KR102084183B1 - 악성 프로세스 감염을 차단하는 파일 백업 장치 및 그 방법 - Google Patents

악성 프로세스 감염을 차단하는 파일 백업 장치 및 그 방법 Download PDF

Info

Publication number
KR102084183B1
KR102084183B1 KR1020180066884A KR20180066884A KR102084183B1 KR 102084183 B1 KR102084183 B1 KR 102084183B1 KR 1020180066884 A KR1020180066884 A KR 1020180066884A KR 20180066884 A KR20180066884 A KR 20180066884A KR 102084183 B1 KR102084183 B1 KR 102084183B1
Authority
KR
South Korea
Prior art keywords
file
storage area
backup
temporary storage
area
Prior art date
Application number
KR1020180066884A
Other languages
English (en)
Other versions
KR20190140285A (ko
Inventor
홍지만
손명준
이진우
김용민
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to KR1020180066884A priority Critical patent/KR102084183B1/ko
Priority to CN201811221536.0A priority patent/CN110580407A/zh
Publication of KR20190140285A publication Critical patent/KR20190140285A/ko
Application granted granted Critical
Publication of KR102084183B1 publication Critical patent/KR102084183B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • G06F11/1451Management of the data involved in backup or backup restore by selection of backup contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명의 실시예에 따른 파일 백업 장치는 일정 주기로 사용자 단말의 저장 수단 내 백업 대상 영역에 저장된 파일을 파일 백업 장치의 저장 수단 내 임시 저장 영역으로 복사하는 파일 복사부, 상기 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사하는 감염 검사부, 그리고 검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 임시 저장 영역에 복사된 파일을 상기 파일 백업 장치의 저장 수단 내 파일 보관 영역에 저장하는 파일 보관부를 포함한다.

Description

악성 프로세스 감염을 차단하는 파일 백업 장치 및 그 방법{FILE BACKUP APPARATUS FOR PREVENTING INFECTION TO MALICIOUS PROCESS ANG METHOD THEREOF}
실시 예는 파일 백업 시스템 및 그 방법에 관한 것이다.
랜섬웨어는 사용자 디바이스 또는 네트워크 스토리지 디바이스의 저장소에 존재하는 파일들을 암호화하여 인질로 삼는 멀웨어(Malware)의 일종이다. 암호화된 파일을 원상태로 되돌리기 위해서는 복호화 키가 필요하며, 랜섬웨어 개발자는 이 복호화 키를 통해 암호화 된 파일들에 대해서 비용을 요구한다. 일반적으로 비용은 추적이 어렵다고 알려진 암호화폐(비트코인 등)를 이용한 전자 결제 방식을 통해서 지불하게 된다. 랜섬웨어는 대부분 이메일에 정상적인 파일로 가장된 상태로 첨부되어 배포되며, 첨부 파일을 열어보는 순간 랜섬웨어 프로그램이 활성화 된다. 랜섬웨어는 운영체제의 취약점이나 일반 사용자들이 사용하는 프로그램인 애플리케이션의 취약점을 이용하여 암호화를 수행하는 것이 일반적이다.
일부 컴퓨터 운영체제의 경우 자체적으로 램섬웨어와 같은 악성 프로세스로부터 데이터를 보호하는 자체 보안 기능을 가진다. 자체 보안 기능이 없는 운영체제의 경우에는 함정파일을 이용하는 별도의 백신 프로그램을 사용하여 랜섬웨어를 방지한다. 최근 다년간의 성장을 통해 큰 규모로 성장한 클라우드 컴퓨팅을 통해서 랜섬웨어를 대응 하는 기술들도 등장하고 있다.
하지만, 함정 파일을 두는 경우에는 그것들을 배치하는 경로가 랜섬웨어에 따라 가변적일 수 있고 어떤 함정 파일을 두느냐에 따라 랜섬웨어 탐지는 가능하지만 방지는 불가능 할 수 있다. 또한 클라우드 컴퓨팅을 통한 랜섬웨어 방지 솔루션은 그 클라우드 자체가 랜섬웨어에 감염된다면 기존 백업 파일 역시 랜섬웨어에 감염될 수 있는 문제가 발생한다.
실시 예는 랜섬웨어를 포함하는 악성 프로세스가 백업 파일에 감염되는 것을 차단하는 파일 백업 장치 및 그 방법을 제공하기 위한 것이다.
실시 예에서 해결하고자 하는 과제는 이에 한정되는 것은 아니며, 아래에서 설명하는 과제의 해결수단이나 실시 형태로부터 파악될 수 있는 목적이나 효과도 포함된다고 할 것이다.
본 발명의 실시예에 따른 파일 백업 장치는 일정 주기로 사용자 단말의 저장 수단 내 백업 대상 영역에 저장된 파일을 파일 백업 장치의 저장 수단 내 임시 저장 영역으로 복사하는 파일 복사부, 상기 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사하는 감염 검사부, 그리고 검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 임시 저장 영역에 복사된 파일을 상기 파일 백업 장치의 저장 수단 내 파일 보관 영역에 저장하는 파일 보관부를 포함한다.
상기 백업 대상 영역에 저장된 파일은, 상기 악성 프로세스의 감염 대상이 되는 함정파일을 포함하며, 상기 감염 검사부는, 상기 함정파일이 상기 악성 프로세스에 의해 암호화되었는지 여부를 통해 상기 악성 프로세스 감염 여부를 검사할 수 있다.
상기 임시 저장 영역으로 복사가 완료되면, 상기 백업 대상 영역을 언마운트(unmount)하여 상기 백업 대상 영역과 상기 임시 저장 영역의 연결을 해제하는 연결 제어부를 더 포함할 수 있다.
상기 연결 제어부는, 검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 파일 보관 영역을 마운트(mount)하여 상기 임시 저장 영역에 연결시킬 수 있다.
상기 연결 제어부는, 상기 임시 저장 영역에 복사된 파일이 상기 파일 보관 영역에 저장되면, 상기 파일 보관 영역을 언마운트(unmount)하여 상기 임시 저장 영역과 상기 파일 보관 영역의 연결을 해제하고, 상기 백업 대상 영역을 마운트하여 상기 백업 대상 영역과 상기 임시 저장 영역을 연결할 수 있다.
본 발명의 실시예에 따른 파일 백업 장치를 이용한 파일 백업 방법에 있어서, 파일 백업 방법은 상기 파일 백업 장치가 일정 주기로 사용자 단말의 저장 수단 내 백업 대상 영역에 저장된 파일을 상기 파일 백업 장치의 저장 수단 내 임시 저장 영역으로 복사하는 단계, 상기 파일 백업 장치가 상기 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사하는 단계, 검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 파일 백업 장치가 상기 임시 저장 영역에 복사된 파일을 상기 파일 백업 장치의 저장 수단 내 파일 보관 영역에 저장하는 단계를 포함한다.
상기 백업 대상 영역에 저장된 파일은, 상기 악성 프로세스의 감염 대상이 되는 함정파일을 포함하며, 상기 악성 프로세스 감염 여부를 검사하는 단계는, 상기 함정파일이 암호화되었는지 여부를 통해 상기 악성 프로세스 감염 여부를 검사할 수 있다.
상기 임시 저장 영역으로 복사가 완료되면, 상기 파일 백업 장치가 상기 백업 대상 영역을 언마운트(unmount)하여 상기 백업 대상 영역과 상기 임시 저장 영역의 연결을 해제하는 단계를 더 포함할 수 있다.
검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 파일 백업 장치가 상기 파일 보관 영역을 마운트(mount)하여 상기 임시 저장 영역에 연결시키는 단계를 더 포함할 수 있다.
상기 임시 저장 영역에 복사된 파일이 상기 파일 보관 영역에 저장되면, 상기 파일 백업 장치가 상기 파일 보관 영역을 언마운트(unmount)하여 상기 임시 저장 영역과 상기 파일 보관 영역의 연결을 해제하고, 상기 백업 대상 영역을 마운트하여 상기 백업 대상 영역과 상기 임시 저장 영역을 연결할 수 있다.
본 발명의 실시예에 따르면, 파일의 악성 프로세스 감염 검사 및 파일 복사 저장 단계마다 보조 기억 장치 사이의 연결이나 보조 기억 장치 내 저장 영역의 연결을 유지하거나 해제함으로써 백업 시스템에 악성 프로세스가 감염되는 상황을 미연에 방지할 수 있다. 이에 따라, 사용자는 중요한 데이터를 보다 안전하게 보관할 수 있는 장점이 있다.
본 발명의 다양하면서도 유익한 장점과 효과는 상술한 내용에 한정되지 않으며, 본 발명의 구체적인 실시형태를 설명하는 과정에서 보다 쉽게 이해될 수 있을 것이다.
도 1은 본 발명의 실시예에 따른 파일 백업 시스템의 구성도이다.
도 2는 본 발명의 실시예에 따른 파일 백업 장치의 구성도이다.
도 3은 본 발명의 실시예에 따른 파일 백업 방법의 순서도이다.
도 4는 본 발명의 실시예에 따른 연결 제어부가 각 영역의 연결을 제어하는 과정을 설명하기 위한 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제2, 제1 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제2 구성요소는 제1 구성요소로 명명될 수 있고, 유사하게 제1 구성요소도 제2 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 본 발명의 실시예에 따른 파일 백업 시스템의 구성도이다.
도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 파일 백업 시스템은 사용자 단말(100)과 파일 백업 장치(200)를 포함한다.
본 발명의 실시예에 따른 파일 백업 시스템은 사용자 단말(100)에 저장된 파일을 파일 백업 장치(200)에 저장할 때 랜섬웨어(ransomware)와 같은 악성 프로세스(malware)의 감염이 없는 파일만을 선택적으로 보관할 수 있다. 이를 통해, 본 발명의 실시예에 따른 파일 백업 시스템은 파일 보관의 안전성을 높일 수 있다.
그러면, 본 발명의 실시예에 따른 파일 백업 시스템의 각 구성에 대해 구체적으로 살펴보도록 한다.
우선, 사용자 단말(100)은 사용자가 데이터 처리 시스템과 교신하기 위한 입출력 장치를 의미한다. 사용자 단말은 휴대폰(mobile phone), 스마트 폰(smart phone), 노트북 컴퓨터(notebook computer), 데스크탑 컴퓨터(desktop computer), PDA(personal digital assistants), PMP(portable multimedia player), 태블릿 PC(tablet PC)와 같은 장치를 통해 구현될 수 있다.
사용자 단말(100)은 파일 시스템(110) 및 저장 수단(120)을 포함한다.
파일 시스템(file system)은 운영 체제에서 보조 기억 장치와 그 안에 저장되는 파일을 관리하는 시스템을 의미한다. 본 발명의 실시예에서, 사용자 단말(100)의 파일 시스템(110)은 사용자 단말(100)의 운영 체제에서 저장 수단(120) 및 저장 수단(120)에 저장되는 파일을 관리하는 시스템을 의미할 수 있다.
저장 수단(120)은 파일을 저장하는 보조 기억 장치를 의미한다. 보조 기억 장치는 중앙처리장치가 아닌 외부에서 프로그램이나 데이터를 보관하기 위한 기억장치를 의미한다. 따라서, 저장 수단은 HDD(Hard Disk Drive), SSD(Solid State Disk), USB(Universal Serial Bus), 자기 테이프, 자기 디스크, 레이저 디스크, 광자기디스크, 플로피 디스크, CD-ROM 등을 포함할 수 있다.
사용자 단말(100)의 저장 수단(120)은 사용자 단말(100)의 파일 시스템(110)에 의해 관리될 수 있다. 사용자가 사용자 단말(100)을 통해 파일을 생성하면, 파일 시스템(110)은 저장 수단의 특정 영역에 파일을 저장할 수 있다. 여기서, 특정 영역이란 디렉토리나 폴더, 논리 드라이브를 의미할 수 있다. 뿐만 아니라, 사용자 단말(100)의 저장 수단이 복수일 경우, 물리적으로 분리된 하나 이상의 저장 수단일 수도 있다.
사용자 단말(100)은 저장 수단(120) 내에 어느 특정 영역을 백업 대상 영역(121)으로 설정할 수 있다. 구체적으로, 사용자 단말(100)의 파일 시스템(110)은 저장 수단(120) 내에 어느 특정 영역을 백업 대상 영역(121)으로 설정할 수 있다. 여기서, 백업 대상 영역(121)이란 본 발명의 실시예에 따른 파일 백업 장치(200)로 전송될 대상 파일이 저장된 공간을 의미한다. 예를 들어, 사용자 단말(100)은 “c:\Un-safe region\”이라는 폴더를 백업 대상 영역(121)으로 설정할 수 있으며, “c:\Un-safe region\” 폴더 내에 저장된 파일은 파일 백업 장치(200)로 전송될 수 있다. 따라서, 백업 대상 영역(121) 이외의 영역에 저장된 파일은 파일 백업 장치(200)로 전송될 수 없다.
사용자 단말(100)은 저장 수단(120) 내 백업 대상 영역(121)에 함정파일(미끼파일)을 생성할 수 있다. 함정파일은 악성 프로세스의 감염 대상이 파일을 의미한다. 따라서, 백업 대상 영역(121)에 저장된 파일이 파일 백업 장치(200)로 전송될 때, 함정파일도 함께 전송될 수 있다.
함정 파일은 악성 프로세스의 정책 기초하여 생성될 수 있다. 예를 들어, 랜섬웨어가 사용자 단말의 저장 수단 내 최상위 경로부터 암호화를 진행하는 정책을 가진다고 가정한다. 그러면, 사용자 단말은 파일명이나 폴더명 앞에 특수기호(%, $, !, @ 등)가 배치되는 함정파일(decoy file)을 생성할 수 있다.
다음으로, 파일 백업 장치(200)는 사용자 단말(100)과 통신하여 파일을 수신 및 저장할 수 있는 입출력 장치를 의미한다. 본 발명의 실시예에 따르면, 파일 백업 장치(200)는 서버(sever)의 형태로 구현될 수 있으며, 서버의 기능을 구현할 수 있는 장치를 모두 포함할 수 있다. 파일 백업 장치(200)는 클라우드(Cloud), NAS(Network Attached Storage), 데스크탑 컴퓨터, 노트북 컴퓨터, 태블릿 PC 등을 포함할 수 있다.
파일 백업 장치(200)는 파일 시스템(210) 및 저장 수단(220)을 포함한다.
파일 시스템(210)은 운영 체제에서 보조 기억 장치와 그 안에 저장되는 파일을 관리하는 시스템을 의미한다. 본 발명의 실시예에서, 파일 백업 장치(200)의 파일 시스템(210)은 파일 백업 장치(200)의 운영 체제에서 저장 수단(220) 및 저장 수단(220)에 저장되는 파일을 관리하는 시스템을 의미할 수 있다.
저장 수단(220)은 파일을 저장하는 보조 기억 장치를 의미한다. 보조 기억 장치는 중앙처리장치가 아닌 외부에서 프로그램이나 데이터를 보관하기 위한 기억장치를 의미한다. 따라서, 저장 수단(220)은 HDD(Hard Disk Drive), SSD(Solid State Disk), USB(Universal Serial Bus), 자기 테이프, 자기 디스크, 레이저 디스크, 광자기디스크, 플로피 디스크, CD-ROM 등을 포함할 수 있다.
파일 백업 장치(200)의 저장 수단(220)은 파일 백업 장치(200)의 파일 시스템(210)에 의해 관리될 수 있다. 파일 백업 장치(200)의 파일 시스템은 사용자 단말(100)로부터 수신한 파일을 저장 수단(220)의 특정 영역에 저장할 수 있다. 여기서, 특정 영역이란 디렉토리나 폴더, 논리 드라이브를 의미할 수 있다. 뿐만 아니라, 파일 백업 장치(200)의 저장 수단(220)이 복수일 경우, 물리적으로 분리된 하나 이상의 저장 수단(220)일 수도 있다.
파일 백업 장치(200)는 저장 수단(220) 내에 어느 특정 영역을 임시 저장 영역(221)으로 설정할 수 있다. 예를 들어, 파일 백업 장치(200)의 파일 시스템(210)은 저장 수단(220) 내에 어느 특정 영역을 임시 저장 영역(221)으로 설정할 수 있다. 여기서, 임시 저장 영역(221)이란 사용자 단말(100)의 백업 대상 영역(121)에 저장된 파일을 복사하여 저장하는 영역을 의미한다. 예를 들어, 파일 백업 장치(200)는 “c:\Middle region\”이라는 폴더를 임시 저장 영역(221)으로 설정할 수 있으며, 사용자 단말(100)로부터 전송된 파일은 “c:\Middle region\” 폴더 내에 저장될 수 있다.
또한, 파일 백업 장치(200)는 저장 수단(220) 내에 어느 특정 영역을 파일 보관 영역(222)으로 설정할 수 있다. 예를 들어, 파일 백업 장치(200)의 파일 시스템(210)은 저장 수단(220) 내에 어느 특정 영역을 파일 보관 영역(222)으로 설정할 수 있다. 여기서, 파일 보관 영역(222)이란 임시 저장 영역(221)에 저장된 파일 중 악성 프로세스가 감염되지 않은 파일을 저장하는 영역을 의미한다. 예를 들어, 파일 백업 장치(200)는 “c:\Safe region\”이라는 폴더를 파일 보관 영역(222)으로 설정할 수 있으며, 악성 프로세스의 감염이 되지 않았다고 검증된 파일을 “c:\Safe region\” 폴더 내에 저장할 수 있다.
본 발명의 실시예에 따르면, 사용자 단말과 파일 백업 장치는 통신망(10)을 통해 연결될 수 있으며, SMB(server message block) 프로토콜이나 CIFS(common Internet file system) 프로토콜을 통해 연결될 수 있다. 예를 들어, 파일 백업 장치는 SMB 프로토콜을 이용하여 사용자 단말과 통신 연결할 수 있으며, SMB 프로토콜 및 CIFS 프로토콜 기반의 삼바(samba)를 통해 백업 대상 영역의 파일을 전송받아 임시 저장 영역에 복사할 수 있다. 이는 본 발명의 일 실시예로서, 사용자 단말과 파일 백업 장치의 파일 시스템에 따라 프로토콜은 달라질 수 있다.
그러면, 도 2를 참조하여, 본 발명의 실시예에 따른 파일 백업 장치에 대해 살펴보도록 한다.
도 2는 본 발명의 실시예에 따른 파일 백업 장치의 구성도이다.
도 2에 도시된 바와 같이, 본 발명의 실시예에 따른 파일 백업 장치(200)는 파일 시스템(210)과 저장 수단(220)을 포함하며, 파일 시스템(210)은 파일 복사부(211), 감염 검사부(212), 파일 보관부(213) 및 연결 제어부(214)를 포함한다.
도 2에서는 파일 복사부(211), 감염 검사부(212), 파일 보관부(213) 및 연결 제어부(214)가 파일 시스템(210)에 포함된 구성으로 설명하고 있으나, 이에 한정되지 않으며, 파일 시스템(210)과 다른 별도의 시스템으로 구현될 수도 있다. 저장 수단(220)의 경우 도 1을 통해 설명하였는바, 상세한 설명은 생략하도록 하며, 아래에서는 파일 시스템(210)의 구성에 관해 살펴보도록 한다.
우선, 파일 복사부(211)는 일정 주기로 사용자 단말의 저장 수단 내 백업 대상 영역에 저장된 파일을 파일 백업 장치(200)의 저장 수단(220) 내 임시 저장 영역으로 복사한다.
이때, 파일 전송은 일정 주기마다 진행된다. 예를 들어, 일정 주기가 24시간인 경우, 24시간마다 파일 전송이 진행된다. 일정 주기는 사용자가 사용자 단말(100)을 통해 설정될 수 있다. 사용자가 파일을 생성하는 빈도나 저장되는 파일의 중요도에 따라 전송 주기를 설정할 수 있으므로, 파일 보관의 안전성을 높일 수 있다.
다음으로, 감염 검사부(212)는 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사한다. 감염 검사부(212)는 함정파일이 악성 프로세스에 의해 암호화되었는지 여부를 통해 악성 프로세스 감염 여부를 검사할 수 있다.
다음으로, 파일 보관부(213)는 검사 결과 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 임시 저장 영역에 복사된 파일을 파일 백업 장치(200)의 저장 수단(220) 내 파일 보관 영역에 저장한다.
다음으로, 연결 제어부(214)는 임시 저장 영역으로 복사가 완료되면, 사용자 단말과의 연결을 해제한다. 이때, 연결 제어부(214)는 사용자 단말(100)의 파일 시스템과 파일 백업 장치(200)의 파일 시스템 간 연결을 의미할 수 있다. 즉, 연결 제어부(214)는 사용자 단말(100)의 백업 대상 영역을 언마운트하여, 백업 대상 영역과 임시 저장 영역의 연결을 해제할 수 있다.
연결 제어부(214)는 검사 결과 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 파일 보관 영역을 마운트(mount)하여 임시 저장 영역에 연결시킨다.
연결 제어부(214)는 임시 저장 영역에 복사된 파일이 파일 보관 영역에 저장되면, 파일 보관 영역을 언마운트(unmount)하여 임시 저장 영역과 파일 보관 영역의 연결을 해제하고, 사용자 단말과의 통신을 연결한다.
그러면, 도 3을 통해 본 발명의 실시예에 따른 파일 백업 방법에 대해 살펴보도록 한다.
도 3은 본 발명의 실시예에 따른 파일 백업 방법의 순서도이다.
도 3을 참조하면, 우선, 사용자 단말(100)은 사용자 단말(100)의 저장 수단 내 백업 대상 영역을 설정한 후, 백업 대상 영역에 함정파일을 생성한다(S5).
그리고, 사용자 단말(100)은 백업 대상 영역에 저장된 파일을 파일 백업 장치(200)로 전송한다(S10). 백업 대상 영역에는 사용자의 사용자 단말(100) 사용에 따라 생성된 파일 뿐만 아니라, S5 단계에서 생성된 함정파일도 포함된다.
다음으로, 파일 백업 장치(200)는 전송된 파일, 즉 백업 대상 영역에 저장된 파일을 파일 백업 장치(200)의 저장 수단 내 임시 저장 영역으로 복사한다(S15). 이때, 복사된 파일에는 S5 단계에서 생성된 함정파일도 포함된다.
임시 저장 영역으로의 복사가 완료되면, 파일 백업 장치(200)는 사용자 단말(100)과의 연결을 해제한다(S20). S25 단계 등을 수행하는 중 사용자 단말(100)에 악성 프로세스가 감염될 수 있는데, 이때 사용자 단말(100)의 백업 대상 영역과 파일 백업 장치(200)의 임시 저장 영역이 계속 연결되어 있으면 S15 단계 이후에 파일 백업 장치(200)가 악성 프로세스에 감염될 수 있다. 예를 들어, S25 단계에서 악성 프로세스 감염 검사가 완료되어 악성 프로세스의 감염이 없다고 판단된 후 복사된 파일이 악성 프로세스에 감염될 수 있다. 이로 인해, 파일 백업 장치(200)에 저장되어 있던 파일들까지 악성 프로세스에 감염될 수 있는 문제점이 발생한다. 따라서, 본 발명의 실시예에 따른 파일 백업 장치(200)는 S20 단계에서 파일 백업 장치(200)와 사용자 단말(100) 간 연결을 해제함으로써 상기의 문제점을 미연에 차단하여 파일 보관의 안전성을 높인다.
S20 단계에서, 파일 백업 장치(200)와 사용자 단말(100) 간 통신 연결이 해제되면, 파일 백업 장치(200)는 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사하여(S25, S30).
검사 결과, 임시 저장 영역에 복사된 파일에 악성 프로세스가 감염되지 않았다고 판단되면, 파일 백업 장치(200)는 파일 보관 영역을 마운트(mount)하여 임시 저장 영역에 연결한다(S35).
즉, 파일 보관 영역에는 임시 저장 영역에 복사된 파일에 악성 프로세스가 감염되지 않았다고 판단될 때까지 접근할 수 없다. 따라서, 임시 저장 영역에 복사된 파일에 악성 프로세스가 감염되었다고 하더라도, 파일 보관 영역에 저장된 파일은 악성 프로세스의 감염을 피할 수 있는 장점이 있다.
파일 보관 영역이 마운트되면, 파일 백업 장치(200)는 임시 저장 영역에 복사된 파일을 파일 보관 영역에 저장한다(S40).
그리고, 파일 보관 영역에 저장이 완료되면, 파일 백업 장치(200)는 파일 보관 영역을 언마운트(unmount)하여 임시 저장 영역과 파일 보관 영역의 연결을 해제한다(S45).
즉, 파일 보관 영역으로의 저장이 완료되면, 악성 프로세스가 접근할 수 없도록 임시 저장 영역과 파일 보관 연결의 연결을 해제하여, 파일 보관의 안전성을 높인다.
그리고, 파일 백업 장치(200)는 사용자 단말(100)과 재연결한다(S50). 구체적으로, 파일 백업 장치(200)는 사용자 단말(100)의 백업 대상 영역을 마운트하여 임시 저장 영역과 재연결을 수행한다. 파일 백업 장치(200)와 사용자 단말(100) 사이의 연결은 다음 주기에서 임시 저장 영역에 파일이 복사될 때까지 계속된다.
한편, S25 및 S30 단계의 검사 결과, 임시 저장 영역에 복사된 파일에 악성 프로세스가 감염되었다고 판단되면, 파일 백업 장치(200)는 임시 저장 영역에 복사된 파일을 삭제할 수 있다(S55).
S55 단계에서 파일의 삭제가 완료되면, 파일 백업 장치(200)는 사용자 단말(100)로 백업 대상 영역에 악성 프로세스가 감염되었음을 통지할 수 있다(S60). 이 경우, 예를 들어, 사용자 단말(100)이 백업 대상 영역에 대한 악성 프로세스 삭제나 치료 등의 조치를 취하기 전까지 파일 백업 장치(200)는 사용자 단말(100)의 백업 대상 영역을 마운트하지 않는다.
S10 내지 S60 단계는 일정 주기로 반복될 수 있다.
도 4는 본 발명의 실시예에 따른 연결 제어부가 각 영역의 연결을 제어하는 과정을 설명하기 위한 도면이다.
우선, 파일 백업이 수행되지 않는 동안에는, 도 4의 (a)에서와 같이, 사용자 단말(100)의 백업 대상 영역(121)과 파일 백업 장치(200)의 임시 저장 영역(221)은 서로 연결된다. 즉, 파일 백업 장치(200)는 사용자 단말(100)의 백업 대상 영역(121)을 마운트하여 백업 대상 영역(121)과 임시 저장 영역(221)을 연결한다. 하지만, 파일 백업 장치(200) 내 임시 저장 영역(221)과 파일 보관 영역(222)은 서로 연결되지 않는다.
다음으로, 도 3의 S15단계가 완료된 후에는, 도 4의 (b)에서와 같이, 사용자 단말(100)의 백업 대상 영역(121)과 파일 백업 장치(200)의 임시 저장 영역(221)은 연결이 해제된다. 즉, 파일 백업 장치(200)는 사용자 단말(100)의 백업 대상 영역(121)을 언마운트하여 백업 대상 영역(121)과 임시 저장 영역(221)을 연결을 해제한다. 이때, 파일 백업 장치(200) 내 임시 저장 영역(221)과 파일 보관 영역(222)은 서로 연결되지 않는다.
그리고, 도 3의 S30 단계가 종료되고 악성 프로세스의 감염이 없다고 판단된 후에는 도 4의 (c)에서와 같이, 파일 백업 장치(200) 내 임시 저장 영역(221)과 파일 보관 영역(222)은 서로 연결된다. 이때, 사용자 단말(100)과 파일 백업 장치(200)는 연결이 되지 않는다.
다음으로, 도 3의 S40 단계가 종료되면, 도 4의 (d)에서와 같이, 파일 백업 장치(200) 내 임시 저장 영역(221)과 파일 보관 영역(222)의 연결은 해제된다. 그리고, 사용자 단말(100)과 파일 백업 장치(200)는 연결된다. 즉, 도 4의 (a)와 같은 연결 상태가 된다.
본 발명의 실시예에 따르면, 파일의 악성 프로세스 감염 검사 및 파일 복사 저장 단계마다 보조 기억 장치 사이의 연결이나 보조 기억 장치 내 저장 영역의 연결을 유지하거나 해제함으로써 백업 시스템에 악성 프로세스가 감염되는 상황을 미연에 방지할 수 있다. 이에 따라, 사용자는 중요한 데이터를 보다 안전하게 보관할 수 있는 장점이 있다.
본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
이상에서 실시예를 중심으로 설명하였으나 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 실시예에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있는 것이다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구 범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 사용자 단말 200 : 파일 백업 장치
210 : 파일 복사부 220 : 감염 검사부
230 : 파일 보관부 240 : 제어부

Claims (10)

  1. 일정 주기로 사용자 단말의 저장 수단 내 백업 대상 영역에 저장된 파일을 파일 백업 장치의 저장 수단 내 임시 저장 영역으로 복사하는 파일 복사부,
    상기 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사하는 감염 검사부, 그리고
    검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 임시 저장 영역에 복사된 파일을 상기 파일 백업 장치의 저장 수단 내 파일 보관 영역에 저장하는 파일 보관부, 그리고
    상기 임시 저장 영역으로 복사가 완료되면 상기 백업 대상 영역을 언마운트(unmount)하여 상기 백업 대상 영역과 상기 임시 저장 영역의 연결을 해제하고, 검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면 언마운트 상태의 상기 파일 보관 영역을 마운트(mount)하여 상기 임시 저장 영역에 연결시키며, 임시 저장 영역에 복사된 파일이 상기 파일 보관 영역에 저장되면, 상기 파일 보관 영역을 언마운트하여 상기 임시 저장 영역과 상기 파일 보관 영역의 연결을 해제하고, 상기 백업 대상 영역을 마운트하여 상기 백업 대상 영역과 상기 임시 저장 영역을 연결하는 연결 제어부를 포함하는 파일 백업 장치.
  2. 제1항에 있어서,
    상기 백업 대상 영역에 저장된 파일은,
    상기 악성 프로세스의 감염 대상이 되는 함정파일을 포함하며,
    상기 감염 검사부는,
    상기 함정파일이 상기 악성 프로세스에 의해 암호화되었는지 여부를 통해 상기 악성 프로세스 감염 여부를 검사하는 파일 백업 장치.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 파일 백업 장치를 이용한 파일 백업 방법에 있어서,
    상기 파일 백업 장치가 일정 주기로 사용자 단말의 저장 수단 내 백업 대상 영역에 저장된 파일을 상기 파일 백업 장치의 저장 수단 내 임시 저장 영역으로 복사하는 단계,
    상기 임시 저장 영역으로 복사가 완료되면, 상기 파일 백업 장치가 백업 대상 영역을 언마운트(unmount)하여 상기 백업 대상 영역과 상기 임시 저장 영역의 연결을 해제하는 단계,
    상기 파일 백업 장치가 상기 임시 저장 영역에 복사된 파일의 악성 프로세스 감염 여부를 검사하는 단계,
    검사 결과 상기 임시 저장 영역에 복사된 파일이 악성 프로세스에 감염되지 않았다고 판단되면, 상기 파일 백업 장치가 언마운트 상태의 파일 보관 영역을 마운트(mount)하여 상기 임시 저장 영역에 연결시키고, 상기 파일 백업 장치가 상기 임시 저장 영역에 복사된 파일을 상기 파일 백업 장치의 저장 수단 내 파일 보관 영역에 저장하는 단계, 그리고
    상기 임시 저장 영역에 복사된 파일이 상기 파일 보관 영역에 저장되면, 상기 파일 백업 장치가 상기 파일 보관 영역을 언마운트(unmount)하여 상기 임시 저장 영역과 상기 파일 보관 영역의 연결을 해제하고, 상기 백업 대상 영역을 마운트하여 상기 백업 대상 영역과 상기 임시 저장 영역을 연결하는 단계를 포함하는 파일 백업 방법.
  7. 제6항에 있어서,
    상기 백업 대상 영역에 저장된 파일은,
    상기 악성 프로세스의 감염 대상이 되는 함정파일을 포함하며,
    상기 악성 프로세스 감염 여부를 검사하는 단계는,
    상기 함정파일이 암호화되었는지 여부를 통해 상기 악성 프로세스 감염 여부를 검사하는 파일 백업 방법.
  8. 삭제
  9. 삭제
  10. 삭제
KR1020180066884A 2018-06-11 2018-06-11 악성 프로세스 감염을 차단하는 파일 백업 장치 및 그 방법 KR102084183B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180066884A KR102084183B1 (ko) 2018-06-11 2018-06-11 악성 프로세스 감염을 차단하는 파일 백업 장치 및 그 방법
CN201811221536.0A CN110580407A (zh) 2018-06-11 2018-10-19 防止恶意进程感染的文件备份装置和文件备份方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180066884A KR102084183B1 (ko) 2018-06-11 2018-06-11 악성 프로세스 감염을 차단하는 파일 백업 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20190140285A KR20190140285A (ko) 2019-12-19
KR102084183B1 true KR102084183B1 (ko) 2020-03-03

Family

ID=68810376

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180066884A KR102084183B1 (ko) 2018-06-11 2018-06-11 악성 프로세스 감염을 차단하는 파일 백업 장치 및 그 방법

Country Status (2)

Country Link
KR (1) KR102084183B1 (ko)
CN (1) CN110580407A (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170206353A1 (en) * 2016-01-19 2017-07-20 Hope Bay Technologies, Inc. Method and system for preventing malicious alteration of data in computer system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100977150B1 (ko) * 2008-02-19 2010-08-23 (주)아이시큐어 웹 사이트 점검 방법 및 그 시스템
US9378370B2 (en) * 2013-06-17 2016-06-28 Microsoft Technology Licensing, Llc Scanning files for inappropriate content during synchronization
JP6478486B2 (ja) * 2013-11-20 2019-03-06 キヤノン株式会社 情報処理装置、その制御方法及びプログラム
WO2016138067A1 (en) * 2015-02-24 2016-09-01 Cloudlock, Inc. System and method for securing an enterprise computing environment
KR20170137534A (ko) * 2016-06-03 2017-12-13 주식회사 케이티 파일 백업을 통제하는 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170206353A1 (en) * 2016-01-19 2017-07-20 Hope Bay Technologies, Inc. Method and system for preventing malicious alteration of data in computer system

Also Published As

Publication number Publication date
KR20190140285A (ko) 2019-12-19
CN110580407A (zh) 2019-12-17

Similar Documents

Publication Publication Date Title
EP3474176B1 (en) System and method of detecting a malicious file
EP3374922B1 (en) Systems and methods for protecting backed-up data from ransomware attacks
US9418222B1 (en) Techniques for detecting advanced security threats
JP6196393B2 (ja) プリインストールアプリケーションのスキャンを最適化するためのシステム及び方法
US20170364708A1 (en) Peer integrity checking system
US9058492B1 (en) Techniques for reducing executable code vulnerability
JP6055574B2 (ja) セキュアなオペレーティングシステム環境へのコンテキストベースのスイッチング
US9813443B1 (en) Systems and methods for remediating the effects of malware
US20070078990A1 (en) System for identifying the presence of Peer-to-Peer network software applications
US9894085B1 (en) Systems and methods for categorizing processes as malicious
EP3797371B1 (en) Systems and methods for controlling an application launch based on a security policy
US10140454B1 (en) Systems and methods for restarting computing devices into security-application-configured safe modes
US9338012B1 (en) Systems and methods for identifying code signing certificate misuse
EP3384653A1 (en) Systems and methods for detecting malware infections via domain name service traffic analysis
US9792436B1 (en) Techniques for remediating an infected file
US11477232B2 (en) Method and system for antivirus scanning of backup data at a centralized storage
US11327848B2 (en) System and method for data remediation without data loss
WO2019135919A1 (en) Systems and methods for enforcing data loss prevention policies on endpoint devices
US9219707B1 (en) Systems and methods for sharing the results of malware scans within networks
US10169584B1 (en) Systems and methods for identifying non-malicious files on computing devices within organizations
US10887339B1 (en) Systems and methods for protecting a cloud storage against suspected malware
KR102084183B1 (ko) 악성 프로세스 감염을 차단하는 파일 백업 장치 및 그 방법
US10546117B1 (en) Systems and methods for managing security programs
US11636204B2 (en) Systems and methods for countering removal of digital forensics information by malicious software
JP7498758B2 (ja) 同期中にデータを保護するためのシステム及び方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant