KR102093274B1 - 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체 - Google Patents

콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체 Download PDF

Info

Publication number
KR102093274B1
KR102093274B1 KR1020190062349A KR20190062349A KR102093274B1 KR 102093274 B1 KR102093274 B1 KR 102093274B1 KR 1020190062349 A KR1020190062349 A KR 1020190062349A KR 20190062349 A KR20190062349 A KR 20190062349A KR 102093274 B1 KR102093274 B1 KR 102093274B1
Authority
KR
South Korea
Prior art keywords
file
content
active content
analysis
threat
Prior art date
Application number
KR1020190062349A
Other languages
English (en)
Inventor
이상준
Original Assignee
(주)지란지교시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)지란지교시큐리티 filed Critical (주)지란지교시큐리티
Priority to KR1020190062349A priority Critical patent/KR102093274B1/ko
Application granted granted Critical
Publication of KR102093274B1 publication Critical patent/KR102093274B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명인 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 서버, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체는 분석 대상 파일 내 액티브 콘텐트를 추출하여 사용자에게 액티브 콘텐트의 위험도를 보고할 수 있는 스캐닝 시스템을 제공하는데 그 목적이 있다. 본 발명에 따르면 분석 대상 포맷 파일을 검출하고 여기서 액티브 콘텐트를 추출한 뒤 위협 분석을 하고 이를 사용자 또는 관리자에게 보고한다.
본 발명을 통해 기저장되거나 유통되는 분석 대상 파일에 대한 위험도 판별이 가능하므로 장기간 잠복된 공격을 미리 인지하고 관리자, 사용자가 선제 대응할 수 있고, 보안 관리자는 이미 공격이 진행되고 있거나 진행되었던 공격에 대한 위험도 보고를 통해 문서의 이력관리, 유입 채널 파악이 가능하고 피해 확대를 방지하는 등 대응 정책을 수립할 수 있는 효과가 있다.

Description

콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체{CONTENT SCANNING AGENT, CONTENT SCANNING METHOD, AND STORAGE MEDIA ON WHICH THE PROGRAM IS RECORDED}
본 발명은 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체에 관한 것이다.
근래에는 업무의 효율성을 위해 대부분의 기업이 사내 네트워크를 구축하고 있다.
사내 네트워크는 다수의 이용자에게 빈번하게 사용되기 때문에, 사용자에게 필요한 액티브 콘텐트 외에 악의적으로 심어진 바이러스나 랜섬웨어와 같은 각종 유해한 액티브 콘텐트나 코드 등(이하 '유해한 액티브 콘텐트'라 통칭함)은 사내 네트워크 내에서 매우 빠른 속도로 전염된다.
그래서 사내 네트워크를 구축한 기업들은 유해한 액티브 콘텐트로부터 사내 네트워크를 보호하기 위한 각종 보안 시스템을 고려한다.
액티브 콘텐트들은 종종 사용자들에게 필요한 정보를 담은 멀티미디어 파일(예를 들면 워드파일, PDF문서, 그림파일, PPT파일, 엑셀파일, 이미지파일 등)에 심어진 상태로 유통되면서 신속히 확산될 수 있다. 그래서 멀티미디어 파일에 대한 보안 시스템의 도입이 필요하다.
멀티미디어 파일은 주로 이메일, 웹사이트 다운로드, USB메모리와 같은 기록매체, 사내 네트워크에 접속되어 있는 컴퓨터(개인용 PC나 스마트폰 또는 서버용 컴퓨터를 모두 포함함)로부터 유입될 수 있다. 이에 따라서 멀티미디어 파일의 수신 경로마다 최적화된 다양한 보안수단들이 구축되어 있다. 예를 들어, 이메일에 의한 수신 경로에는 스팸메일이나 악성코드를 가지는 메일 등을 처리하는 메일 보안수단이 구비되고, 웹사이트 다운로드에 따른 수신 경로에는 백신이 동작하며, 기록매체에 의한 수신 경로에는 매체제어수단이 구비된다. 그리고 컴퓨터 간 수신 경로에는 망분리수단이 구비될 수 있다.
멀티미디어 파일에 액티브 콘텐트가 심어진 경우에, 백신은 액티브 콘텐트의 패턴매칭을 통해 해당 액티브 콘텐트의 유해성 여부를 확인하였으나, 이러한 방법의 경우 변종이나 신종 악성 프로그램을 가려낼 수는 없었다.
또한, 멀티미디어 파일에 직접적으로 악성 프로그램이 포함되어 있지 않고 매크로 등을 이용하여 사용자가 해당 멀티미디어 파일을 열람할 시, 매크로에 의해 악성 프로그램을 다운로드하여 실행하게 되면 패턴 기반으로 해당 멀티미디어 파일의 유해성을 탐지하기가 어렵고, 이러한 공격은 매크로 코드의 조작만으로 새로운 형태가 되기 때문에 지속적으로 신규 위협으로 기능하므로, 패턴매칭만으로는 대응하기가 어렵다.
그래서 샌드박스(SandBox)라는 수단이 등장하였다. 샌드박스는 멀티미디어 파일에 심어진 액티브 콘텐트를 보호된 영역의 가상 환경에서 동작 여부 등을 수행시킴으로써 액티브 콘텐트의 행위를 통해 해당 액티브 콘텐트가 유해한지 여부를 확인하였다. 그런데, 근래에 개발되는 유해한 액티브 콘텐트들은 가상 환경에서는 동작하지 않고 실제 환경에서만 동작하도록 프로그램화되어 있어서, 샌드박스로는 멀티미디어 파일에 심어진 악성 프로그램으로부터 사내 네트워크를 보호할 수 없는 상태에 이르렀다. 즉, 지능화된 악성코드는 언제 가상 환경이 실행 중인지를 판단하고, 이에 따라 그들의 공격 행위를 멈춰 탐지를 피할 수 있는 방식이나 필수 프로그램(예를 들어 Java)의 취약점을 악용하는 방식으로 점차 진화해 가고 있는 것이다. 또한, 가상 환경이라 동작 수행의 시간이 다소 걸린다는 점에서, 샌드박스는 단독 보안 솔루션이 아닌 기존 보안 솔루션을 보완하는 정도로만 사용된다.
그리고 일부의 랜섬웨어는 이메일 본문의 링크를 사용하여 백신이나 샌드박스를 우회하기도 하는 등 기존의 백신이나 샌드박스에 의한 보안이 무력화되고 있는 실정이다.
그러나 보안 위협이 지능화, 고도화됨에 따라 기존의 보안 환경에서 이를 사전에 차단하는 것이 점차 어려워지고 있으며, 공격자들은 타겟 대상이 악성코드에 감염되도록 문서, 이미지 등 사용 빈도가 높은 포맷 파일을 이용한 공격을 확대해나가고 있다.
특히 분석 대상의 악성문서 공격은 문서 자체가 악성코드가 아닌 문서 내 포함되어 있는 액티브 콘텐트(매크로, 스크립트, OLE Object 등 멀티미디어 파일 내에 포함되어 있는 실행 가능한 기능, 요소 등)에 악성코드를 은닉, 위장한 채 삽입하며, 사용자가 액티브 콘텐트를 실행하면 감염되도록 하는 사회공학적 기법이 적용된 공격 방식이 증가하고 있다. 예를 들어, 스피어피싱, APT 공격 등이 있다.
분석 대상 파일은 PC나 스토리지에 장기간 보관되고 있고 이메일, USB, 웹 게시판 등을 통해 쉽게 유통되고 있다.
따라서, 현재 저장되어 있거나 사용자 단말로 유입될 분석 대상 파일에 악의적 목적의 액티브 콘텐트들을 제거하여 안전하게 주고받을 필요가 있다. 이에 분석 대상 파일에서 액티브 콘텐트를 추출하여 무해화 하는 CDR(Content Disarm & Reconstruction)이라는 일종의 콘텐트 무해화 수단이 등장하였다. 이와 관련한 종래기술로는 등록특허 10-1860546호가 있다. CDR은 멀티미디어 파일의 구조를 분석하여 액티브 콘텐트 영역을 추출하고, 이를 제거한 상태에서 해당 멀티미디어 파일을 수신자에게 전달한다.
예를 들어, 기업담당자를 사칭한 이름으로 메일이 보내졌으며, 기존 공문과 똑같은 양식과 내용이 사용됐다. 문서 안에는 ‘제품 데모 영상을 보시려면 클릭하시오’ 등 악성코드 다운로드를 유도하는 문구를 넣었다. 이용자가 이 링크를 클릭하는 순간 악성코드에 감염된다. CDR은 문서파일 내 포함된 액티브 콘텐트를 모두 삭제한다. 이때, 유해, 무해 여부는 가리지 않는다. 이후 이용자가 파일을 볼 수 있도록 파일을 재조립한다. 파일을 ‘무해화’하는 것이다. 그로 인해 사용자의 컴퓨터는 안전한 상태의 멀티미디어 파일을 수신할 수 있게 되었다.
다만, 유무해 여부를 가리지 않고 CDR에 의해 사용자에게 필요한 액티브 콘텐트들이 삭제되면 사용자는 해당 멀티미디어 파일이 위협이 되지 않음에도 파일을 적절히 열람하거나 사용할 수 없게 되어버릴 가능성이 있어 사용자에게 불측의 손해를 미칠 수 있는 문제가 있었다.
본 발명은 상술한 문제점을 해결하기 위해 안출된 발명으로 분석 대상 파일 내 액티브 콘텐트를 추출하여 사용자에게 액티브 콘텐트의 위험도 보고를 콘텐트 무해화 이전에 수행할 수 있는 콘텐트 스캐닝 시스템을 제공하는데 그 목적이 있다.
본 발명에 따른 콘텐트 스캐닝 에이전트는 다양한 유입채널로부터 유입되어 온 분석 대상 파일을 검출하는 검출부; 상기 검출부에서 검출된 상기 파일에서 액티브 콘텐트 포함 여부를 판별하는 판별부;상기 판별부에서 판별된 상기 액티브 콘텐트 및 상기 파일의 시그니처를 추출하는 추출부;상기 액티브 콘텐트의 위협을 분석하는 분석작업을 통해 위협분석결과정보를 생성하도록 요청하며 상기 액티브 콘텐트를 서버로 전송하는 발신부;상기 서버로부터 상기 위협분석결과정보를 수신하는 수신부;상기 위협분석결과정보에 따른 리포팅 및 상기 분석작업을 결정하는 보안정책 설정을 위한 인터페이스를 사용자에게 제공하는 제공부;을 포함한다.
본 발명인 콘텐트 스캐닝 에이전트는 상기 보안정책에 따라 상기 액티브 콘텐트의 위협을 분석하는 분석작업을 수행하여 위협분석결과정보를 생성하는 분석부을 더 포함할 수 있다.
상기 발신부는 상기 시그니처가 상기 위협분석결과정보와 매칭되어 저장되도록 상기 시그니처를 상기 서버로 전송할 수 있다.
본 발명인 콘텐트 스캐닝 에이전트는 상기 위협분석결과정보에 기초하여 상기 파일로부터 해당 액티브 콘텐트를 무해화한 변환파일을 생성하기 위한 파일처리부을 더 포함할 수 있고, 상기 제공부는 사용자의 요청에 따라 상기 파일처리부에서 생성된 변환파일을 제공할 수 있다.
상기 분석부는, 분석 대상 포맷과 액티브 콘텐트의 연관성 정보, 액티브 콘텐트의 위협적인 함수정보, 액티브 콘텐트 추출 빈도정보를 기초로 상기 액티브 콘텐트를 분석하는 제1분석부분; 및 사전에 분석된 액티브 콘텐트의 시그니처를 기초로 액티브 콘텐트를 분석하는 제2분석부분;을 포함할 수 있다.
상기 파일처리부는 상기 위협분석결과정보에 따라 악성으로 분석된 액티브 콘텐트를 상기 파일에서 무력화시키는 무력화부분; 상기 무력화부분에 의해 무력화된 액티브 콘텐트의 속성정보와 상기 무력화부분이 악성 액티브 콘텐트를 무해화한 처리 내역에 대한 처리결과정보를 중 적어도 어느 하나를 포함하는 대체정보를 생성하는 대체정보생성부분; 상기 파일 내 무력화된 액티브 콘텐트를 제외한 콘텐트는 유지하면서 상기 무력화된 파일과 상기 대체정보를 조합하여 변환파일을 생성하는 조합부분;을 포함할 수 있다.
상기 발신부는 상기 분석작업을 통해 생성된 위협분석결과정보에 따라 상기 파일로부터 악성 액티브 콘텐트를 무해화한 변환파일이 생성되도록 하는 추가요청과 함께 상기 액티브 콘텐트를 상기 서버로 전송하고, 상기 수신부는 상기 변환파일을 상기 서버로부터 수신할 수 있다.
본 발명인 콘텐트 스캐닝 서버는 보안정책에 따라 액티브 콘텐트의 위협을 분석하는 분석작업을 수행하여 위협분석결과정보를 생성하는 분석수단;상기 위협분석결과정보에 기초하여 상기 파일로부터 해당 액티브 콘텐트를 무해화한 변환파일을 생성하기 위한 파일처리수단; 및 상기 위협분석결과정보 및 상기 변환파일을 에이전트로 전송하는 발신수단;
에이전트와 연결되어 있는 수신수단;을 포함한다.
본 발명인 콘텐트 스캐닝 서버는 다양한 유입채널로부터 유입되어 온 분석 대상 파일을 검출하는 검출수단; 상기 검출수단에서 검출된 상기 파일에서 액티브 콘텐트 포함 여부를 판별하는 판별수단; 및 상기 판별수단에서 판별된 상기 액티브 콘텐트 및 상기 파일의 시그니처를 추출하는 추출수단을 더 포함할 수 있다.
상기 수신수단은 에이전트에서 검출된 분석 대상 파일로부터 에이전트가 추출한 액티브 콘텐트를 수신할 수 있다.
본 발명인 콘텐트 스캐닝 서버는 상기 파일의 시그니처를 상기 위협분석결과와 매칭하여 저장하는 저장수단을 더 포함할 수 있다.
본 발명인 콘텐트 스캐닝 방법은 다양한 유입경로로부터 분석 대상 파일을 검출하는 검출단계; 상기 검출단계에서 검출된 분석 대상 파일에서 액티브 콘텐트 포함 여부를 판별하는 판별단계; 상기 판별단계에서 판별된 상기 액티브 콘텐트 및 상기 액티브 콘텐트의 시그니처를 추출하는 추출단계; 소정의 보안정책에 따라 상기 액티브 콘텐트의 위협을 분석하는 분석작업을 수행하여 위협분석결과정보를 생성하는 분석단계; 상기 액티브 콘텐트의 위협을 분석하는 분석작업을 통해 생성된 위협분석결과정보에 따른 리포팅 및 상기 분석작업을 결정하는 보안정책 설정을 위한 인터페이스를 사용자에게 제공하는 제공단계; 및 상기 위협분석결과정보에 기초하여 상기 분석 대상 파일로부터 악성 액티브 콘텐트를 무해화환 변환파일을 생성하는 파일처리단계를 포함한다.
아울러, 이러한 목적을 달성하기 위하여 본 발명의 일 실시예에 따른 컴퓨터 판독 가능 기록매체에는 상술한 방법을 수행하는 프로그램을 기록되어 있다.
본 발명에 따르면 다음 효과가 있다.
첫째, 새롭게 유입되는 악성 문서 공격에 대한 대응뿐 아니라 기저장되거나 유통되는 분석 대상 파일에 대한 위험도 판별이 가능하므로 장기간 잠복된 공격을 미리 인지하고 관리자, 사용자가 선제 대응할 수 있다.
둘째, 보안 관리자는 이미 공격이 진행되고 있거나 진행되었던 공격에 대한 위험도 보고를 통해 문서의 이력관리, 유입 채널 파악이 가능하고 피해 확대를 방지하는 등 대응 정책을 수립할 수 있다.
도 1은 본 발명에 따른 콘텐트 스캐닝 시스템에 대한 블록도이다.
도 2는 본 발명에 따른 콘텐트 스캐닝 에이전트에 대한 블록도이다.
도 3은 본 발명에 따른 콘텐트 스캐닝 서버에 대한 블록도이다.
도 4는 본 발명에 따른 콘텐트 스캐닝 방법에 대한 순서도이다.
도 5는 본 발명에 따른 콘텐트 스캐닝 프로그램이 기록된 저장매체에 대한 개념도이다.
도 6은 본 발명에 따른 콘텐트 스캐닝 프로그램이 기록된 저장매체에 대한 실시례이다.
본 발명의 바람직한 실시예에 대하여 더 구체적으로 설명하되, 이미 주지된 기술적 부분에 대해서는 설명의 간결함을 위해 생략하거나 압축하기로 한다.
본 명세서에서 사용되는 용어 "장치" "부", "수단", "시스템" "기능" 등은 컴퓨터-관련 엔티티, 하드웨어, 펌웨어, 소프트웨어, 소프트웨어 및 하드웨어의 조합, 또는 소프트웨어의 실행을 지칭한다. 예를 들어, "기능"은 프로세서상에서 실행되는 처리과정(procedure), 프로세서, 객체, 실행 스레드, 프로그램, 및/또는 컴퓨터일 수 있지만, 이들로 제한되는 것은 아니다. 예를 들어, 컴퓨팅 장치에서 실행되는 애플리케이션 및 컴퓨팅 장치 모두 기능일 수 있다. 하나 이상의 기능은 프로세서 및/또는 실행 스레드 내에 상주할 수 있다. 일 기능은 하나의 컴퓨터 내에 로컬화 될 수 있다. 일 기능은 2개 이상의 컴퓨터들 사이에 분배될 수 있다. 또한, 이러한 기능들은 그 내부에 저장된 다양한 데이터 구조들을 갖는 다양한 컴퓨터 판독가능한 매체로부터 실행할 수 있다. 기능들은 예를 들어 하나 이상의 데이터 패킷들을 갖는 신호(예를 들면, 로컬 시스템, 분산 시스템에서 다른 기능들과 상호작용하는 하나의 기능으로부터의 데이터 및/또는 신호를 통해 다른 시스템과 인터넷과 같은 네트워크를 통해 전송되는 데이터)에 따라 로컬 및/또는 원격 처리들을 통해 통신할 수 있다.
더불어, 용어 "또는"은 배타적 "또는"이 아니라 내포적 "또는"을 의미하는 것으로 의도된다. 즉, 달리 특정되지 않거나 문맥상 명확하지 않은 경우에, "X는 A 또는 B를 이용한다"는 자연적인 내포적 치환 중 하나를 의미하는 것으로 의도된다. 즉, X가 A를 이용하거나; X가 B를 이용하거나; 또는 X가 A 및 B 모두를 이용하는 경우, "X는 A 또는 B를 이용한다"가 이들 경우들 어느 것으로도 적용될 수 있다. 또한, 본 명세서에 사용된 "및/또는"이라는 용어는 열거된 관련 아이템들 중 하나 이상의 아이템의 가능한 모든 조합을 지칭하고 포함하는 것으로 이해되어야 한다.
당업자들은 추가적으로 여기서 개시된 실시예들과 관련되어 설명된 다양한 예시적 논리적 블록들, 구성들, 모듈들, 회로들, 수단들, 로직들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 양쪽 모두의 조합들로 구현될 수 있음을 인식해야 한다. 하드웨어 및 소프트웨어의 상호교환성을 명백하게 예시하기 위해, 다양한 예시적 컴포넌트들, 블록들, 구성들, 수단들, 로직들, 모듈들, 회로들, 및 단계들은 그들의 기능성 측면에서 일반적으로 위에서 설명되었다. 그러한 기능성이 하드웨어로 또는 소프트웨어로 구현되는지 여부는 전반적인 시스템에 부과된 특정 어플리케이션(application) 및 설계 제한들에 달려 있다. 숙련된 기술자들은 각각의 특정 어플리케이션들을 위해 다양한 방법들로 설명된 기능성을 구현할 수 있다. 다만, 그러한 구현의 결정들이 본 개시내용의 영역을 벗어나게 하는 것으로 해석되어서는 안된다.
본 발명의 일실시예들에서 액티브 콘텐트를 포함하는 파일은 컴퓨팅 장치의 저장 매체에 저장된 파일 및/또는 통신 모듈에 의하여 데이터베이스 등 다른 컴퓨팅 장치로부터 전송된 파일일 수 있다. 또는 액티브 콘텐트를 포함하는 멀티미디어 파일은 컴퓨터 판독가능 저장 매체(예를 들어, 플래시 메모리 등을 포함할 수 있으나 본 발명은 이에 제한되지 않음)에 저장된 파일일 수 있다. 컴퓨팅 장치는 입출력 인터페이스(미도시)를 통해 컴퓨터 판독가능 저장 매체에 저장된 파일을 입력 받을 수 있다.
메모리는 본 발명의 일 실시예에 따른 방법을 수행하기 위한 컴퓨터 프로그램을 저장할 수 있으며, 저장된 컴퓨터 프로그램은 프로세서에 의하여 판독되어 구동될 수 있다.
본 발명의 일실시예에서 이용되는 컴퓨팅 장치상의 통신부, 통신수단은 본 발명을 실시하기 위한 데이터 등을 다른 컴퓨팅 장치, 서버 등과 송수신할 수 있다. 본 발명의 실시예에 필요한 데이터들을 통신부, 통신수단을 통해 다른 컴퓨팅 장치, 서버 등과 송수신 할 수 있다. 또는 이들은 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 복수의 컴퓨팅 장치 각각에서 네트워크 함수의 학습이 분산 수행되도록 할 수 있다. 또는 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 네트워크 함수를 사용한 데이터 처리를 분산 처리할 수 있도록 할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명한다.
사용자 단말기 등으로 제공될 멀티미디어 파일에 실행 가능한 액티브 콘텐츠에 악성코드가 존재할 경우, 파일 열람 시 해당 액티브 콘텐츠가 실행됨에 따라 사용자 단말기는 악성코드에 감염될 가능성이 있다.
'분석 대상 파일'은 네트워크 통신 및 저장매체 등으로부터 제공되어 사용자 단말기 등에서 열람하고자 하는 모든 전자문서일 수 있다. 좀 더 자세하게는 마이크로소프트 오피스 계열, 한글 계열, PDF 등의 문서파일일 수 있으며, 헤더에 스크립트가 포함될 수 있는 이미지 파일 또한 포함될 수 있다.
'액티브 콘텐트'는 분석 대상 파일에 포함되어 있을 수 있는 매크로(Macro), 자바스크립트(Javascript), OLE(object Linking & Embedding) 개체, 플래쉬(Flash), EPS(Encapsulated PostScript), 및 원격접속 URL(Uniform ResourceLocator) 중 적어도 어느 하나일 수 있으며, 이에 한정되지 않고 더 추가될 수 있다.
'보안정책'은 컴퓨터 하드웨어나 소프트웨어의 고장, 사용자에 의한 부정행위 또는 기밀 누설 등을 방지하기 위하여 시스템 자체와 그 사용자 및 관련 분야 전반에 걸쳐 사전에 대비해 두는 것을 말하며 다양한 정책들 중 적어도 하나를 선택하여 설정될 수 있다.
도 1은 본 발명에 따른 일실시예인 콘텐트 스캐닝 시스템의 구성은 간략화하여 나타낸 예시이다. 콘텐트 스캐닝 시스템은 콘텐트 스캐닝 에이전트 및 콘텐트 스캐닝 서버를 포함한다.
다만, 본 발명의 일 실시예에서 시스템은 본 발명의 실시예들을 수행하기 위한 다른 구성들을 포함할 수 있다. 본 발명의 시스템은 전자 형태의 데이터를 연산할 수 있는 모든 종류의 컴퓨팅 에이전트로 서버, 에이전트를 포함할 수 있으며, 예를 들어, 퍼스널컴퓨터, 서버 컴퓨터 등의 일반 컴퓨팅 장치 및 모바일 단말(스마트폰(smartphone), 테블릿(tablet)) 등의 제한된 연산 능력을 가진 컴퓨팅 장치 등을 포함할 수 있다.
구체적으로 본 발명의 일실시예에 따른 콘텐트 스캐닝 시스템은 에이전트 및 서버가 별개인 객체로 구성된 시스템일 수 있으나, 에이전트 및 서버는 통상의 클라이언트와 서버의 구성 방법에 따라 구현될 수 있다. 즉, 전체 시스템의 기능들을 클라이언트의 성능이나 서버 통신량 등에 따라 분담될 수 있다. 에이전트 및 서버의 각 구성은 사용자 단말기 또는 파일 서버에 설치되는 프로그램 모듈일 수 있다. 에이전트는 유무선 통신이 가능한 데스크탑, 노트북, 테블릿PC, 모바일 단말 등의 사용자 단말기로 마련될 수있다.
또한, 서버는 네트워크 상에 연결되어 위 에이전트 등 본 발명과 관련된 서비스를 제공하는 서버이다. 즉, 서버는 파일을 업로드 하거나 다운로드 하는 서비스를 제공하거나 파일을 송수신하는 기능 등을 구비한다.
이하에서는 콘텐트 스캐닝 시스템의 각 구성인 에이전트, 서버에 대해 설명한다.
< 콘텐트 스캐닝 에이전트에 대한 설명 >
본 발명에 따른 콘텐트 스캐닝 에이전트는 검출부(100), 판별부(200), 추출부(300), 발신부(400), 수신부(500) 및 제공부(600)를 실행할 수 있도록 콘텐트 스캐닝 프로그램이 짜이는 게 바람직하다.
검출부(100)는 다양한 유입채널로부터 유입되어 온 분석 대상 파일을 검출한다. 검출부(100)는 PC(Personal Computer), 서버 등의 데이터베이스에 업무 또는 개인 목적으로 저장되어 있는 분석 대상 파일(PDF, doc, docx, hwp, xls 등)을 검출한다. 여기서 검출은 일종의 파일시스템을 스캐닝하는 것을 의미한다.
판별부(200)는 검출부(100)에서 검출된 분석 대상 파일에서 액티브 콘텐트 포함 여부를 판별한다. 판별부(200)는 CDR(Content disarm & reconstruction) 기술을 이용하여 검출부(100)를 통해 검출된 분석 대상 파일에서 액티브 콘텐트(Macro, JavaScript, OLE object, Hyperlink, Embedded document 등)가 포함되었는지 판별한다.
추출부(300)는 판별부(200)에서 판별된 액티브 콘텐트를 추출한다. 추출부(300)는 판별부(200)에서 액티브 콘텐트가 포함된 것으로 판별되면 분석 대상 파일로부터 액티브 콘텐트를 추출하고 포함되지 않은 것으로 판별되면 그대로 둘 것이다. 또한, 추출부(300)는 액티브 콘텐트의 시그니처를 추출한다. 이는 향후 분석작업에서 사전에 분석된 시그니처를 활용하여 빠르게 분석하기 위해 분석결과인 위협분석결과정보와 함께 매칭되어 저장될 수 있다.
발신부(400)는 액티브 콘텐트의 위협을 분석하는 분석작업을 통해 위협분석결과정보를 생성하도록 서버로 요청하며 액티브 콘텐트를 전송한다.
발신부(400)는 액티브 콘텐트의 시그니처가 위협분석결과와 매칭되어 저장될 수 있도록 시그니처를 서버로 전송할 수 있다.
수신부(500)는 서버에서 액티브 콘텐트의 위협을 분석하여 생성한 위협분석결과정보를 수신한다.
바람직하게는 발신부(400)에서 보내진 액티브 콘텐트는 서버에서 수행되는 분석작업을 거치며, 이를 통해 위협분석결과정보가 생성될 수 있다. 그리고 서버로 원본인 파일이 보내지고 악성으로 분석된 액티브 콘텐트를 무해화한 변환파일이 생성될 수 있다. 수신부(500)는 사용자의 요청에 따라 서버로부터 위 변환파일을 수신할 수 있다.
제공부(600)는 서버 또는 후술하는 분석부(500) 등을 통해 생성된 위협분석결과정보를 수신하여 리포팅하고, 위 분석작업을 결정하는 보안정책을 사용자 등이 설정하기 위한 인터페이스를 사용자에게 제공한다.
본 발명인 콘텐트 스캐닝 에이전트는 바람직하게는 분석부(700)를 더 포함할 수 있다. 분석부(700)는 소정의 보안정책에 따라 추출부(300)를 통해 추출된 액티브 콘텐트의 위협을 분석하는 분석작업을 수행하여 위협분석결과정보를 생성한다. 분석작업은 다양한 보안정보를 포함하는 보안정책에 따라 수행될 수 있다.
구체적으로 분석부(700)는 제1분석부분(710) 및 제2분석부분(720)을 포함할 수 있다.
제1분석부분(710)은 분석 대상 포맷과 액티브 콘텐트의 연관성 정보, 액티브 콘텐트의 위협적인 함수정보, 액티브 콘텐트 추출 빈도정보와 같은 보안정보 중 적어도 하나의 보안정보를 선택하여 설정되는 보안정책을 기초로 액티브 콘텐트를 분석한다.
제2분석부분(720)은 사전에 분석된 액티브 콘텐트의 시그니처를 기초로 액티브 콘텐트를 분석한다. 사전에 분석된 액티브 콘텐트에 대한 시그니처와 비교는 예를 들어, 특정 액티브 콘텐트가 이미 알려진 악성코드의 시그니처일 경우 또는 해당 액티브 콘텐트에 포함되어 있는 URL이 악성 URL으로 알려진 경우 등을 말한다. 이러한 시그니처는 서버 또는 외부의 다양한 악성코드 공유 채널 등을 통해 받아 수집되어 있을 수 있다.
소정의 보안정책은 액티브 콘텐트에 포함되어 있는 위협적인 함수 정보, 분석 대상 포맷과 액티브 콘텐트의 연관성 정보, 액티브 콘텐트 추출 빈도 정보 및 사전에 분석된 시그니처 위협과 비교정보 중 적어도 하나의 보안정보를 선택하여 설정되는 정책이다. 이러한 보안정책에 따라 분석작업이 수행될 수 있다.
보안정보를 구체적으로 설명한다.
액티브 콘텐트에 포함되어 있는 위협적인 함수는 오피스 : Auto_Open, shell, Workbook_Open, URLDownloadToFileA 등, PDF: AA, OpenAction, RichMedia, Launch, XXDecode 등을 들 수 있다. 위와 같은 특정 함수는 보안의 위협이 될 수 있는 함수들로 선택될 수 있다.
예를 들어, Auto_Open에 대해 설명한다. 특정 멀티미디어 파일이 파일명 ‘OO_공문으로 되어 있으며, 상단에 매크로가 포함되어 있다는 경고와 함께 매크로를 허용하는 ‘콘텐트 사용’ 버튼이 안내되어 있을 수 있다. 해당 매크로 코드에는 수신자가 ‘콘텐트 사용’을 클릭하면 자동으로 동작하는 ‘AutoOpen()’ 함수가 포함되어 있으며, ‘http://xxx.xxx.xx.xxx./xx’로부터 다운로드한 해킹툴 내지 바이러스파일이 실행되도록 설계되어 있을 수 있다.
분석 대상 파일 포맷(PPT, PDF, xls, doc, docx, hwp, jpeg, gif, png 등)과 액티브 콘텐트에 포함된 함수 간 연관성은 상술한 함수와 표현되는 분석 대상 파일 포맷과 연관성이 있는지를 파악하는 것을 말한다. 예를 들어 특정 분석 대상 파일 포맷은 특정 함수를 액티브 콘텐트 상에 포함해야 하는데 파일명과 함께 표현되는 포맷에서 일반적으로 포함하지 않는 함수가 포함되는 경우, 이를 위협으로 판단할 수 있다. 즉, 파워포인트에서는 거의 사용되지 않는 함수가 파워포인트인 ppt 오피스 포맷으로 파일명에 표시된 파일에 포함된 액티브 콘텐트에 포함된 경우 이를 위협으로 판단할 수 있다.
액티브 콘텐트 추출 빈도는 예를 들어, 동일한 액티브 콘텐트가 다양한 분석 대상 파일 포맷에서 불필요하게 고빈도로 검출되는 경우에 해당 액티브 콘텐트가 위협으로 파악될 수 있다.
이러한 보안정보 중 적어도 하나를 포함하여 사용자 또는 관리자는 보안정책을 설정할 수 있다.
분석부(700)는 보안정책에 따라 이러한 요소들 간에 중요도를 설정하여 기여도를 산출하고 종합적으로 위협을 분석한 뒤 사용자 또는 관리자가 파악 가능한 형태의 위협분석결과정보를 생성한다.
본 발명인 콘텐트 스캐닝 에이전트는 바람직하게는 파일처리부(800)를 더 포함할 수 있다.
파일처리부(800)는 위협분석결과정보에 기초하여 파일로부터 해당 액티브 콘텐트를 무해화한 변환파일을 생성할 수 있다.
구체적으로 파일처리부(800)는 무력화부분(810), 대체정보생성부분(820) 및 조합부분(830)을 포함할 수 있다.
무력화부분(810)은 위협분석결과정보에 따라 악성으로 분석된 액티브 콘텐트를 원본인 파일에서 무력화시키는 무력화부분;
대체정보생성부분(820)은 무력화부분(810)에 의해 무력화된 액티브 콘텐트의 속성정보와 무력화부분(810)이 악성 액티브 콘텐트를 무해화한 처리 내역에 대한 처리결과정보를 중 적어도 어느 하나를 포함하는 대체정보를 생성한다.
조합부분(830)은 파일 내 무력화된 액티브 콘텐트를 제외한 콘텐트는 유지하면서 무력화된 파일과 대체정보생성부분(820)으로부터 온 대체정보를 조합하여 변환파일을 생성한다.
이때 제공부(600)는 사용자의 요청이 있으면 파일처리부(800)에서 위협분석결과정보에 기초하여 악성으로 분석된 액티브 콘텐트를 무해화한 변환파일을 사용자에게 제공할 수 있다.
실시하기에 따라서는 무해화되지 않은 원본 파일을 사용자가 제공받기 원할 수 있다. 따라서, 무해화 작업은 사용자의 보안정책에 따라 수행여부가 결정될 수 있다.
< 콘텐트 스캐닝 서버에 대한 설명 >
도 3에서 보이는 바와 같이 본 발명에 따른 콘텐트 스캐닝 서버는 분석수단(M1), 파일처리수단(M2), 발신수단(M3) 및 수신수단(M4)를 포함한다.
분석수단(M1)은 보안정책에 따라 액티브 콘텐트의 위협을 분석하는 분석작업을 수행하여 위협분석결과정보를 생성한다.
파일처리수단(M2)은 위협분석결과정보에 기초하여 악성으로 분석된 액티브 콘텐트를 포함한 파일로부터 해당 악성 액티브 콘텐트를 무해화한 변환파일을 생성할 수 있다.
발신수단(M3)은 분석수단(M1) 및 파일처리수단(M2)에서 생성된 위협분석결과정보 및 변환파일을 에이전트로 전송한다.
수신수단(M4)은 에이전트와 연결되어 통신이 가능하며 에이전트로부터 파일 내지 그로부터 추출된 액티브 콘텐트를 수신할 수 있다. 즉, 콘텐트 스캐닝 에이전트로부터 파일만 받을 수 있고, 콘텐트 스캐닝 에이전트에서 파일로부터 추출한 액티브 콘텐트를 수신할 수 있다.
바람직하게는 본 발명의 일실시예인 콘텐트 스캐닝 서버는 검출수단(M5), 판별수단(M6), 추출수단(M7)을 더 포함할 수 있다.
즉, 콘텐트 스캐닝 시스템의 콘텐트 스캐닝 에이전트가 수행하던 역할을 콘텐트 스캐닝 서버에서 전부 수행할 수 있도록 할 수 있다.
검출수단(M5)은 콘텐트 스캐닝 에이전트를 포함한 다양한 유입채널로부터 유입되어 온 분석 대상 파일을 검출한다.
판별수단(M6)은 검출수단(M5)에서 검출된 분석 대상 파일에서 액티브 콘텐트 포함 여부를 판별한다.
추출수단(M7)은 판별수단(M2)에서 판별된 액티브 콘텐트를 추출한다.
전술하는 콘텐트 스캐닝 에이전트에 대한 설명에서 설명한 바 자세한 설명은 생략한다.
상술한 바와 같이 콘텐트 스캐닝 시스템은 본 명세서에 있어서 에이전트로서의 콘텐트 스캐닝 에이전트가 수행하는 것으로 기술된 단계나 기능 중 일부는 해당 에이전트와 연결된 콘텐트 스캐닝 시스템인 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 단계나 기능 중 일부도 해당 서버와 연결된 에이전트에서 수행될 수도 있다.
<콘텐트 스캐닝 방법에 대한 설명 >
도 4는 본 발명에 따른 콘텐트 스캐닝 방법에 대한 순서도이다.
본 발명에 따른 콘텐트 스캐닝 방법은 검출단계(S1), 판별단계(S2), 추출단계(S3), 분석단계(S4) 및 제공단계(S5)를 포함한다.
검출단계(S1)에서는 상술한 검출부(100) 또는 검출수단(M5) 등에 의해 다양한 유입채널로부터 유입되어 온 분석 대상 파일을 검출한다.
판별단계(S2)에서는 검출단계(S1)에서 검출된 분석 대상 파일에서 액티브 콘텐트 포함 여부를 상술한 판별부(100) 또는 판별수단(M6)에 의해 판별한다.
추출단계(S3)에서는 판별단계(S2)에서 판별된 액티브 콘텐트 및 액티브 콘텐트의 시그니처를 추출부(300) 또는 추출수단(M7)에 의해 추출한다.
분석단계(S4)에서는 상술한 분석부(700) 또는 분석수단(M4)에 의해 소정의 보안정책에 따라 액티브 콘텐트의 위협을 분석하는 분석작업을 수행하여 위협분석결과정보를 생성한다.
제공단계(S5)에서는 서버 또는 후술하는 분석부(500) 등을 통해 생성된 위협분석결과정보를 수신하여 리포팅하고, 위 분석작업을 결정하는 보안정책을 사용자 등이 설정하기 위한 인터페이스를 사용자에게 제공한다.
상기 각 단계는 서버 또는 에이전트에 의해 수행될 수 있다. 여기서 서버는 회사 내 컴퓨팅 환경에서 구현되는 파일 서버(file server)로 이는 워크스테이션이 접근할 수 있는 컴퓨터 파일(문서, 사운드 파일, 사진, 영화, 그림, 데이터베이스 등)을 공유하고 있는 메모리 공간의 위치를 제공하는 것이 주 목적을 가진 네트워크에 추가된 컴퓨터를 말할 수 있다. 다만, 상기 각 단계는 사용자 단말인 에이전트와 서버가 함께 수행할 수 있고, 사용자 단말 또는 서버 단독으로 수행할 수도 있다.
상술한 바와 같이 콘텐트 스캐닝 에이전트 및 서버 대한 설명에서 설명한 바 있으므로 자세한 설명은 생략한다.
이상에서 설명한 본 발명의 실시예는 에이전트 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 부분을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.
< 콘텐트 스캐닝 프로그램이 기록된 저장매체에 대해 설명>
도 5는 본 발명에 따른 콘텐트 스캐닝 프로그램이 기록된 저장매체 대한 개념도이다.
본 발명에 따른 콘텐트 스캐닝 프로그램이 기록된 저장매체는 검출기능(P1), 판별기능(P2), 추출기능(P3), 분석기능(P4), 발신기능(P5) 및 수신기능(P6)을 실행할 수 있도록 콘텐트 스캐닝 프로그램이 짜이는 게 바람직하다.
검출기능(P1)은 다양한 유입채널로부터 유입되어 온 분석 대상 파일을 검출한다. 검출기능(P1)은 PC(Personal Computer), 서버 등의 데이터베이스에 업무 또는 개인 목적으로 저장되어 있는 분석 대상 파일(PDF, doc, docx, hwp, xls 등)을 검출한다.
판별기능(P2)은 검출기능(P1)에서 검출된 분석 대상 파일에서 액티브 콘텐트 포함 여부를 판별한다. 판별기능(P2)은 CDR(Content disarm & reconstruction) 기술을 이용하여 검출기능(P1)을 통해 검출된 분석 대상 파일에서 액티브 콘텐트(Macro, JavaScript, OLE object, Hyperlink, Embedded document 등)가 포함되는지 판별한다.
추출기능(P3)은 판별기능(P2)에서 판별된 액티브 콘텐트 및 액티브 콘텐트의 시그니처를 추출한다. 추출기능(P3)은 판별기능(P2)에서 액티브 콘텐트가 포함된 것으로 판별되면 분석 대상 파일로부터 액티브 콘텐트를 추출하고 포함되지 않은 것으로 판별되면 그대로 둘 것이다.
분석기능(P4)은 소정의 보안정책에 따라 추출기능(P3)을 통해 추출된 액티브 콘텐트의 위협을 분석하는 분석작업을 수행하여 위협분석결과정보를 생성한다. 분석작업은 다양한 보안정보를 포함하는 보안정책에 따라 수행될 수 있다.
바람직하게는 분석기능(P4)을 통해 생성된 위협분석결과정보를 사용자에게 제공하는 제공기능(P5)을 컴퓨터에서 더 실행시킬 수 있다. 제공기능(P5)은 분석작업을 통해 생성된 위협분석결과정보 관련 리포트를 생성하여 사용자 또는 관리자가 파악 가능한 형태로 제공한다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형, 균등 내지 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
100: 검출부
200: 추출부
300: 판별부
400: 발신부
500: 수신부
600: 제공부
700: 분석부
710: 제1분석부분
720: 제2분석부분
800: 파일처리부
810: 무력화부분
820: 대체정보생성부분
830: 조합부분
M1: 분석수단
M2: 파일처리수단
M3: 발신수단
M4: 수신수단
M5: 검출수단
M6: 판별수단
M7: 추출수단
S1: 검출단계
S2: 추출단계
S3: 판별단계
S4: 분석단계
S5: 제공단계
P1: 검출기능
P2: 판별기능
P3: 추출기능
P4: 분석기능
P5: 제공기능

Claims (13)

  1. 콘텐트 스캐닝 에이전트로서,
    다양한 유입채널로부터 유입되어 온 분석 대상 파일을 검출하는 검출부 ― 상기 유입채널은 이메일, 웹사이트, 기록매체 및 사내 네트워크에 접속되어 있는 컴퓨터 중 적어도 하나를 포함함 ―;
    상기 검출부에서 검출된 상기 파일에서 액티브 콘텐트 포함 여부를 판별하는 판별부;
    상기 판별부에서 판별된 상기 액티브 콘텐트 및 상기 파일의 시그니처를 추출하는 추출부;
    상기 액티브 콘텐트의 위협을 분석하는 분석작업을 통해 위협분석결과정보를 생성하도록 요청하며 상기 액티브 콘텐트를 서버로 전송하는 발신부;
    상기 서버로부터 상기 위협분석결과정보를 수신하는 수신부; 및
    상기 위협분석결과정보에 따른 리포팅 및 상기 분석작업을 결정하는 보안정책 설정을 위한 인터페이스를 사용자에게 제공하는 제공부;
    를 포함하고,
    사용자에게로의 상기 위협분석결과정보에 따른 위험도 보고는 콘텐트 무해화 이전에 수행될 수 있으며,
    상기 발신부는 상기 분석작업을 통해 생성된 위협분석결과정보에 따라 상기 파일로부터 악성 액티브 콘텐트를 무해화한 변환파일이 생성되도록 하는 추가요청과 함께 상기 액티브 콘텐트를 상기 서버로 전송하고,
    상기 수신부는 사용자의 요청에 따라 상기 변환파일을 상기 서버로부터 수신하는
    콘텐트 스캐닝 에이전트.
  2. 제1항에 있어서,
    상기 보안정책에 따라 상기 액티브 콘텐트의 위협을 분석하는 분석작업을 수행하여 위협분석결과정보를 생성하는 분석부을 더 포함하는
    콘텐트 스캐닝 에이전트.
  3. 제1항에 있어서,
    상기 발신부는 상기 시그니처가 상기 위협분석결과정보와 매칭되어 저장되도록 상기 시그니처를 상기 서버로 전송하는
    콘텐트 스캐닝 에이전트.
  4. 제1항에 있어서,
    상기 위협분석결과정보에 기초하여 상기 파일로부터 해당 액티브 콘텐트를 무해화한 변환파일을 생성하기 위한 파일처리부를 더 포함하고,
    상기 제공부는 사용자의 요청에 따라 상기 파일처리부에서 생성된 변환파일을 제공하는
    콘텐트 스캐닝 에이전트.
  5. 제2항에 있어서,
    상기 분석부는,
    분석 대상 파일 포맷과 액티브 콘텐트의 연관성 정보, 액티브 콘텐트의 위협적인 함수정보, 액티브 콘텐트 추출 빈도정보를 기초로 상기 액티브 콘텐트를 분석하는 제1분석부분; 및
    사전에 분석된 액티브 콘텐트의 시그니처를 기초로 액티브 콘텐트를 분석하는 제2분석부분;을 포함하는
    콘텐트 스캐닝 에이전트.
  6. 제4항에 있어서,
    상기 파일처리부는
    상기 위협분석결과정보에 따라 악성으로 분석된 액티브 콘텐트를 상기 파일에서 무력화시키는 무력화부분;
    상기 무력화부분에 의해 무력화된 액티브 콘텐트의 속성정보와 상기 무력화부분이 악성 액티브 콘텐트를 무해화한 처리 내역에 대한 처리결과정보를 중 적어도 어느 하나를 포함하는 대체정보를 생성하는 대체정보생성부분;
    상기 파일 내 무력화된 액티브 콘텐트를 제외한 콘텐트는 유지하면서 상기 무력화된 파일과 상기 대체정보를 조합하여 변환파일을 생성하는 조합부분;을 포함하는
    콘텐트 스캐닝 에이전트.
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
  12. 콘텐트 스캐닝 방법으로서,
    다양한 유입경로로부터 유입되어 온 분석 대상 파일을 검출하는 검출단계 ― 상기 유입채널은 이메일, 웹사이트, 기록매체 및 사내 네트워크에 접속되어 있는 컴퓨터 중 적어도 하나를 포함함 ―;
    상기 검출단계에서 검출된 분석 대상 파일에서 액티브 콘텐트 포함 여부를 판별하는 판별단계;
    상기 판별단계에서 판별된 상기 액티브 콘텐트 및 상기 액티브 콘텐트의 시그니처를 추출하는 추출단계;
    소정의 보안정책에 따라 상기 액티브 콘텐트의 위협을 분석하는 분석작업을 수행하여 위협분석결과정보를 생성하는 분석단계;
    상기 액티브 콘텐트의 위협을 분석하는 분석작업을 통해 생성된 위협분석결과정보에 따른 리포팅 및 상기 분석작업을 결정하는 보안정책 설정을 위한 인터페이스를 사용자에게 제공하는 제공단계; 및
    상기 위협분석결과정보에 기초하여 상기 분석 대상 파일로부터 악성 액티브 콘텐트를 무해화환 변환파일을 생성하는 파일처리단계
    를 포함하고,
    상기 각 단계는 서버 또는 에이전트에 의해 수행될 수 있고,
    사용자에게로의 상기 위협분석결과정보에 따른 위험도 보고는 콘텐트 무해화 이전에 수행될 수 있는,
    콘텐트 스캐닝 방법.
  13. 제12항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체.
KR1020190062349A 2019-05-28 2019-05-28 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체 KR102093274B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190062349A KR102093274B1 (ko) 2019-05-28 2019-05-28 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190062349A KR102093274B1 (ko) 2019-05-28 2019-05-28 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체

Publications (1)

Publication Number Publication Date
KR102093274B1 true KR102093274B1 (ko) 2020-03-25

Family

ID=70001803

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190062349A KR102093274B1 (ko) 2019-05-28 2019-05-28 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체

Country Status (1)

Country Link
KR (1) KR102093274B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102262680B1 (ko) * 2020-10-29 2021-06-09 (주)지란지교시큐리티 멀티미디어 파일 보안 방법 및 기록매체
KR102263111B1 (ko) * 2021-01-15 2021-06-09 (주) 투씨에스지 데이터 보안 관리 방법 및 이를 수행하기 위한 프로그램을 기록한 기록 매체
KR20210125234A (ko) * 2020-04-08 2021-10-18 소프트캠프 주식회사 폐쇄형 내부망으로의 입력 소프트웨어 보안시스템과 보안방법
KR102470010B1 (ko) * 2022-05-26 2022-11-23 시큐레터 주식회사 리버싱 엔진과 cdr 엔진을 활용한 악성 비실행 파일 차단 방법 및 장치
KR102503699B1 (ko) * 2022-10-06 2023-02-24 시큐레터 주식회사 네트워크 망분리 환경에서 파일 이동시 악성파일의 유입을 알리기 위한 방법 및 이를 위한 장치
KR20230149960A (ko) * 2022-04-21 2023-10-30 주식회사 한글과컴퓨터 문서 파일에 하이퍼링크로 삽입된 유해 사이트의 url 주소에 대한 접속을 방지할 수 있는 전자 단말 장치 및 그 동작 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170024777A (ko) * 2015-08-26 2017-03-08 주식회사 케이티 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법
KR101851233B1 (ko) * 2018-02-13 2018-04-23 (주)지란지교시큐리티 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체
KR20180073933A (ko) * 2016-12-23 2018-07-03 한국인터넷진흥원 악성 스크립트 탐지 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170024777A (ko) * 2015-08-26 2017-03-08 주식회사 케이티 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법
KR20180073933A (ko) * 2016-12-23 2018-07-03 한국인터넷진흥원 악성 스크립트 탐지 방법 및 장치
KR101851233B1 (ko) * 2018-02-13 2018-04-23 (주)지란지교시큐리티 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210125234A (ko) * 2020-04-08 2021-10-18 소프트캠프 주식회사 폐쇄형 내부망으로의 입력 소프트웨어 보안시스템과 보안방법
KR102367756B1 (ko) * 2020-04-08 2022-02-28 소프트캠프 주식회사 폐쇄형 내부망으로의 입력 소프트웨어 보안시스템과 보안방법
KR102262680B1 (ko) * 2020-10-29 2021-06-09 (주)지란지교시큐리티 멀티미디어 파일 보안 방법 및 기록매체
KR102263111B1 (ko) * 2021-01-15 2021-06-09 (주) 투씨에스지 데이터 보안 관리 방법 및 이를 수행하기 위한 프로그램을 기록한 기록 매체
KR20230149960A (ko) * 2022-04-21 2023-10-30 주식회사 한글과컴퓨터 문서 파일에 하이퍼링크로 삽입된 유해 사이트의 url 주소에 대한 접속을 방지할 수 있는 전자 단말 장치 및 그 동작 방법
KR102613911B1 (ko) * 2022-04-21 2023-12-14 주식회사 한글과컴퓨터 문서 파일에 하이퍼링크로 삽입된 유해 사이트의 url 주소에 대한 접속을 방지할 수 있는 전자 단말 장치 및 그 동작 방법
KR102470010B1 (ko) * 2022-05-26 2022-11-23 시큐레터 주식회사 리버싱 엔진과 cdr 엔진을 활용한 악성 비실행 파일 차단 방법 및 장치
WO2023229065A1 (ko) * 2022-05-26 2023-11-30 시큐레터 주식회사 리버싱 엔진과 cdr 엔진을 활용한 악성 비실행 파일 차단 방법 및 장치
KR102503699B1 (ko) * 2022-10-06 2023-02-24 시큐레터 주식회사 네트워크 망분리 환경에서 파일 이동시 악성파일의 유입을 알리기 위한 방법 및 이를 위한 장치
WO2024075868A1 (ko) * 2022-10-06 2024-04-11 시큐레터 주식회사 네트워크 망분리 환경에서 파일 이동시 악성파일의 유입을 알리기 위한 방법 및 이를 위한 장치

Similar Documents

Publication Publication Date Title
KR102093274B1 (ko) 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
US10523609B1 (en) Multi-vector malware detection and analysis
US10601865B1 (en) Detection of credential spearphishing attacks using email analysis
US11122061B2 (en) Method and server for determining malicious files in network traffic
US8719928B2 (en) Method and system for detecting malware using a remote server
US10192052B1 (en) System, apparatus and method for classifying a file as malicious using static scanning
US7832012B2 (en) Method and system for isolating suspicious email
US8677493B2 (en) Dynamic cleaning for malware using cloud technology
US8850584B2 (en) Systems and methods for malware detection
CN117171743A (zh) 在内核模式下对隐写术的实时检测和防护
US20120222117A1 (en) Method and system for preventing transmission of malicious contents
US11503072B2 (en) Identifying, reporting and mitigating unauthorized use of web code
CN111030963B (zh) 文档追踪方法、网关设备及服务器
US11184379B1 (en) File scanner to detect malicious electronic files
KR20180031570A (ko) 의심스러운 전자 메시지를 검출하기 위한 기술
EP3268887A1 (en) Secure document transmission
Sharp An introduction to malware
Su et al. A framework of APT detection based on dynamic analysis
Sihag et al. PICAndro: Packet InspeCtion‐Based Android Malware Detection
Mohata et al. Mobile malware detection techniques
KR102521677B1 (ko) 피싱 피해 모니터링 시스템 및 그 방법
Mun et al. Secure short url generation method that recognizes risk of target url
Kotkar et al. Prevention mechanism for prohibiting SMS malware attack on android smartphone
US20230283632A1 (en) Detecting malicious url redirection chains
Choi et al. A study on analysis of malicious code behavior information for predicting security threats in new environments

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant