a user data area storing user data, the access attempt is determined. And a control unit for performing a security operation based on whether the security module area or the user data area.

또한, 상기 보안 모듈 영역은, 악성 코드 차단 프로그램이 저장되는 읽기 전용 영역 및 적어도 하나의 악성 코드 시그니처로 구성되는 악성 코드 시그니처 목록이 저장되는 읽기 및 쓰기 영역으로 구성되는 것을 특징으로 한다.The security module area may include a read only area in which a malicious code blocking program is stored, and a read and write area in which a malicious code signature list including at least one malicious code signature is stored.

또한, 상기 제어부는, 상기 이동식 저장 장치가 상기 컴퓨팅 장치에 연결된 것이 감지되면, 상기 악성 코드 차단 프로그램을 자동 실행하여 상기 데이터로의 접근 시도를 감지하고 상기 보안 동작을 수행하는 것을 특징으로 한다.The controller, when detecting that the removable storage device is connected to the computing device, automatically executes the malicious code blocking program, detects an attempt to access the data, and performs the security operation.

또한, 상기 제어부는, 상기 접근 시도가 상기 읽기 전용 영역에 관한 것이면, 상기 접근 시도가 상기 컴퓨팅 장치의 악성 코드에 의한 것으로 판단하고, 상기 보안 동작을 수행하는 것을 특징으로 한다.In addition, if the access attempt relates to the read only area, the controller determines that the access attempt is caused by malicious code of the computing device, and performs the security operation.

또한, 상기 제어부는, 상기 접근 시도가 상기 읽기 및 쓰기 영역에 관한 것이면, 상기 접근 시도가 상기 악성 코드 시그니처 목록의 변조를 위한 상기 컴퓨팅 장치의 악성 코드에 의한 것으로 판단하고, 상기 보안 동작을 수행하는 것을 특징으로 한다. In addition, if the access attempt relates to the read and write area, the controller determines that the access attempt is due to malicious code of the computing device for tampering with the malicious code signature list, and performs the security operation. It is characterized by.

또한, 상기 제어부는, 상기 접근 시도가 상기 사용자 데이터 영역에 관한 것이면, 상기 악성 코드 시그니처 목록을 참조하여 상기 접근 시도가 상기 컴퓨팅 장치의 악성 코드에 의한 것인지를 판단하고, 상기 접근 시도가 상기 컴퓨팅 장치의 상기 악성 코드에 의한 것으로 판단되면, 상기 보안 동작을 수행하는 것을 특징으로 한다.In addition, if the access attempt relates to the user data area, the controller determines whether the access attempt is caused by malicious code of the computing device with reference to the malicious code signature list, and the access attempt is determined by the computing device. If it is determined that due to the malicious code, characterized in that to perform the security operation.

또한, 상기 제어부는, 상기 접근 시도가 상기 컴퓨팅 장치의 상기 악성 코드에 의한 것이 아닌 것으로 판단되면, 악성 코드 분석 시스템으로 상기 접근 시도에 관련된 정보를 전송하고 상기 악성 코드 분석 시스템으로부터 수신된 판단 결과를 기초로 상기 접근 시도가 상기 컴퓨팅 장치의 상기 악성 코드에 의한 것인지 추가 판단하는 것을 특징으로 한다.In addition, if it is determined that the access attempt is not caused by the malicious code of the computing device, the controller transmits information related to the access attempt to a malicious code analysis system and receives the determination result received from the malicious code analysis system. And further determine whether the access attempt is caused by the malicious code of the computing device.

또한, 상기 제어부는, 상기 접근 시도가 상기 컴퓨팅 장치의 상기 악성 코드에 의한 것이 아닌 것으로 판단되면, 상기 접근 시도를 허용하는 것을 특징으로 한다.The controller may allow the access attempt if it is determined that the access attempt is not caused by the malicious code of the computing device.

또한, 상술한 과제를 해결하기 위한 본 발명에 따른 이동식 저장 장치의 보안 방법은, 저장부의 보안 모듈 영역에 상기 이동식 저장 장치의 보안을 위해 필요한 보안 데이터를 저장하고, 사용자 데이터 영역에 적어도 하나의 사용자 데이터를 저장하는 단계, 상기 이동식 저장 장치가 연결된 컴퓨팅 장치로부터 상기 저장부에 저장된 데이터로의 접근 시도가 감지되면, 상기 접근 시도가 상기 보안 모듈 영역에 대한 것인지 또는 상기 사용자 데이터 영역에 관한 것인지 판단하는 단계 및 상기 판단 결과를 기초로 상기 이동식 저장 장치에 대한 보안 동작을 수행하는 단계를 포함하는 것을 특징으로 한다. In addition, the security method of the removable storage device according to the present invention for solving the above problems, the security data required for the security of the removable storage device in the security module area of the storage unit, and at least one user in the user data area Storing data; when an access attempt to access data stored in the storage unit is detected from a computing device to which the mobile storage device is connected, determining whether the access attempt is for the security module area or the user data area. And performing a security operation on the removable storage device based on the determination result.

또한, 상기 저장하는 단계는, 상기 보안 모듈 영역의 읽기 전용 영역에 악성 코드 차단 프로그램을 저장하는 단계 및 상기 보안 모듈 영역의 읽기 및 쓰기 영역에 적어도 하나의 악성 코드 시그니처로 구성되는 악성 코드 시그니처 목록을 저장하는 단계를 포함하는 것을 특징으로 한다. The storing may include storing a malicious code blocking program in a read-only area of the security module area and a malicious code signature list including at least one malicious code signature in a read and write area of the security module area. And storing the same.

또한, 상기 판단하는 단계는, 상기 이동식 저장 장치가 상기 컴퓨팅 장치에 연결된 것이 감지되면, 상기 악성 코드 차단 프로그램을 자동 실행하는 단계 및 상기 악성 코드 차단 프로그램을 통하여 상기 접근 시도를 감지하는 단계를 포함하는 것을 특징으로 한다.The determining may include automatically executing the malicious code blocking program when the removable storage device is connected to the computing device, and detecting the access attempt through the malicious code blocking program. It is characterized by.

또한, 상기 보안 동작을 수행하는 단계는, 상기 접근 시도가 상기 읽기 전용 영역에 관한 것이면, 상기 접근 시도가 상기 컴퓨팅 장치의 악성 코드에 의한 것으로 판단하는 단계, 상기 접근 시도가 상기 읽기 및 쓰기 영역에 관한 것이면, 상기 접근 시도가 상기 악성 코드 시그니처 목록의 변조를 위한 상기 컴퓨팅 장치의 악성 코드에 의한 것으로 판단하는 단계 및 상기 판단 결과를 기초로 상기 보안 동작을 수행하는 것을 특징으로 한다.The performing of the security operation may include determining that the access attempt is due to malicious code of the computing device if the access attempt is related to the read-only area, and wherein the access attempt is performed to the read and write area. And, determining that the access attempt is caused by malicious code of the computing device for tampering with the malicious code signature list, and performing the security operation based on the determination result.

또한, 상기 보안 동작을 수행하는 단계는, 상기 접근 시도가 상기 사용자 데이터 영역에 관한 것이면, 상기 악성 코드 시그니처 목록을 참조하여 상기 접근 시도가 상기 컴퓨팅 장치의 악성 코드에 의한 것인지를 판단하는 단계, 상기 접근 시도가 상기 컴퓨팅 장치의 상기 악성 코드에 의한 것으로 판단되면, 상기 보안 동작을 수행하는 단계 및 상기 접근 시도가 상기 컴퓨팅 장치의 상기 악성 코드에 의한 것이 아닌 것으로 판단되면, 상기 접근 시도를 허용하는 단계를 포함하는 것을 특징으로 한다. The performing of the security operation may include determining whether the access attempt is caused by malicious code of the computing device, when the access attempt relates to the user data area, by referring to the malicious code signature list. If it is determined that the access attempt is caused by the malicious code of the computing device, performing the security operation; and if it is determined that the access attempt is not caused by the malicious code of the computing device, allowing the access attempt. Characterized in that it comprises a.

본 발명에 따른 이동식 저장 장치 및 그의 보안 방법은 컴퓨팅 장치의 악성 코드에 의한 이동식 저장 장치의 데이터 유출을 방지할 수 있다.The removable storage device and the security method thereof according to the present invention can prevent data leakage of the removable storage device by malicious code of the computing device.

또한, 본 발명에 따른 이동식 저장 장치 및 그의 보안 방법은 알려지지 않은 악성 코드에 의한 이동식 저장 장치의 데이터 유출 시도 시, 사용자에게 이를 선제적으로 경고함으로써 경제적 손실을 줄일 수 있도록 한다.In addition, the mobile storage device and its security method according to the present invention can reduce the economic loss by preemptively warning the user when attempting to leak data of the mobile storage device by unknown malicious code.

또한, 본 발명에 따른 이동식 저장 장치 및 그의 보안 방법은 원격에 있는 악성 코드 분석 시스템을 통해 알려지지 않은 악성 코드의 분석 결과를 실시간으로 확인하고 이동식 저장 장치에 반영함으로써 제로데이 등과 같은 공격에 대응할 수 있도록 한다.In addition, the removable storage device and its security method according to the present invention to respond to attacks such as zero-day by checking the analysis results of unknown malicious code in real time through the remote malware analysis system and reflecting to the removable storage device do.

도 1은 본 발명에 따른 이동식 저장 장치가 동작하는 컴퓨팅 환경을 나타낸 도면이다.
도 2는 본 발명에 따른 이동식 저장 장치의 구조를 나타낸 블록도이다.
도 3은 본 발명에 따른 이동식 저장 장치의 저장부의 구조를 구체적으로 나타낸 도면이다.
도 4는 본 발명에 따른 이동식 저장 장치의 보안 방법을 나타낸 순서도이다. 1 is a diagram illustrating a computing environment in which a mobile storage device according to the present invention operates.
2 is a block diagram showing the structure of a removable storage device according to the present invention.
3 is a view showing in detail the structure of the storage unit of the removable storage device according to the present invention.
4 is a flowchart illustrating a security method of a removable storage device according to the present invention.

본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다. In the following description of embodiments of the present disclosure, when it is determined that a detailed description of a related well-known configuration or function may obscure the gist of the present disclosure, the detailed description may be omitted.

본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.  As used herein, "includes," "can include." And the like refer to the existence of the corresponding function, operation, component, etc. disclosed, and do not limit one or more additional functions, operations, components, and the like. Also, in this specification, "includes." Or "have." And the like are intended to indicate that there is a feature, number, step, action, component, part, or combination thereof described in the specification, and that one or more other features or numbers, step, action, component, part, or It should be understood that they do not preclude the presence or possibility of adding these in advance.

본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.As used herein, the singular forms "a", "an" and "the" include plural forms unless the context clearly indicates otherwise.

이하, 첨부된 도면을 참조하여 본 발명을 설명한다. Hereinafter, with reference to the accompanying drawings will be described the present invention.

도 1은 본 발명에 따른 이동식 저장 장치가 동작하는 컴퓨팅 환경을 나타낸 도면이다.1 is a diagram illustrating a computing environment in which a mobile storage device according to the present invention operates.

본 발명에 따른 컴퓨팅 환경은 이동식 저장 장치(100)와 컴퓨팅 장치(200)로 구성된다.The computing environment in accordance with the present invention consists of a removable storage device 100 and a computing device 200.

본 발명의 다양한 실시 예에서, 이동식 저장 장치(100)는 USB(Universal Serial Bus) 장치인 것을 예로 들어 설명하나, 이동식 저장 장치(100)의 종류는 이에 한정되지 않으며, 외장 디스크, SD 카드, 메모리 카드, 메모리 스틱, eMMC(Embedded MultiMediaCard), UFS(Universal Flash Storage) 등일 수 있다. In various embodiments of the present disclosure, the removable storage device 100 is described as an example of a universal serial bus (USB) device, but the type of the removable storage device 100 is not limited thereto, and may include an external disk, an SD card, and a memory. Card, memory stick, embedded multimedia card (eMMC), universal flash storage (UFS), and the like.

이동식 저장 장치(100)는 컴퓨팅 장치(200)에 연결될 수 있다. 컴퓨팅 장치(200)는 예를 들어 데스크탑 컴퓨터, 노트북 컴퓨터, 스마트 모바일 장치, UMPC (Ultra Mobile PC), 워크스테이션, 넷북(net-book), PDA (Personal Digital Assistants), 포터블(portable) 컴퓨터, 웹 타블렛(web tablet), 모바일 폰(mobile phone), 스마트폰(smart phone), PMP(portable multimedia player), 홈 네트워크를 구성하는 다양한 전자 장치들 중 하나 등일 수 있다. The removable storage device 100 may be connected to the computing device 200. The computing device 200 may be, for example, a desktop computer, a notebook computer, a smart mobile device, an ultra mobile PC (UMPC), a workstation, a netbook, a personal digital assistant (PDA), a portable computer, a web. The tablet may be a web tablet, a mobile phone, a smart phone, a portable multimedia player, or one of various electronic devices constituting a home network.

이동식 저장 장치(100)와 컴퓨팅 장치(200)는 이동식 저장 장치(100) 및 컴퓨팅 장치(200)는 장치들에 구비되는 물리적 인터페이스를 통하여 삽입 결합됨으로써 연결될 수 있다. 이동식 저장 장치(100)와 컴퓨팅 장치(200)는 USB 프로토콜, MMC(multimedia card) 프로토콜, PCI(peripheral component interconnection) 프로토콜, PCI-E(PCI-express) 프로토콜, ATA(Advanced Technology Attachment) 프로토콜, Serial-ATA 프로토콜, Parallel-ATA 프로토콜, SCSI(small computer small interface) 프로토콜, ESDI(enhanced small disk interface) 프로토콜, IDE(Integrated Drive Electronics) 프로토콜 및 사유(private) 프로토콜 등과 같은 다양한 인터페이스 프로토콜들 중 적어도 하나를 이용하여 데이터를 송수신할 수 있다.The removable storage device 100 and the computing device 200 may be connected by inserting and coupling the removable storage device 100 and the computing device 200 through a physical interface provided in the devices. The removable storage device 100 and the computing device 200 may include a USB protocol, a multimedia card (MMC) protocol, a peripheral component interconnection (PCI) protocol, a PCI-express (PCI-express) protocol, an Advanced Technology Attachment (ATA) protocol, and a serial. At least one of various interface protocols such as ATA protocol, Parallel-ATA protocol, small computer small interface (SCSI) protocol, enhanced small disk interface (ESDI) protocol, integrated drive electronics (IDE) protocol, and private protocol. Data can be transmitted and received.

컴퓨팅 장치(200)에서 구동되는 모듈, 예를 들어, 프로그램, 소프트웨어, 애플리케이션 등은 상술한 인터페이스 프로토콜을 이용하여 이동식 저장 장치(100)에 저장된 데이터에 접근할 수 있다. Modules, for example, programs, software, applications, and the like, that run on the computing device 200 may access data stored in the removable storage device 100 using the interface protocol described above.

본 발명의 다양한 실시 예에서, 이동식 저장 장치(100)는 컴퓨팅 장치(200)로부터 데이터에 대한 접근이 감지되면, 접근을 시도하는 모듈에 대한 악성 코드 포함 여부를 판단(검사)할 수 있다. 또한, 이동식 저장 장치(100)는 이동식 저장 장치(100)의 데이터에 접근을 시도하는 모듈이 악성 코드를 포함하는 것으로 판단되면, 컴퓨팅 장치(200)를 통해 이를 사용자에게 경고하고 해당 모듈에 대한 데이터로의 접근을 차단할 수 있다.According to various embodiments of the present disclosure, when the access to data is detected from the computing device 200, the removable storage device 100 may determine whether to include malicious code for a module that attempts to access the data. In addition, if it is determined that the module that attempts to access the data of the removable storage device 100 contains malicious code, the removable storage device 100 warns the user through the computing device 200 and the data for the module. You can block access to.

이하에서, 상술한 이동식 저장 장치(100)의 보안 방법을 보다 구체적으로 설명한다.Hereinafter, the security method of the above-described removable storage device 100 will be described in more detail.

도 2는 본 발명에 따른 이동식 저장 장치의 구조를 나타낸 블록도이다.2 is a block diagram showing the structure of a removable storage device according to the present invention.

도 2를 참조하면, 본 발명에 따른 이동식 저장 장치(100)는 통신부(110), 저장부(120) 및 제어부(130)를 포함하여 구성될 수 있다.Referring to FIG. 2, the removable storage device 100 according to the present invention may include a communication unit 110, a storage unit 120, and a controller 130.

통신부(110)는 이동식 저장 장치(100)가 결합되는 컴퓨팅 장치(200)와 통신을 수행하기 위한 적어도 하나의 인터페이스 모듈을 포함할 수 있다. 인터페이스 모듈은 상술한 바와 같이 USB 프로토콜, MMC(multimedia card) 프로토콜, PCI(peripheral component interconnection) 프로토콜, PCI-E(PCI-express) 프로토콜, ATA(Advanced Technology Attachment) 프로토콜, Serial-ATA 프로토콜, Parallel-ATA 프로토콜, SCSI(small computer small interface) 프로토콜, ESDI(enhanced small disk interface) 프로토콜, IDE(Integrated Drive Electronics) 프로토콜 및 사유(private) 프로토콜 등과 같은 다양한 인터페이스 프로토콜들 중 적어도 하나를 이용할 수 있다. 통신부(110)는 인터페이스 모듈을 통해 컴퓨팅 장치(200)와 통신할 수 있다. The communicator 110 may include at least one interface module for communicating with the computing device 200 to which the removable storage device 100 is coupled. The interface module may be a USB protocol, a multimedia card (MMC) protocol, a peripheral component interconnection (PCI) protocol, a PCI-express (PCI-express) protocol, an Advanced Technology Attachment (ATA) protocol, a Serial-ATA protocol, and a Parallel- as described above. At least one of various interface protocols such as an ATA protocol, a small computer small interface (SCSI) protocol, an enhanced small disk interface (ESDI) protocol, an integrated drive electronics (IDE) protocol, a private protocol, and the like may be used. The communicator 110 may communicate with the computing device 200 through an interface module.

다양한 실시 예에서, 통신부(110)는 네트워크와 무선 통신을 가능하게 하는 적어도 하나의 무선 통신 모듈을 포함할 수 있다. 통신부(110)는 무선 통신 모듈을 통하여 네트워크 및 네트워크상에 존재하는 악성 코드 분석 시스템과 직접 통신할 수 있다. 통신부(110)는 악성 코드 분석 시스템으로 이동식 저장 장치(100)의 데이터에 접근을 시도하는 모듈에 대한 정보를 전송하거나, 악성 코드 분석 시스템으로부터 해당 모듈에 대한 악성 코드 분석 결과를 수신할 수 있다. 또한, 통신부(110)는 악성 코드 분석 시스템으로부터 주기적으로 악성 코드 시그니처들을 다운로드 하여 이동식 저장 장치(100)에 저장된 악성 코드 시그니처 목록을 업데이트할 수 있다. In various embodiments, the communication unit 110 may include at least one wireless communication module that enables wireless communication with a network. The communication unit 110 may directly communicate with a network and a malicious code analysis system existing on the network through a wireless communication module. The communicator 110 may transmit information about a module that attempts to access data of the mobile storage device 100 to a malicious code analysis system, or receive a malicious code analysis result of the module from the malicious code analysis system. In addition, the communication unit 110 may periodically download the malicious code signatures from the malicious code analysis system to update the malicious code signature list stored in the removable storage device 100.

또는, 통신부(110)는 무선 통신 모듈을 통하여 컴퓨팅 장치(200)의 무선 통신을 중계하거나 다른 컴퓨팅 장치들을 위한 AP(Access Point) 모드로 동작할 수 있다.Alternatively, the communication unit 110 may relay wireless communication of the computing device 200 through a wireless communication module or operate in an access point (AP) mode for other computing devices.

저장부(120)는 이동식 저장 장치(100)의 동작을 수행하기 위하여 필요한 펌웨어, 프로그램, 소프트웨어, 애플리케이션 등을 저장할 수 있다. 본 발명의 다양한 실시 예에서 저장부(120)는 DDR SDRAM(Double Data Rate Synchronous Dynamic Random Access Memory), LPDDR4(Low Power Double Data Rate4) SDRAM, GDDR(Graphics Double Data Rate) SDRAM, LPDDR(Low Power DDR), RDRAM(Rambus Dynamic Random Access Memory), 낸드 플래시 메모리(NAND flash memory), 수직형 낸드 플래시 메모리(Vertical NAND), 노아 플래시 메모리(NOR flash memory), 저항성 램(resistive random access memory: RRAM), 상변화 메모리(phase-change memory: PRAM), 자기저항 메모리(magnetoresistive random access memory: MRAM), 강유전체 메모리(ferroelectric random access memory: FRAM), 스핀주입 자화반전 메모리(spin transfer torque random access memory: STT-RAM) 등 중 적어도 하나의 타입의 저장 매체를 포함할 수 있다. The storage unit 120 may store firmware, programs, software, applications, etc. necessary to perform the operation of the removable storage device 100. According to various embodiments of the present disclosure, the storage unit 120 may include DDR Double Data Rate Synchronous Dynamic Random Access Memory (DDR SDRAM), Low Power Double Data Rate 4 (LPDDR4) SDRAM, Graphics Double Data Rate (GDDR) SDRAM, and Low Power DDR ), Rambus Dynamic Random Access Memory (RDRAM), NAND flash memory, Vertical NAND, NOR flash memory, Resistive random access memory (RRAM), Phase-change memory (PRAM), magnetoresistive random access memory (MRAM), ferroelectric random access memory (FRAM), spin-injection magnetization reversal memory (STT- RAM) or the like, and at least one type of storage medium.

본 발명의 다양한 실시 예에서, 저장부(120)는 도 3에 도시된 바와 같이 보안 모듈 영역(121) 및 사용자 데이터 영역(122)으로 구성된다. In various embodiments of the present disclosure, the storage unit 120 includes a security module area 121 and a user data area 122 as shown in FIG. 3.

보안 모듈 영역(121)에는 이동식 저장 장치(100)의 보안을 위해 필요한 보안 데이터로서, 프로그램, 소프트웨어, 애플리케이션 등이 저장될 수 있다. 일 예로, 보안 모듈 영역(121)에는 저장부(120)에 저장된 데이터로의 접근을 시도하는 모듈에 대한 악성 코드 포함 여부를 판단하기 위하여, 악성 코드 차단 프로그램(악성 코드 차단 모듈) 및 적어도 하나의 악성 코드 시그니처 및 그에 대한 해쉬값을 포함하는 악성 코드 시그니처 목록이 저장될 수 있다. 악성 코드 시그니처 목록을 구성하는 해쉬값은, 각각의 악성 코드 시그니처에 대한 무결성을 보장하기 위한 정보로써, 악성 코드에 의한 악성 코드 시그니처의 변조 여부를 식별하기 위해 이용될 수 있다.The security module area 121 may store programs, software, applications, and the like as security data necessary for the security of the removable storage device 100. For example, the security module region 121 includes a malicious code blocking program (malware blocking module) and at least one in order to determine whether to include malicious code for a module that attempts to access data stored in the storage 120. The malicious code signature list including the malicious code signature and a hash value thereof may be stored. The hash value constituting the malicious code signature list is information for ensuring the integrity of each malicious code signature, and may be used to identify whether the malicious code signature is modified by the malicious code.

다양한 실시 예에서, 보안 모듈 영역(121)은 읽기 전용(read-only) 영역(1211)과 읽기 및 쓰기(read-write) 영역(1212)으로 구성될 수 있다. 악성 코드 차단 프로그램의 경우, 악성 코드에 감염됨 모듈 등에 의해 접근이 허용되거나, 변경되어서는 안 된다. 따라서, 본 발명에서 악성 코드 차단 프로그램은 보안 모듈 영역(121)의 읽기 전용 영역(1211)에 저장될 수 있다. 한편, 악성 코드 시그니처 목록은 신종 악성 코드 시그니처가 생성/발견되는 등과 같이 실시간 악성 코드 시그니처 현황을 즉시 반영할 수 있어야 하므로, 읽기 및 쓰기가 모두 가능한 영역에 저장되는 것이 바람직하다. 따라서, 본 발명에서 악성 코드 시그니처 목록은 보안 모듈 영역(121)의 읽기 및 쓰기 영역(1212)에 저장될 수 있다. 악성 코드 시그니처 목록은 읽기 및 쓰기 영역(1212)에 저장됨으로써, 원격의 악성 코드 분석 시스템 또는 시그니처 데이터베이스 서버 등으로부터 주기적으로 수신되는 악성 코드 시그니처들을 포함하도록 업데이트될 수 있다. According to various embodiments of the present disclosure, the security module area 121 may include a read-only area 1211 and a read and write area 1212. In the case of malware blocking programs, access should not be allowed or changed by modules infected with malware. Therefore, in the present invention, the malicious code blocking program may be stored in the read-only area 1211 of the security module area 121. On the other hand, the malware signature list should be able to immediately reflect the real-time malware signature status, such as the generation / discovery of new malicious code signatures, it is desirable to be stored in the area that can both read and write. Therefore, in the present invention, the malicious code signature list may be stored in the read and write areas 1212 of the security module area 121. The malware signature list may be stored in the read and write area 1212 to be updated to include malware signatures that are periodically received from a remote malware analysis system or signature database server or the like.

사용자 데이터 영역(122)에는 적어도 하나의 사용자 데이터가 저장될 수 있다. 사용자 데이터 영역(122)은 사용자가 자유롭게 사용자 데이터를 저장/편집/삭제하기 위한 영역으로, 읽기 및 쓰기 영역으로 설정될 수 있다. At least one user data may be stored in the user data area 122. The user data area 122 is an area for the user to freely store / edit / delete user data and may be set as a read and write area.

사용자 데이터는, 예를 들어 문서, 이미지, 동영상, 프로그램/소프트웨어/애플리케이션 등의 실행 파일 등 다양한 형태일 수 있다. 또는 사용자 데이터는 공인 인증서, 개인 식별 정보 등 사용자의 개인 정보 및/또는 계정 정보와 관련된 데이터일 수 있다.The user data may be in various forms, for example, an executable file such as a document, an image, a video, a program / software / application, and the like. Alternatively, the user data may be data related to the user's personal information and / or account information, such as a public certificate or personal identification information.

제어부(130)는 본 발명에 따른 보안 방법을 수행하기 위해 이동식 저장 장치(100)의 각 구성 요소들을 제어할 수 있다. The controller 130 may control each component of the removable storage device 100 to perform the security method according to the present invention.

구체적으로, 제어부(130)는 통신부(110)의 인터페이스 모듈을 통하여 이동식 저장 장치(100)가 컴퓨팅 장치(200)에 연결되는 것을 감지하고, 그에 따라 저장부(120)에 저장된 악성 코드 차단 프로그램을 구동할 수 있다. 제어부(130)는 악성 코드 차단 프로그램을 통하여 저장부(120)에 저장된 데이터로의 접근 시도 발생 여부를 감시할 수 있다. 여기서, 접근 시도는 컴퓨팅 장치(200)의 임의의 모듈(운영 체제, 프로그램, 소프트웨어, 애플리케이션 등)에 의해 발생할 수 있고, 저장부(120)의 보안 모듈 영역(121) 및 사용자 데이터 영역(122)에 대한 것일 수 있다. Specifically, the controller 130 detects that the mobile storage device 100 is connected to the computing device 200 through the interface module of the communication unit 110, and accordingly detects the malicious code blocking program stored in the storage unit 120. I can drive it. The controller 130 may monitor whether an attempt to access data stored in the storage 120 occurs through a malicious code blocking program. Here, the access attempt may be generated by any module (operating system, program, software, application, etc.) of the computing device 200, the secure module area 121 and the user data area 122 of the storage 120. It may be about.

제어부(130)는 보안 모듈 영역(121)에 대한 접근 시도가 감지되는 경우, 해당 접근 시도가 읽기 전용 영역(1211)에 대한 것인지, 또는 읽기 및 쓰기 영역(1212)에 대한 것인지를 판단할 수 있다. When an access attempt to the security module area 121 is detected, the controller 130 may determine whether the access attempt is for the read-only area 1211 or for the read and write area 1212. .

해당 접근 시도가 읽기 전용 영역(1211)에 관한 쓰기 접근 시도이면, 제어부(130)는 해당 모듈이 악성 코드를 포함하는 것으로, 즉 악성 코드에 감염된 것으로 판단하고 그에 대응하는 보안 동작으로써 사용자 경고, 데이터 접근 차단, 악성 코드 분석 시스템 및/또는 시그니처 데이터베이스 서버로 해당 모듈에 관한 정보 전송 등을 수행할 수 있다. 해당 접근 시도가 읽기 및 쓰기 영역(1212)에 관한 쓰기 접근 시도이면, 제어부(130)는 해당 모듈이 악성 코드를 포함하는 것으로 판단하고, 그에 대응하는 보안 동작으로써 사용자 경고, 데이터 접근 차단, 악성 코드 분석 시스템으로 해당 모듈에 관한 정보 전송, 악성 코드 분석 시스템 또는 시그니처 데이터베이스 서버로부터 악성 코드 시그니처들을 수신하여 악성 코드 시그니처 목록을 업데이트, 해쉬값을 이용하여 적어도 하나의 악성 코드 시그니처에 대한 무결성 검사 등을 수행할 수 있다.If the access attempt is a write access attempt with respect to the read-only area 1211, the controller 130 determines that the module contains malicious code, that is, is infected with the malicious code and responds to the user's warning and data. It can block access, send malicious code analysis system and / or signature database server, and send information about the module. If the access attempt is a write access attempt with respect to the read and write area 1212, the controller 130 determines that the module includes malicious code, and as a corresponding security action, warns a user, blocks data access, and malware. Sends information about the module to the analysis system, receives malicious code signatures from the malware analysis system or signature database server, updates the list of malicious code signatures, and checks the integrity of at least one malicious code signature using a hash value. can do.

한편, 제어부(130)는 사용자 데이터 영역(122)에 대한 접근 시도가 감지되는 경우, 악성 코드 차단 프로그램을 통하여 해당 모듈의 악성 코드 포함 여부를 판단할 수 있다. 악성 코드 차단 프로그램은 악성 코드 시그니처 목록에 포함된 적어도 하나의 악성 코드 시그니처를 이용하여 해당 모듈이 악성 코드를 포함하는지를 판단할 수 있다. Meanwhile, when an access attempt to the user data area 122 is detected, the controller 130 may determine whether the module includes malicious code through a malicious code blocking program. The malicious code blocking program may determine whether the module includes malicious code by using at least one malicious code signature included in the malicious code signature list.

해당 모듈이 악성 코드를 포함하는 것으로 판단되면, 제어부(130)는 그에 대응하는 보안 동작으로써 사용자 경고, 데이터 접근 차단, 악성 코드 분석 시스템으로 해당 모듈에 관한 정보 전송, 악성 코드 시그니처 목록 업데이트 등을 수행할 수 있다.If it is determined that the module contains malicious code, the controller 130 performs user warning, data access blocking, transmission of information about the module to the malicious code analysis system, and update of the malware signature list as a corresponding security operation. can do.

한편, 해당 모듈이 악성 코드를 포함하지 않는 것으로 판단되면, 제어부(130)는 해당 모듈의 데이터 접근을 허용하거나 악성 코드 분석 시스템을 통하여 추가 판단을 수행할 수 있다. On the other hand, if it is determined that the module does not include malicious code, the controller 130 may allow data access of the module or perform additional determination through the malicious code analysis system.

이하에서, 제어부(130)의 보안 동작을 보다 구체적으로 설명한다. Hereinafter, the security operation of the controller 130 will be described in more detail.

도 4는 본 발명에 따른 이동식 저장 장치의 보안 방법을 나타낸 순서도이다. 4 is a flowchart illustrating a security method of a removable storage device according to the present invention.

도 4를 참조하면, 본 발명에 따른 이동식 저장 장치(100)는 먼저 악성 코드 차단 프로그램, 악성 코드 시그니처 목록 및 적어도 하나의 사용자 데이터를 저장할 수 있다(401). Referring to FIG. 4, the removable storage device 100 according to the present invention may first store a malicious code blocking program, a malicious code signature list, and at least one user data (401).

악성 코드 차단 프로그램은 이동식 저장 장치(100)의 제조 시에 미리 저장될 수 있다. 악성 코드 시그니처 목록은 이동식 저장 장치(100)의 제조 시에 또는 악성 코드 분석 시스템 및/또는 시그니처 데이터베이스 서버로부터 주기적으로 수신되어 저장될 수 있다. 악성 코드 시그니처 목록은 악성 코드 분석 시스템 및/또는 시그니처 데이터베이스 서버로부터 주기적으로 수신되는 적어도 하나의 시그니처들을 기초로 업데이트될 수 있다. The malicious code blocking program may be stored in advance at the time of manufacture of the removable storage device 100. The malware signature list may be received and stored periodically at the time of manufacture of the removable storage device 100 or from a malware analysis system and / or signature database server. The malware signature list may be updated based on at least one signature periodically received from the malware analysis system and / or signature database server.

본 발명의 다양한 실시 예에서, 악성 코드 차단 프로그램은 보안 모듈 영역(121)의 읽기 전용 영역(1211)에, 악성 코드 시그니처 목록은 보안 모듈 영역(121)의 읽기 및 쓰기 영역(1212)에 저장될 수 있다. 악성 코드 시그니처 목록은, 적어도 하나의 악성 코드 시그니처와 그에 각각 대응하는 해쉬값을 포함할 수 있다. 이동식 저장 장치(100)는 주기적으로 또는 요청에 따라 해쉬값을 이용하여 적어도 하나의 악성 코드 시그니처의 무결성을 검사할 수 있다. In various embodiments of the present disclosure, the malicious code blocking program may be stored in the read-only area 1211 of the security module area 121, and the malicious code signature list may be stored in the read and write area 1212 of the security module area 121. Can be. The malicious code signature list may include at least one malicious code signature and a hash value corresponding to each of the malicious code signatures. The removable storage device 100 may check the integrity of at least one malicious code signature using a hash value periodically or upon request.

본 발명의 다양한 실시 예에서, 사용자 데이터는 사용자 데이터 영역(122)에 저장될 수 있다. In various embodiments of the present disclosure, user data may be stored in the user data area 122.

이동식 저장 장치(100)는 인터페이스 모듈을 통하여 이동식 저장 장치(100)가 컴퓨팅 장치(200)에 연결되는지를 판단할 수 있다(402). 일 예로, 이동식 저장 장치(100)는 통신부(110)의 인터페이스 모듈을 통하여 컴퓨팅 장치(200)로부터 신호가 입력되는 경우, 이동식 저장 장치(100)가 컴퓨팅 장치(200)에 연결된 것을 감지할 수 있다. The removable storage device 100 may determine whether the removable storage device 100 is connected to the computing device 200 through an interface module (402). For example, when a signal is input from the computing device 200 through the interface module of the communicator 110, the removable storage device 100 may detect that the removable storage device 100 is connected to the computing device 200. .

컴퓨팅 장치(200)에 연결된 것이 감지되면, 이동식 저장 장치(100)는 보안 모듈 영역(121)의 읽기 전용 영역(1211)에 저장된 악성 코드 차단 프로그램을 자동으로 실행한다(403). 후술되는 동작들은, 이동식 저장 장치(100)의 악성 코드 차단 프로그램을 통하여 수행될 수 있다. When it is detected that the connection is made to the computing device 200, the removable storage device 100 automatically executes a malicious code blocking program stored in the read-only area 1211 of the security module area 121 (403). Operations described below may be performed through a malicious code blocking program of the removable storage device 100.

이동식 저장 장치(100)는 저장부(120)에 저장된 데이터에 대한 접근 시도 발생 여부를 판단할 수 있다(404). 이동식 저장 장치(100)는 컴퓨팅 장치(200)로부터 수신되는 신호를 분석하여 저장부(120)에 저장된 데이터에 대한 접근 시도가 발생하는지를 판단할 수 있다. The removable storage device 100 may determine whether an access attempt has occurred to the data stored in the storage 120 (404). The mobile storage device 100 may analyze a signal received from the computing device 200 to determine whether an attempt to access data stored in the storage 120 occurs.

데이터에 대한 접근 시도가 발생하면, 이동식 저장 장치(100)는 악성 코드 차단 프로그램을 통하여, 해당 접근 시도가 보안 모듈 영역(121)에 관한 것인지(405), 아니면 사용자 데이터 영역(122)에 관한 것인지(406)를 판단할 수 있다. When an attempt is made to access data, the removable storage device 100 uses a malware protection program to determine whether the access attempt relates to the security module area 121 (405) or the user data area 122. 406 can be determined.

해당 접근 시도가 보안 모듈 영역(121)에 관한 것이면(405), 이동식 저장 장치(100)는 해당 접근 시도가 읽기 전용 영역(1211)에 관한 것인지(407), 아니면 읽기 및 쓰기 영역에 관한 것인지(408) 판단할 수 있다. If the access attempt relates to the secure module area 121 (405), the removable storage device 100 determines whether the access attempt relates to the read-only area 1211 (407) or to the read and write area ( 408) can be determined.

해당 접근 시도가 읽기 전용 영역(1211)에 관한 것이면(407), 이동식 저장 장치(100)는 접근 시도가 악성 코드에 의한 것으로 판단할 수 있다(409). 즉 이동식 저장 장치(100)는 해당 접근 시도를 생성한 모듈이 악성 코드를 포함하는 것으로 판단할 수 있다. If the access attempt relates to the read-only area 1211 (407), the removable storage device 100 may determine that the access attempt is due to malicious code (409). That is, the removable storage device 100 may determine that the module that generated the access attempt includes malicious code.

읽기 전용 영역(1211)은 이동식 저장 장치(100)의 보안을 위한 고유 영역으로서 악성 코드 차단 프로그램이 저장되며 읽기 전용으로만 설정되므로, 이동식 저장 장치(100)는 읽기 전용 영역(1211)에 대한 쓰기 접근 시도를 정상적인 접근이 아닌 악의적 접근인 것으로 판단할 수 있다. The read-only area 1211 is a unique area for security of the removable storage device 100, and since the malicious code blocking program is stored and is set to read only, the removable storage device 100 writes to the read-only area 1211. The attempted approach may be judged as a malicious approach rather than a normal approach.

이후에 이동식 저장 장치(100)는 읽기 전용 영역(1211)에 관한 악성 코드 감지를 기초로, 대응하는 보안 동작을 수행할 수 있다(410).Thereafter, the removable storage device 100 may perform a corresponding security operation based on the detection of the malicious code of the read-only area 1211 (410).

예를 들어, 이동식 저장 장치(100)는 컴퓨팅 장치(200)로 경고 데이터를 전송하여, 컴퓨팅 장치(200)를 통해 컴퓨팅 장치(200)가 악성 코드에 감염되었음을 알리기 위한 사용자 경고가 출력되도록 할 수 있다. 이동식 저장 장치(100)는 접근 시도에 대응하는 데이터에 대한 해당 모듈의 접근을 차단할 수 있다. 이동식 저장 장치(100)는 해당 모듈에 관한 정보를 악성 코드 분석 시스템 및/또는 시그니처 데이터베이스 서버로 전송하여, 악성 코드 분석 시스템 및/또는 시그니처 데이터베이스 서버가 추후 악성 코드 분석 등을 위해 이용할 수 있도록 할 수 있다. 이동식 저장 장치(100)는 해당 모듈에 대한 정보를 기초로 악성 코드 시그니처 목록을 업데이트할 수도 있다. For example, the removable storage device 100 may transmit warning data to the computing device 200 to output a user warning for notifying that the computing device 200 is infected with malicious code through the computing device 200. have. The removable storage device 100 may block the access of the module to data corresponding to the access attempt. The removable storage device 100 may transmit the information about the module to the malware analysis system and / or the signature database server so that the malware analysis system and / or the signature database server may use the malware for later analysis. have. The removable storage device 100 may update the malicious code signature list based on the information about the module.

해당 접근 시도가 읽기 및 쓰기 영역(1212)에 관한 것이면(408), 이동식 저장 장치(100)는 접근 시도가 악성 코드에 의한 것으로 판단할 수 있다(411). 즉 이동식 저장 장치(100)는 해당 접근 시도를 생성한 모듈이 악성 코드를 포함하는 것이며, 읽기 및 쓰기 영역(1212)에 저장된 악성 코드 목록에 대한 변조를 시도하는 것으로 판단할 수 있다. If the access attempt relates to the read and write area 1212 (408), the removable storage device 100 may determine that the access attempt is due to malicious code (411). That is, the removable storage device 100 may determine that the module that generated the access attempt includes malicious code, and attempts to tamper with the malicious code list stored in the read and write area 1212.

이후에 이동식 저장 장치(100)는 읽기 및 쓰기 영역(1212)에 관한 악성 코드 감지를 기초로, 대응하는 보안 동작을 수행할 수 있다(412). Thereafter, the removable storage device 100 may perform a corresponding security operation based on the detection of the malicious code of the read and write area 1212.

예를 들어, 이동식 저장 장치(100)는 컴퓨팅 장치(200)로 경고 데이터를 전송하여, 컴퓨팅 장치(200)를 통해 컴퓨팅 장치(200)가 악성 코드에 감염되었음을 알리기 위한 사용자 경고가 출력되도록 할 수 있다. 이동식 저장 장치(100)는 접근 시도에 대응하는 데이터에 대한 해당 모듈의 접근을 차단할 수 있다. 이동식 저장 장치(100)는 해당 모듈에 관한 정보를 악성 코드 분석 시스템 및/또는 시그니처 데이터베이스 서버로 전송하여, 악성 코드 분석 시스템 및/또는 시그니처 데이터베이스 서버가 추후 악성 코드 분석 등을 위해 이용할 수 있도록 할 수 있다.For example, the removable storage device 100 may transmit warning data to the computing device 200 to output a user warning for notifying that the computing device 200 is infected with malicious code through the computing device 200. have. The removable storage device 100 may block the access of the module to data corresponding to the access attempt. The removable storage device 100 may transmit the information about the module to the malware analysis system and / or the signature database server so that the malware analysis system and / or the signature database server may use the malware for later analysis. have.

읽기 및 쓰기 영역(1212)에 관한 악성 코드 감염 모듈의 접근이 감지되는 경우, 해당 모듈은 읽기 및 쓰기 영역(1212)에 저장된 악성 코드 목록을 변조할 수 있다. 따라서, 이 경우, 이동식 저장 장치(100)는 악성 코드 분석 시스템 및/또는 시그니처 데이터베이스 서버로부터 악성 코드 시그니처들을 다운로드하여, 기저장된 악성 코드 시그니처 목록을 대체하거나 전체에 대해 업데이트할 수 있다.When the malware infection module accesses the read and write area 1212, the module may modify the list of malicious codes stored in the read and write area 1212. Therefore, in this case, the removable storage device 100 may download the malicious code signatures from the malicious code analysis system and / or the signature database server, and replace or update the previously stored malicious code signature list.

한편, 해당 접근 시도가 사용자 데이터 영역(122)에 관한 것이면(406), 이동식 저장 장치(100)는 해당 접근 시도가 악성 코드에 의한 것인지를 판단한다(413). 이동식 저장 장치(100)는 악성 코드 차단 프로그램을 통하여 해당 접근 시도를 생성한 모듈이 악성 코드에 감염된 것인지 판단할 수 있다. 이때, 악성 코드 차단 프로그램은 읽기 및 쓰기 영역(1212)에 저장된 악성 코드 시그니처 목록을 참조하여 모듈 간 패턴 매칭을 통해 해당 모듈의 악성 코드 포함 여부를 판단할 수 있다.On the other hand, if the access attempt relates to the user data area 122 (406), the removable storage device 100 determines whether the access attempt is due to malicious code (413). The removable storage device 100 may determine whether the module generating the corresponding access attempt is infected with malicious code through a malicious code blocking program. In this case, the malicious code blocking program may determine whether or not the malicious code of the corresponding module is included through pattern matching between modules with reference to the malicious code signature list stored in the read and write area 1212.

악성 코드 차단 프로그램을 통하여, 해당 접근 시도가 악성 코드에 의한 것으로 판단되면, 이동식 저장 장치(100)는 사용자 데이터 영역(122)에 관한 악성 코드 감지를 기초로, 대응하는 보안 동작을 수행할 수 있다(414). If it is determined that the access attempt is caused by malicious code through a malicious code blocking program, the removable storage device 100 may perform a corresponding security operation based on the detection of malicious code regarding the user data area 122. (414).

악성 코드 차단 프로그램을 통하여 해당 접근 시도가 악성 코드에 의한 것이 아닌 것으로 판단되는 경우, 일 실시 예에서 이동식 저장 장치(100)는 악성 코드 분석 시스템을 통하여 추가적인 악성 코드 판단을 수행할 수 있다(415). 이 경우, 이동식 저장 장치(100)는 해당 접근 시도와 관련된 정보, 예를 들어 해당 접근 시도를 생성한 모듈에 관한 정보를 악성 코드 분석 시스템으로 전송하고, 악성 코드 분석 시스템으로부터 해당 모듈의 악성 코드 포함 여부에 관한 판단 결과를 수신할 수 있다. 이러한 실시 예에서, 이동식 저장 장치(100)는 악성 코드 분석 시스템에 의해 분석이 진행되는 동안 임시적으로 해당 모듈의 접근 시도를 허용할 수 있다. 다른 실시 예에서, 이러한 추가적인 판단 동작은 생략될 수 있다. If it is determined that the corresponding access attempt is not caused by the malicious code through the malicious code blocking program, the removable storage device 100 may perform additional malicious code determination through the malicious code analysis system (415). . In this case, the removable storage device 100 transmits the information related to the access attempt, for example, the information about the module that generated the access attempt to the malware analysis system, and includes the malicious code of the module from the malware analysis system. The determination result regarding whether or not can be received. In such an embodiment, the removable storage device 100 may temporarily attempt to access the corresponding module while the analysis is performed by the malware analysis system. In other embodiments, this additional determination operation may be omitted.

악성 코드 분석 시스템을 통하여, 해당 접근 시도가 악성 코드에 의한 것으로 판단되면(416), 이동식 저장 장치(100)는 그에 대응하는 보안 동작을 수행할 수 있다(414). 여기서 수행되는 보안 동작은 상술한 바와 동일하다.If it is determined that the access attempt is caused by malicious code through the malicious code analysis system (416), the removable storage device 100 may perform a corresponding security operation (414). The security operation performed here is the same as described above.

일 실시 예에서, 악성 코드 분석 시스템에 의해 분석이 진행되는 동안 임시적으로 해당 모듈의 접근 시도를 허용한 경우, 이동식 저장 장치(100)는 접근 허용을 중단시키고, 해당 모듈에 의하여 기처리된 동작을 실행 취소하는 등의 추가적인 보안 동작을 수행할 수 있다. In one embodiment, if the module attempts to access the module temporarily while the analysis is in progress by the malware analysis system, the removable storage device 100 stops the access and performs the pre-processed operation by the module. Additional security actions, such as undo, can be performed.

해당 접근 시도가 악성 코드에 의한 것인 아닌 것으로 판단되면(416), 이동식 저장 장치(100)는 접근 시도를 허용하고(417), 해당 모듈이 접근 시도된 사용자 데이터 영역(122) 내의 데이터에 대한 처리를 수행할 수 있도록 할 수 있다. If it is determined that the access attempt is not due to malicious code (416), the removable storage device 100 permits the access attempt (417), and the module attempts to access the data in the user data area 122 that the module attempted to access. You can make the process work.

이동식 저장 장치(100)는 컴퓨팅 장치(200)와 연결이 해제될 때까지(418), 상기한 동작을 반복하여 수행할 수 있다. The removable storage device 100 may repeatedly perform the above operations until the connection with the computing device 200 is released (418).

본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다. Those skilled in the art will appreciate that various modifications and variations can be made without departing from the essential features of the present invention. In addition, the embodiments disclosed in the specification and the drawings merely present specific examples to easily explain and easily understand the contents of the present invention, and are not intended to limit the scope of the present invention. Therefore, the scope of the present invention should be construed that all changes or modifications derived based on the technical spirit of the present invention are included in the scope of the present invention in addition to the embodiments disclosed herein.

100: 이동식 저장 장치
110: 통신부
120: 저장부
121: 보안 모듈 영역
1211: 읽기 전용 영역
1212: 읽기 및 쓰기 영역
122: 사용자 데이터 영역
130: 제어부
200: 컴퓨팅 장치100: removable storage device
110: communication unit
120: storage unit
121: security module area
1211: read-only area
1212: read and write areas
122: user data area
130: control unit
200: computing device

Claims (13)

이동식 저장 장치에 있어서,
상기 이동식 저장 장치가 연결되는 컴퓨팅 장치와 통신하기 위한 적어도 하나의 인터페이스 모듈을 포함하는 통신부;
데이터를 저장하되, 상기 이동식 저장 장치의 보안을 위해 필요한 악성 코드 차단 프로그램이 저장되는 읽기 전용 영역과 적어도 하나의 악성 코드 시그니처로 구성되는 악성 코드 시그니처 목록이 저장되는 읽기 및 쓰기 영역으로 구성되는 보안 모듈 영역 및 사용자 데이터가 저장되는 사용자 데이터 영역으로 구성되는 저장부; 및
상기 컴퓨팅 장치로부터 상기 저장부에 저장된 상기 데이터로의 접근 시도가 감지되면, 상기 접근 시도가 상기 보안 모듈 영역에 대한 것인지 또는 상기 사용자 데이터 영역에 관한 것인지를 기초로 보안 동작을 수행하는 제어부를 포함하고,
상기 제어부는,
상기 접근 시도가 상기 읽기 전용 영역에 관한 것이면, 상기 접근 시도가 상기 컴퓨팅 장치의 악성 코드에 의한 것으로 판단하고, 상기 접근 시도를 차단하고,
상기 접근 시도가 상기 읽기 및 쓰기 영역에 관한 것이면, 상기 접근 시도가 상기 악성 코드 시그니처 목록의 변조를 위한 상기 컴퓨팅 장치의 악성 코드에 의한 것으로 판단하고, 상기 접근 시도를 차단하고, 상기 악성 코드 시그니처 목록의 업데이트와 무결성 검사를 수행하는 것을 특징으로 하는 이동식 저장 장치. In a removable storage device,
A communication unit including at least one interface module for communicating with a computing device to which the removable storage device is connected;
A security module for storing data, wherein the security module comprises a read only area in which a malicious code blocking program required for security of the removable storage device is stored, and a read and write area in which a list of malicious code signatures including at least one malicious code signature is stored. A storage unit comprising an area and a user data area in which user data is stored; And
And a controller configured to perform a security operation based on whether the access attempt relates to the security module region or the user data region when the access attempt is detected from the computing device to the data stored in the storage unit. ,
The control unit,
If the access attempt relates to the read-only area, determine that the access attempt is due to malicious code of the computing device, block the access attempt,
If the access attempt relates to the read and write area, determine that the access attempt is due to malicious code of the computing device for tampering with the malicious code signature list, block the access attempt, and block the malicious code signature list. Removable storage device, characterized in that for performing the update and integrity check. 삭제delete 제1항에 있어서, 상기 제어부는,
상기 이동식 저장 장치가 상기 컴퓨팅 장치에 연결된 것이 감지되면, 상기 악성 코드 차단 프로그램을 자동 실행하여 상기 데이터로의 접근 시도를 감지하고 상기 접근 시도를 차단하는 것을 특징으로 하는 이동식 저장 장치. The method of claim 1, wherein the control unit,
And when the removable storage device is detected to be connected to the computing device, automatically executes the malicious code blocking program to detect an access attempt to the data and block the access attempt. 삭제delete 삭제delete 제1항에 있어서, 상기 제어부는,
상기 접근 시도가 상기 보안 모듈 영역에 관한 것이 아닌 것으로 판단되고,상기 접근 시도가 상기 사용자 데이터 영역에 관한 것이면, 상기 악성 코드 시그니처 목록을 참조하여 상기 접근 시도가 상기 컴퓨팅 장치의 악성 코드에 의한 것인지를 판단하고, 상기 접근 시도가 상기 컴퓨팅 장치의 상기 악성 코드에 의한 것으로 판단되면, 상기 접근 시도를 차단하는 것을 특징으로 하는 이동식 저장 장치.The method of claim 1, wherein the control unit,
If it is determined that the access attempt is not related to the security module area, and the access attempt is related to the user data area, it is referred to the malicious code signature list to determine whether the access attempt is caused by malicious code of the computing device. And if the access attempt is determined to be caused by the malicious code of the computing device, block the access attempt. 제6항에 있어서, 상기 제어부는,
상기 접근 시도가 상기 컴퓨팅 장치의 상기 악성 코드에 의한 것이 아닌 것으로 판단되면, 악성 코드 분석 시스템으로 상기 접근 시도에 관련된 정보를 전송하고 상기 악성 코드 분석 시스템으로부터 수신된 판단 결과를 기초로 상기 접근 시도가 상기 컴퓨팅 장치의 상기 악성 코드에 의한 것인지 추가 판단하는 것을 특징으로 하는 이동식 저장 장치. The method of claim 6, wherein the control unit,
If it is determined that the access attempt is not caused by the malicious code of the computing device, the access attempt is transmitted to the malicious code analysis system based on the determination result received from the malicious code analysis system. And further determining whether the malware is due to the malicious code of the computing device. 제6항에 있어서, 상기 제어부는,
상기 접근 시도가 상기 컴퓨팅 장치의 상기 악성 코드에 의한 것이 아닌 것으로 판단되면, 상기 접근 시도를 허용하는 것을 특징으로 하는 이동식 저장 장치. The method of claim 6, wherein the control unit,
And if it is determined that the access attempt is not caused by the malicious code of the computing device, the access attempt is allowed. 이동식 저장 장치의 보안 방법으로,
저장부의 보안 모듈 영역의 읽기 전용 영역에 악성 코드 차단 프로그램을 저장하고, 상기 보안 모듈 영역의 읽기 및 쓰기 영역에 적어도 하나의 악성 코드 시그니처로 구성되는 악성 코드 시그니처 목록을 저장하는 단계;
상기 저장부의 사용자 데이터 영역에 적어도 하나의 사용자 데이터를 저장하는 단계;
상기 이동식 저장 장치가 연결된 컴퓨팅 장치로부터 상기 저장부에 저장된 데이터로의 접근 시도가 감지되면, 상기 접근 시도가 상기 보안 모듈 영역에 대한 것인지 또는 상기 사용자 데이터 영역에 관한 것인지 판단하는 단계; 및
상기 판단 결과를 기초로 상기 이동식 저장 장치에 대한 보안 동작을 수행하는 단계;
상기 보안 동작을 수행하는 단계는,
상기 접근 시도가 상기 읽기 전용 영역에 관한 것이면, 상기 접근 시도가 상기 컴퓨팅 장치의 악성 코드에 의한 것으로 판단하는 단계;
상기 판단 결과를 기초로 상기 접근 시도를 차단하는 단계;
상기 접근 시도가 상기 읽기 및 쓰기 영역에 관한 것이면, 상기 접근 시도가 상기 악성 코드 시그니처 목록의 변조를 위한 상기 컴퓨팅 장치의 악성 코드에 의한 것으로 판단하는 단계;
상기 판단 결과를 기초로 상기 접근 시도를 차단하는 단계;
상기 악성 코드 시그니처를 수신하여 상기 악성 코드 시그니처 목록을 업데이트하는 단계; 및
해쉬값을 이용하여 적어도 하나의 상기 악성 코드 시그니처에 대한 무결성 검사하는 단계를 포함하는 것을 특징으로 하는 방법. As a security method of removable storage devices,
Storing a malicious code blocking program in a read-only area of a security module area of a storage unit, and storing a malicious code signature list including at least one malicious code signature in a read and write area of the security module area;
Storing at least one user data in a user data area of the storage unit;
Determining whether the access attempt is for the security module area or the user data area when the access attempt to access data stored in the storage unit is detected from the computing device to which the removable storage device is connected; And
Performing a security operation on the removable storage device based on the determination result;
The performing of the security operation,
If the access attempt relates to the read-only area, determining that the access attempt is due to malicious code of the computing device;
Blocking the access attempt based on the determination result;
If the access attempt relates to the read and write area, determining that the access attempt is due to malicious code of the computing device for tampering with the malicious code signature list;
Blocking the access attempt based on the determination result;
Receiving the malicious code signature to update the malicious code signature list; And
And checking the integrity of at least one malicious code signature using a hash value. 삭제delete 제9항에 있어서, 상기 접근 시도가 상기 보안 모듈 영역에 대한 것인지 또는 상기 사용자 데이터 영역에 관한 것인지 판단하는 단계는,
상기 이동식 저장 장치가 상기 컴퓨팅 장치에 연결된 것이 감지되면, 상기 악성 코드 차단 프로그램을 자동 실행하는 단계; 및
상기 악성 코드 차단 프로그램을 통하여 상기 접근 시도를 감지하는 단계를 포함하는 것을 특징으로 하는 방법. The method of claim 9, wherein determining whether the access attempt relates to the security module area or the user data area comprises:
Automatically executing the malicious code blocking program when the removable storage device is detected to be connected to the computing device; And
And detecting the access attempt through the malicious code blocking program. 삭제delete 제9항에 있어서, 상기 보안 동작을 수행하는 단계는,
상기 접근 시도가 상기 사용자 데이터 영역에 관한 것이면, 상기 악성 코드 시그니처 목록을 참조하여 상기 접근 시도가 상기 컴퓨팅 장치의 악성 코드에 의한 것인지를 판단하는 단계;
상기 접근 시도가 상기 컴퓨팅 장치의 상기 악성 코드에 의한 것으로 판단되면, 상기 접근 시도를 차단하는 단계; 및
상기 접근 시도가 상기 컴퓨팅 장치의 상기 악성 코드에 의한 것이 아닌 것으로 판단되면, 상기 접근 시도를 허용하는 단계를 포함하는 것을 특징으로 하는 방법.The method of claim 9, wherein performing the security operation comprises:
If the access attempt relates to the user data area, determining whether the access attempt is due to malicious code of the computing device with reference to the malicious code signature list;
If the access attempt is determined to be caused by the malicious code of the computing device, blocking the access attempt; And
If it is determined that the access attempt is not caused by the malicious code of the computing device, allowing the access attempt.
KR1020170180881A 2017-12-27 2017-12-27 Removable storage device and security method thereof KR102019483B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170180881A KR102019483B1 (en) 2017-12-27 2017-12-27 Removable storage device and security method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170180881A KR102019483B1 (en) 2017-12-27 2017-12-27 Removable storage device and security method thereof

Publications (2)

Publication Number Publication Date
KR20190079002A KR20190079002A (en) 2019-07-05
KR102019483B1 true KR102019483B1 (en) 2019-09-06

Family

ID=67225487

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170180881A KR102019483B1 (en) 2017-12-27 2017-12-27 Removable storage device and security method thereof

Country Status (1)

Country Link
KR (1) KR102019483B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11309033B2 (en) 2020-04-24 2022-04-19 Samsung Electronics Co., Ltd. Memory device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101031072B1 (en) * 2009-02-16 2011-04-25 에스티에스반도체통신 주식회사 portable memory device
KR101214899B1 (en) 2010-10-28 2013-01-21 김승훈 USB Security Device and Security Method thereof

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101266037B1 (en) * 2011-06-08 2013-05-21 충남대학교산학협력단 Method and apparatus for treating malicious action in mobile terminal
KR101493821B1 (en) * 2013-03-26 2015-02-16 이요민 Security System Using USB

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101031072B1 (en) * 2009-02-16 2011-04-25 에스티에스반도체통신 주식회사 portable memory device
KR101214899B1 (en) 2010-10-28 2013-01-21 김승훈 USB Security Device and Security Method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11309033B2 (en) 2020-04-24 2022-04-19 Samsung Electronics Co., Ltd. Memory device

Also Published As

Publication number Publication date
KR20190079002A (en) 2019-07-05

Similar Documents

Publication Publication Date Title
KR102137773B1 (en) System for transmitting secure data via security application and method thereof
EP3694170B1 (en) Method and device for withstanding denial-of-service attack
US10909238B2 (en) Storage device and method for protecting against virus/malware thereof and computing system having the same
CN100489805C (en) Autonomous memory checker for runtime security assurance and method therefore
US8856534B2 (en) Method and apparatus for secure scan of data storage device from remote server
US11409884B2 (en) Security profiling of system firmware and applications from an OOB appliance at a differentiated trust boundary
KR102403138B1 (en) Method for privileged mode based secure input mechanism
EP2389645B1 (en) Removable memory storage device with multiple authentication processes
US11403180B2 (en) Auxiliary storage device having independent recovery area, and device applied with same
TWI610182B (en) Systems and methods for providing dynamic file system awareness on storage devices
JP6370098B2 (en) Information processing apparatus, information processing monitoring method, program, and recording medium
CN102385671B (en) Software enciphering method and system
CN105122260A (en) Context based switching to a secure operating system environment
US10007785B2 (en) Method and apparatus for implementing virtual machine introspection
US20200177381A1 (en) Trusted measuring method, apparatus, system, storage medium, and computing device
GB2485622A (en) Server detecting malware in user device.
JP2015032317A (en) Data storage device and access control method
WO2013048492A1 (en) Mechanism for providing a secure environment for acceleration of software applications at computing devices
KR100985076B1 (en) Apparatus and method for protecting data in usb devices
KR102019483B1 (en) Removable storage device and security method thereof
CN104361280A (en) Method for carrying out credible certification on USB storage device through SMI interrupt
TW201305842A (en) Method and apparatus for securing storage devices by real-time monitoring file system
KR102424293B1 (en) Storage system and method for performing secure write protect thereof
US10691586B2 (en) Apparatus and method for software self-test
WO2017218314A1 (en) Enhanced management of passwords for printing applications and services

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant