KR102272246B1 - User terminal apparatus and malicious program detecting method thereof - Google Patents

User terminal apparatus and malicious program detecting method thereof Download PDF

Info

Publication number
KR102272246B1
KR102272246B1 KR1020190117204A KR20190117204A KR102272246B1 KR 102272246 B1 KR102272246 B1 KR 102272246B1 KR 1020190117204 A KR1020190117204 A KR 1020190117204A KR 20190117204 A KR20190117204 A KR 20190117204A KR 102272246 B1 KR102272246 B1 KR 102272246B1
Authority
KR
South Korea
Prior art keywords
program
server
unknown
detected
user terminal
Prior art date
Application number
KR1020190117204A
Other languages
Korean (ko)
Other versions
KR20210035430A (en
Inventor
이경찬
Original Assignee
주식회사 우리은행
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 우리은행 filed Critical 주식회사 우리은행
Priority to KR1020190117204A priority Critical patent/KR102272246B1/en
Publication of KR20210035430A publication Critical patent/KR20210035430A/en
Application granted granted Critical
Publication of KR102272246B1 publication Critical patent/KR102272246B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 사용자 단말 장치 및 그 악성 프로그램 탐지 방법에 관한 것이다. 본 발명에 따른 사용자 단말 장치의 악성 프로그램 탐지 방법은 복수 개의 프로그램이 설치되고 금융 거래가 이루어지는 사용자 단말 장치에 설치된 출처가 불명확한 프로그램을 탐지하는 단계, 출처가 불명확한 프로그램이 탐지되면, 탐지된 출처가 불명확한 프로그램에 관한 정보를 제1 서버에 송신하는 단계, 상기 제1 서버가 정상 프로그램 목록 및 악성 프로그램 목록을 이용하여 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램에 포함되는지 판단하는 단계 및 상기 제1 서버로부터 판단 결과를 수신하는 단계를 포함하고, 상기 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단되면, 상기 사용자 단말 장치를 통한 금융 거래를 차단하는 단계를 더 포함하고, 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램에 모두 포함되지 않는 것으로 판단되면, 경고 메시지를 출력하는 단계를 더 포함할 수 있다.The present invention relates to a user terminal device and a method for detecting a malicious program therefor. The method for detecting a malicious program in a user terminal device according to the present invention includes the steps of detecting a program with an unknown source installed in a user terminal device in which a plurality of programs are installed and financial transactions are performed. When a program with an unknown source is detected, the detected source is transmitting information about the unknown program to a first server; determining, by the first server, whether the detected program of unknown origin is included in the normal program or the malicious program using the normal program list and the malicious program list and receiving a determination result from the first server, and if it is determined that the detected program with an unknown source is a malicious program, further comprising the step of blocking a financial transaction through the user terminal device, the detection The method may further include outputting a warning message when it is determined that the program whose origin is unknown is not included in either the normal program or the malicious program.

Description

사용자 단말 장치 및 그 악성 프로그램 탐지 방법{USER TERMINAL APPARATUS AND MALICIOUS PROGRAM DETECTING METHOD THEREOF}User terminal device and its malicious program detection method {USER TERMINAL APPARATUS AND MALICIOUS PROGRAM DETECTING METHOD THEREOF}

본 발명은 사용자 단말 장치 및 그 악성 프로그램 탐지 방법에 관한 것이다.The present invention relates to a user terminal device and a method for detecting a malicious program therefor.

최근 스마트폰과 같은 사용자 단말 장치는 많은 사람들에 의해 일상에서 빈번하게 사용된다. 이와 같은 사용자 단말 장치에는 다양한 종류의 프로그램 또는 어플리케이션이 설치될 수 있고, 사용자들은 이를 이용하여 다양한 작업을 수행할 수 있다.Recently, a user terminal device such as a smartphone is frequently used in daily life by many people. Various types of programs or applications may be installed in such a user terminal device, and users may perform various tasks using them.

다양한 작업 중 하나로, 사용자는 사용자 단말 장치를 이용하여 금융 거래를 수행할 수 있다. 이를 통해 사용자는 은행에 직접 방문하지 않더라도 금융 거래를 수행할 수 있으므로, 과거에 비해 편하게 금융 거래를 수행할 수 있다. 그러나 악의를 가진 자가 사용자 단말 장치에 사용자가 모르게 악성 프로그램을 설치하고, 이를 통해 금융 거래를 진행하여 사용자들에게 피해를 줄 수 있는 단점 또한 존재한다.As one of various tasks, a user may perform a financial transaction using a user terminal device. Through this, the user can conduct financial transactions without visiting the bank in person, so that financial transactions can be performed more conveniently than in the past. However, there is also a disadvantage that a malicious person may install a malicious program on a user terminal device without the user's knowledge, and may cause damage to users by conducting financial transactions through this.

종래 기술에 따른 보안 프로그램 또는 시스템을 이용하면, 운영 체제를 변조하거나 사용자 단말 장치에 설치되는 프로그램 또는 어플리케이션을 변조한 형태의 악성 프로그램은 찾아낼 수 있다. 그러나 그 외의 형태로 설치된 악성 프로그램은 찾아내지 못한다. 따라서 범죄자들이 이를 이용하여 사용자에게 피해를 입힐 수 있는 문제점이 존재한다. 따라서 이와 같은 프로그램 또한 차단할 수 있는 방법을 마련하는 것이 필요한 실정이다.If the security program or system according to the prior art is used, a malicious program in the form of tampering with an operating system or a program or application installed in a user terminal device may be detected. However, it cannot detect malicious programs installed in other forms. Therefore, there is a problem that criminals can use it to inflict damage on users. Therefore, it is necessary to prepare a method for blocking such programs as well.

본 발명은 서버와의 통신을 통해 악성 프로그램인지 여부를 판단할 수 있는 사용자 단말 장치 및 그 악성 프로그램 탐지 방법을 제공하는 것을 목적으로 한다.An object of the present invention is to provide a user terminal device capable of determining whether a malicious program is a malicious program through communication with a server and a method for detecting the malicious program.

또한, 본 발명은 악성 프로그램을 통해 진행되는 사용자에게 피해를 입히는 금융 거래를 차단할 수 있는 사용자 단말 장치 및 그 악성 프로그램 탐지 방법을 제공하는 것을 목적으로 한다.Another object of the present invention is to provide a user terminal device capable of blocking a financial transaction that causes damage to a user through a malicious program and a method for detecting the malicious program.

본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있고, 본 발명의 실시예에 의해 보다 분명하게 이해될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects and advantages of the present invention not mentioned may be understood by the following description, and will be more clearly understood by the examples of the present invention. Moreover, it will be readily apparent that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.

본 발명에 따른 사용자 단말 장치의 악성 프로그램 탐지 방법은 복수 개의 프로그램이 설치되고 금융 거래가 이루어지는 사용자 단말 장치에 설치된 출처가 불명확한 프로그램을 탐지하는 단계, 출처가 불명확한 프로그램이 탐지되면, 탐지된 출처가 불명확한 프로그램에 관한 정보를 제1 서버에 송신하는 단계, 상기 제1 서버가 정상 프로그램 목록 및 악성 프로그램 목록을 이용하여 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램에 포함되는지 판단하는 단계 및 상기 제1 서버로부터 판단 결과를 수신하는 단계를 포함하고, 상기 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단되면, 상기 사용자 단말 장치를 통한 금융 거래를 차단하는 단계를 더 포함하고, 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램에 모두 포함되지 않는 것으로 판단되면, 경고 메시지를 출력하는 단계를 더 포함할 수 있다.The method for detecting a malicious program in a user terminal device according to the present invention includes the steps of detecting a program with an unknown source installed in a user terminal device in which a plurality of programs are installed and financial transactions are performed. When a program with an unknown source is detected, the detected source is transmitting information about the unknown program to a first server; determining, by the first server, whether the detected program of unknown origin is included in the normal program or the malicious program using the normal program list and the malicious program list and receiving a determination result from the first server, and if it is determined that the detected program with an unknown source is a malicious program, further comprising the step of blocking a financial transaction through the user terminal device, the detection The method may further include outputting a warning message when it is determined that the program whose origin is unknown is not included in either the normal program or the malicious program.

또한, 본 발명에 따른 복수 개의 프로그램이 설치되고 금융 거래가 이루어지는 사용자 단말 장치는 사용자에게 메시지를 표시하는 디스플레이부, 설치된 프로그램 중 출처가 불명확한 프로그램을 탐지하는 탐지부, 출처가 불명확한 프로그램이 탐지되면 탐지된 출처가 불명확한 프로그램에 관한 정보를 제1 서버에 송신하는 송신부, 상기 제1 서버가 정상 프로그램 목록 및 악성 프로그램 목록을 이용하여 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램인지 판단한 결과를 수신하는 수신부 및 상기 제1 서버에 의해 상기 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단되면 상기 사용자 단말 장치를 통한 금융 거래를 차단하고, 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램에 모두 포함되지 않는 것으로 판단되면 상기 디스플레이부를 통해 경고 메시지를 출력하는 제어부를 포함할 수 있다.In addition, in the user terminal device in which a plurality of programs according to the present invention are installed and financial transactions are performed, a display unit for displaying a message to the user, a detection unit for detecting a program with an unknown source among installed programs, and a program with an unknown source are detected A transmitter that transmits information about a program with an unknown source to the first server, and the first server determines whether the detected program is a normal program or a malicious program using a list of normal programs and a list of malicious programs. When it is determined that the program with an unknown source detected by the receiving unit receiving the result and the first server is a malicious program, the financial transaction through the user terminal device is blocked, and the detected program with an unknown source is a normal program or When it is determined that all malicious programs are not included, a control unit for outputting a warning message through the display unit may be included.

본 발명에 따른 사용자 단말 장치 및 그 악성 프로그램 탐지 방법을 이용하면 제1 서버를 통해 출처가 불명확한 프로그램이 악성 프로그램인지 여부를 판단하여, 악성 프로그램을 빠르게 발견하고 삭제할 수 있도록 하는 장점이 있다.When the user terminal device and the malicious program detection method according to the present invention are used, there is an advantage in that a malicious program can be quickly detected and deleted by determining whether a program having an unknown source is a malicious program through the first server.

또한, 본 발명에 따른 사용자 단말 장치 및 그 악성 프로그램 탐지 방법을 이용하면 악성 프로그램을 통해 진행되는 사용자에게 피해를 입히는 금융 거래를 차단할 수 있는 장점이 있다.In addition, using the user terminal device and the malicious program detection method according to the present invention has an advantage in that it is possible to block financial transactions that cause damage to the user through the malicious program.

도 1은 본 발명의 일 실시예에 따른 사용자 단말 장치 및 이와 통신하는 서버들을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 사용자 단말 장치의 내부 구조를 상세히 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 사용자 단말 장치가 악성 프로그램을 탐지하는 방법을 나타낸 순서도이다.
도 4는 본 발명의 일 실시예에 따른 사용자 단말 장치가 제1 서버에 의해 판단된 결과에 따라 대응하는 방법을 상세히 나타낸 순서도이다.
도 5는 본 발명의 일 실시예에 따른 사용자 단말 장치에 출력된 금융 거래 차단 메시지를 나타낸 도면이다.
도 6은 본 발명의 일 실시예에 따른 사용자 단말 장치에 출력된 경고 메시지를 나타낸 도면이다.1 is a diagram illustrating a user terminal device and servers communicating therewith according to an embodiment of the present invention.
2 is a diagram illustrating in detail an internal structure of a user terminal device according to an embodiment of the present invention.
3 is a flowchart illustrating a method of detecting a malicious program by a user terminal device according to an embodiment of the present invention.
4 is a flowchart illustrating in detail a method for a user terminal device to respond according to a result determined by a first server according to an embodiment of the present invention.
5 is a diagram illustrating a financial transaction blocking message output to a user terminal device according to an embodiment of the present invention.
6 is a diagram illustrating a warning message output to a user terminal device according to an embodiment of the present invention.

전술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되며, 이에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다. 도면에서 동일한 참조부호는 동일 또는 유사한 구성요소를 가리키는 것으로 사용된다.The above-described objects, features and advantages will be described below in detail with reference to the accompanying drawings, and accordingly, those of ordinary skill in the art to which the present invention pertains will be able to easily implement the technical idea of the present invention. In describing the present invention, if it is determined that a detailed description of a known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description will be omitted. Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings. In the drawings, the same reference numerals are used to indicate the same or similar components.

도 1은 본 발명의 일 실시예에 따른 사용자 단말 장치 및 이와 통신하는 서버들을 도시한 도면이다.1 is a diagram illustrating a user terminal device and servers communicating therewith according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 사용자 단말 장치(100)는 복수 개의 서버와 통신할 수 있다. Referring to FIG. 1 , a user terminal device 100 according to an embodiment of the present invention may communicate with a plurality of servers.

사용자 단말 장치(100)는 스마트폰, 태블릿 기기, 스마트 워치 또는 이에 상당하는 것들일 수 있다. 사용자 단말 장치(100)에는 복수 개의 프로그램이 설치될 수 있고, 설치된 프로그램은 사용자 단말 장치(100)에 탑재된 운영 체제에 의하여 관리되고 동작한다. 이때 프로그램은 어플리케이션의 형태로 사용자 단말 장치에 설치될 수 있다. 사용자는 사용자 단말 장치(100)에 설치된 복수 개의 프로그램 중 어느 하나를 이용하여 금융사의 서버와 통신함으로써 금융 거래를 수행할 수 있다.The user terminal device 100 may be a smart phone, a tablet device, a smart watch, or equivalents thereof. A plurality of programs may be installed in the user terminal device 100 , and the installed programs are managed and operated by an operating system mounted on the user terminal device 100 . In this case, the program may be installed in the user terminal device in the form of an application. A user may perform a financial transaction by communicating with a server of a financial institution using any one of a plurality of programs installed in the user terminal device 100 .

사용자 단말 장치(100)는 사용자 단말 장치(100)에 설치된 프로그램에 관한 정보를 송수신할 수 있다. 이때 프로그램에 관한 정보는 프로그램의 이름, 프로그램의 개발자 정보 등과 같이 해당 프로그램이 어떠한 프로그램인지 식별 가능하게 하면서 타 프로그램과 구별이 가능하게 하는 정보를 포함할 수 있다.The user terminal device 100 may transmit/receive information about a program installed in the user terminal device 100 . In this case, the information about the program may include information such as a name of a program, information about a developer of the program, and the like, while making it possible to identify which program the corresponding program is and to distinguish it from other programs.

사용자 단말 장치(100)는 제1 서버(200)와 통신할 수 있다. 이때 제1 서버(200)는 사용자가 금융 거래를 수행하기 위해 통신하는 복수 개의 금융사 서버 중 어느 하나일 수 있다.The user terminal device 100 may communicate with the first server 200 . In this case, the first server 200 may be any one of a plurality of financial company servers with which the user communicates to perform a financial transaction.

제1 서버(200)는 데이터베이스를 포함한다. 그리고 제1 서버(200)의 데이터베이스에는 정상 프로그램 목록 및 악성 프로그램 목록이 저장되어 있다.The first server 200 includes a database. In addition, a list of normal programs and a list of malicious programs are stored in the database of the first server 200 .

이때 정상 프로그램은 출처가 명확한 프로그램뿐만 아니라 출처가 불명확한 프로그램 중 사용자들이 반복적으로 정상 프로그램이라고 판단한 프로그램을 의미한다. 그리고 정상 프로그램 목록은 정상 프로그램들이 차례대로 나열된 목록을 의미한다. 정상 프로그램 목록은 후술될 제2 서버(300)에 의해서 최신화될 수 있다.In this case, the normal program means not only a program with a clear source, but also a program that users have repeatedly determined to be a normal program among programs with an unknown source. And the normal program list means a list in which normal programs are sequentially listed. The list of normal programs may be updated by the second server 300 to be described later.

그리고 악성 프로그램은 악의를 가진 자들에게 이용되는 프로그램으로, 사용자의 의사에 반하여 사용자 단말 장치(100)를 원격으로 조종할 수 있도록 하거나, 사용자의 의사에 반하여 사용자 단말 장치(100)를 통해 금융 거래가 진행되도록 하는 프로그램 등과 같은 프로그램을 의미한다. 그리고 악성 프로그램 목록은 악성 프로그램들이 차례대로 나열된 목록을 의미한다. 악성 프로그램 목록은 후술될 제2 서버(300)에 의해서 최신화 될 수 있다.In addition, the malicious program is a program used by people with malicious intent to remotely control the user terminal device 100 against the user's will, or a financial transaction is performed through the user terminal device 100 against the user's will. It means a program such as a program that makes it possible. And the malicious program list means a list in which malicious programs are listed in order. The list of malicious programs may be updated by the second server 300 to be described later.

제1 서버(200)는 사용자 단말 장치(100)로부터 특정 프로그램이 정상 프로그램 또는 악성 프로그램인지 판단하여 달라는 요청을 받으면, 데이터베이스에 저장된 정상 프로그램 목록 및 악성 프로그램 목록을 이용하여 사용자 단말 장치(100)로부터 전달 받은 특정 프로그램이 정상 프로그램 또는 악성 프로그램인지 판단을 수행한다.When receiving a request from the user terminal device 100 to determine whether a specific program is a normal program or a malicious program, the first server 200 receives a request from the user terminal device 100 using the list of normal programs and the list of malicious programs stored in the database. It determines whether the received specific program is a normal program or a malicious program.

이때 특정 프로그램이 정상 프로그램 또는 악성 프로그램인지 판단하는 방법은 특정 프로그램과 정상 프로그램 목록 및 악성 프로그램 목록에 있는 프로그램을 하나씩 비교하는 방법으로 이루어질 수 있다. 이때 제1 서버(200)는 특정 프로그램이 정상 프로그램 목록에 포함되는지 먼저 비교하고, 악성 프로그램 목록에 포함되는지 비교할 수 있다. 또한 제1 서버(200)는 특정 프로그램이 악성 프로그램 목록에 포함되는지 먼저 비교하고, 정상 프로그램 목록에 포함되는지 비교할 수 있다.In this case, a method of determining whether a specific program is a normal program or a malicious program may be performed by comparing the specific program with programs in the normal program list and the malicious program list one by one. In this case, the first server 200 may first compare whether a specific program is included in the normal program list and compare whether the specific program is included in the malicious program list. Also, the first server 200 may first compare whether a specific program is included in the malicious program list, and may compare whether a specific program is included in the normal program list.

제1 서버(200)는 특정 프로그램이 정상 프로그램 또는 악성 프로그램인지 판단하는 과정을 빠르게 진행하기 위하여, 특정 프로그램이 발견 빈도 수가 높은 정상 프로그램 또는 악성 프로그램에 해당하는지 먼저 비교할 수 있다. 이를 위해, 제1 서버(200)는 데이터베이스에 정상 프로그램 목록 또는 악성 프로그램 목록을 저장할 때, 목록에 포함된 프로그램의 발견 빈도수를 같이 저장하여, 특정 프로그램이 발견 빈도수가 높은 정상 프로그램 또는 악성 프로그램에 해당하는지 먼저 비교되도록 저장할 수 있다.In order to speed up the process of determining whether a specific program is a normal program or a malicious program, the first server 200 may first compare whether the specific program corresponds to a normal program or a malicious program having a high frequency of discovery. To this end, when the first server 200 stores the list of normal programs or the list of malicious programs in the database, the detection frequency of programs included in the list is also stored, so that a specific program corresponds to a normal program or a malicious program with a high detection frequency. You can save it to be compared first.

그리고 제1 서버(200)는 판단한 결과를 사용자 단말 장치(100)로 전달할 수 있다. 이때 판단한 결과는 사용자 단말 장치(100)가 판단을 요청한 특정 프로그램이 정상 프로그램이라는 결과일 수 있다. 또한 판단한 결과는 사용자 단말 장치(100)가 판단을 요청한 특정 프로그램이 악성 프로그램이라는 결과일 수 있다. 그리고 판단한 결과는 사용자 단말 장치(100)가 판단을 요청한 특정 프로그램이 정상 프로그램과 악성 프로그램이 모두 아니라는 결과일 수 있다. 이는 정상 프로그램 목록 또는 악성 프로그램 목록에 아직 포함되지 않은 프로그램이 사용자 단말 장치(100)로부터 어떠한 프로그램에 해당되는지 판단해달라는 요청을 받았을 수 있기 때문이다.In addition, the first server 200 may transmit the determined result to the user terminal device 100 . In this case, the determination result may be a result that the specific program requested by the user terminal device 100 is a normal program. In addition, the determination result may be a result that the specific program requested by the user terminal device 100 is a malicious program. And the determination result may be a result that the specific program requested by the user terminal device 100 is not both a normal program and a malicious program. This is because a request to determine which program corresponds to a program not yet included in the normal program list or the malicious program list may be received from the user terminal device 100 .

사용자 단말 장치(300)는 제2 서버(300)와 통신할 수 있다. 이때 제2 서버(300)는 제1 서버(200)와 같이 사용자 단말 장치(300)가 금융 거래를 수행하기 위해 통신하는 금융사 서버 복수 개를 총 관리하는 서버일 수 있다. 예를 들어, 제1 서버(200)는 특정 은행이 관리하는 서버이고, 제2 서버(300)는 은행들을 총괄하는 금융감독원이 관리하는 서버일 수 있다. 그리고 제2 서버(300)는 제1 서버(200)와 통신을 수행할 수 있다.The user terminal device 300 may communicate with the second server 300 . In this case, the second server 300 may be a server that collectively manages a plurality of financial company servers with which the user terminal device 300 communicates to perform a financial transaction like the first server 200 . For example, the first server 200 may be a server managed by a specific bank, and the second server 300 may be a server managed by the Financial Supervisory Service in charge of banks. In addition, the second server 300 may communicate with the first server 200 .

제2 서버(300)는 제1 서버(200)에 저장된 정상 프로그램 목록과 악성 프로그램 목록을 최신화 할 수 있다.The second server 300 may update the list of normal programs and the list of malicious programs stored in the first server 200 .

제2 서버(300)는 제1 서버(200) 또는 후술될 다른 서버(400)들로부터 사용자 단말 장치(100)에 의해 발견된 악성 프로그램에 관한 정보를 수신할 수 있다. 그러면 제2 서버(300)는 수신한 악성 프로그램이 제1 서버(200)에 저장된 악성 프로그램 목록에 포함되어 있지 않으면, 제1 서버(200)에 저장된 악성 프로그램 목록에 이를 추가할 수 있다. 또한 제2 서버(300)는 수신한 악성 프로그램이 제1 서버(200)에 저장된 악성 프로그램 목록에 포함되어 있으면, 수신한 악성 프로그램의 발견 빈도수를 높이는 방법으로 제1 서버(200)에 저장된 악성 프로그램 목록을 최신화 할 수 있다.The second server 300 may receive information about a malicious program discovered by the user terminal device 100 from the first server 200 or other servers 400 to be described later. Then, if the received malicious program is not included in the list of malicious programs stored in the first server 200 , the second server 300 may add it to the list of malicious programs stored in the first server 200 . In addition, if the received malicious program is included in the list of malicious programs stored in the first server 200 , the second server 300 increases the detection frequency of the received malicious program. You can update the list.

제2 서버(300)는 제1 서버(200) 또는 후술될 다른 서버(400)들로부터 사용자에 의해 정상 프로그램으로 판단된 프로그램에 관한 정보를 수신할 수 있다. 그러면 제2 서버(300)는 해당 프로그램이 정상 프로그램으로 판단된 횟수를 카운트할 수 있다. 그리고 해당 프로그램이 정상 프로그램으로 판단된 횟수가 설정값 이상이 되면, 해당 프로그램을 제1 서버(200)에 저장된 정상 프로그램 목록에 추가할 수 있다. 여기서 설정값은 제2 서버(300)의 관리자에 의해 미리 설정된 값으로, 특정 프로그램이 정상 프로그램으로 판단되어 정상 프로그램 목록에 추가되는 기준이 되는 횟수를 나타낸다.The second server 300 may receive information about a program determined as a normal program by the user from the first server 200 or other servers 400 to be described later. Then, the second server 300 may count the number of times the corresponding program is determined to be a normal program. And when the number of times that the corresponding program is determined to be a normal program is equal to or greater than the set value, the corresponding program may be added to the list of normal programs stored in the first server 200 . Here, the set value is a value preset by the administrator of the second server 300 and represents the number of times a specific program is determined as a normal program and is added to the normal program list as a reference.

또한 사용자 단말 장치(300)는 도면 상 도시되지는 않았지만 다른 서버(400)와 통신할 수 있다. 이때 다른 서버(400)는 사용자가 금융 거래를 수행하기 위해 통신하는 복수 개의 금융사 서버 중 제1 서버(200)를 제외한 어느 하나일 수 있다. 이때 다른 서버(400)는 제2 서버(300)와 통신을 수행할 수 있다. 그리고 다른 서버(400)는 제1 서버(200)와 동일하게 동작할 수 있다.Also, although not shown in the drawing, the user terminal device 300 may communicate with another server 400 . In this case, the other server 400 may be any one except the first server 200 among a plurality of financial company servers with which the user communicates to perform a financial transaction. In this case, the other server 400 may communicate with the second server 300 . And the other server 400 may operate in the same way as the first server 200 .

도 2는 본 발명의 일 실시예에 따른 사용자 단말 장치의 내부 구조를 상세히 나타낸 도면이다.2 is a diagram illustrating in detail an internal structure of a user terminal device according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일 실시예에 따른 사용자 단말 장치(100)는 탐지부(110), 송신부(120), 수신부(130), 제어부(140) 및 디스플레이부(150)를 포함할 수 있다.Referring to FIG. 2 , the user terminal device 100 according to an embodiment of the present invention may include a detector 110 , a transmitter 120 , a receiver 130 , a controller 140 , and a display 150 . can

탐지부(110)는 사용자 단말 장치(100)에 설치된 복수 개의 프로그램 중 출처가 불명확한 프로그램을 탐지한다. 이때 사용자 단말 장치(100)에 설치된 제1 서버(200)와 통신하여 금융 거래가 이루어지는 프로그램이 실행된 경우, 탐지부(110)는 사용자 단말 장치(100)에 설치된 출처가 불명확한 프로그램을 탐지할 수 있다. 그리고 탐지부(110)는 사용자 단말 장치(100)에 탑재된 운영 체제를 통하여 출처가 불명확한 프로그램을 탐지할 수 있다. The detector 110 detects a program whose source is unknown among a plurality of programs installed in the user terminal device 100 . At this time, when a program that communicates with the first server 200 installed in the user terminal device 100 and performs a financial transaction is executed, the detection unit 110 may detect a program having an unknown source installed in the user terminal device 100 . have. In addition, the detector 110 may detect a program whose origin is unknown through the operating system mounted on the user terminal device 100 .

여기서 출처가 불명확한 프로그램은 사용자 단말 장치에 정상적으로 프로그램이 설치되는 경로가 아닌 다른 경로를 통해 설치된 프로그램을 의미한다. 예를 들어 스마트폰에 설치되는 어플리케이션의 경우, 스마트폰에 탑재된 운영 체제에서 공식적으로 어플리케이션을 제공하는 경로를 통해 설치된 어플리 케이션이 아니라 사용자가 자체 제작하거나 기업이 자체적으로 배포한 어플리케이션이 출처가 불명확한 프로그램으로 분류될 수 있다.Here, the program whose source is unknown means a program installed through a path other than the path where the program is normally installed in the user terminal device. For example, in the case of an application installed on a smartphone, the source of an application self-made or distributed by a company is unknown, not an application installed through a path that officially provides the application in the operating system installed on the smartphone. can be classified as one program.

송신부(120)는 탐지부(110)에 의해 출처가 불명확한 프로그램이 탐지되면, 탐지된 출처가 불명확한 프로그램에 관한 정보를 제1 서버(200)에 송신할 수 있다.When a program having an unknown source is detected by the detecting unit 110 , the transmitter 120 may transmit information about the detected program having an unknown source to the first server 200 .

수신부(130)는 제1 서버(200)가 정상 프로그램 목록 및 악성 프로그램 목록을 이용하여 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램인지 판단한 결과를 수신한다. 그리고 수신부(130)는 수신한 결과를 제어부(140)로 전송한다.The receiving unit 130 receives the result of determining whether the program from which the detected source is unknown using the normal program list and the malicious program list by the first server 200 is a normal program or a malicious program. And the receiver 130 transmits the received result to the controller 140 .

제어부(140)는 제1 서버(200)에 의해 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단되면, 사용자 단말 장치(100)를 통한 금융 거래를 차단한다. 그리고 제어부(140)는 디스플레이부(150)를 통해 금융 거래 차단 메시지를 출력한다.When it is determined that the program having an unknown source detected by the first server 200 is a malicious program, the controller 140 blocks the financial transaction through the user terminal device 100 . In addition, the control unit 140 outputs a financial transaction blocking message through the display unit 150 .

이때 금융 거래 차단 메시지는 사용자에게 사용자 단말 장치(100)에 설치된 프로그램 중 특정 프로그램이 악성 프로그램으로 판단되었고, 이를 삭제하는 것이 필요하다는 내용을 포함할 수 있다. 그리고 금융 거래 차단 메시지는 금융 거래가 차단되었음을 안내하는 내용을 포함할 수 있다.In this case, the financial transaction blocking message may include to the user that a specific program among the programs installed in the user terminal device 100 is determined to be a malicious program, and it is necessary to delete it. In addition, the financial transaction blocking message may include content informing that the financial transaction is blocked.

그리고 제어부(140)는 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단되면, 탐지된 출처가 불명확한 프로그램에 관한 정보를 송신부(120)를 통해 제2 서버(300)에 송신한다. 그러면 제2 서버(300)는 제어부(140)로부터 수신한 정보를 이용하여 악성 프로그램 목록을 최신화 할 수 있다.In addition, when it is determined that the detected program from which the source is unknown is a malicious program, the controller 140 transmits information about the program whose detected source is unknown to the second server 300 through the transmitter 120 . Then, the second server 300 may update the malicious program list by using the information received from the controller 140 .

또한 제어부(140)는 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램에 모두 포함되지 않는 것으로 판단되면, 디스플레이부(150)를 통해 경고 메시지를 출력한다. 이때 경고 메시지는 특정 프로그램이 악성 프로그램일 수 있다고 경고하는 내용을 포함한다. 그리고 경고 메시지는 사용자에게 특정 프로그램이 정상 프로그램인지 확인하는 내용을 포함할 수 있다.In addition, if it is determined that the detected program having an unknown source is not included in the normal program or the malicious program, the controller 140 outputs a warning message through the display unit 150 . In this case, the warning message includes a warning that a specific program may be a malicious program. In addition, the warning message may include content to confirm whether a specific program is a normal program to the user.

이때 제어부(140)는 디스플레이부(150)를 통해 경고 메시지가 출력된 후 사용자로부터 탐지된 출처가 불명확한 프로그램이 정상 프로그램이라는 입력을 받으면, 탐지된 출처가 불명확한 프로그램이 안전한 프로그램이라는 정보를 송신부(120)를 통해 제2 서버(300)로 송신할 수 있다. 그러면 제2 서버(300)는 제어부(140)로부터 수신한 정보를 이용하여 정상 프로그램 목록을 최신화 할 수 있다.At this time, when a warning message is output through the display unit 150 and the control unit 140 receives an input from the user that a program having an unknown source is a normal program, the control unit 140 transmits information that the program having an unknown source is a safe program. It can be transmitted to the second server 300 through 120 . Then, the second server 300 may update the normal program list by using the information received from the controller 140 .

디스플레이부(150)는 사용자에게 메시지를 표시할 수 있다. 디스플레이부(150)는 제어부의 명령에 따라 사용자에게 금융 거래 차단 메시지 또는 경고 메시지를 표시할 수 있다.The display unit 150 may display a message to the user. The display unit 150 may display a financial transaction blocking message or a warning message to the user according to a command of the control unit.

도 3은 본 발명의 일 실시예에 따른 사용자 단말 장치가 악성 프로그램을 탐지하는 방법을 나타낸 순서도이다.3 is a flowchart illustrating a method of detecting a malicious program by a user terminal device according to an embodiment of the present invention.

도 3을 참조하면, 탐지부(110)는 사용자 단말 장치(100)에 설치된 복수 개의 프로그램 중 출처가 불명확한 프로그램을 탐지한다(S300). 이때 사용자 단말 장치(100)에 설치된 제1 서버(200)와 통신하여 금융 거래가 이루어지는 프로그램이 실행된 경우, 탐지부(110)는 출처가 불명확한 프로그램을 탐지할 수 있다.Referring to FIG. 3 , the detector 110 detects a program whose source is unknown among a plurality of programs installed in the user terminal device 100 ( S300 ). In this case, when a program for performing a financial transaction by communicating with the first server 200 installed in the user terminal device 100 is executed, the detector 110 may detect a program whose source is unknown.

그리고 탐지부(110)에 의하여 출처가 불명확한 프로그램이 탐지되면, 송신부(120)는 탐지된 출처가 불명확한 프로그램에 관한 정보를 제1 서버(200)에 송신한다(S310).And when a program having an unknown source is detected by the detecting unit 110 , the transmitting unit 120 transmits information about the detected program having an unknown source to the first server 200 ( S310 ).

그러면 제1 서버(200)는 사용자 단말 장치(100)로부터 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램인지 데이터베이스에 저장된 정상 프로그램 목록 및 악성 프로그램 목록을 이용하여 판단한다(S320).Then, the first server 200 determines whether the program having an unknown source detected from the user terminal device 100 is a normal program or a malicious program using the normal program list and the malicious program list stored in the database ( S320 ).

이때 제1 서버(200)는 사용자 단말 장치(100)로부터 탐지된 출처가 불명확한 프로그램을 정상 프로그램 목록 및 악성 프로그램 목록에 있는 프로그램과 하나씩 비교하여, 해당 프로그램이 정상 프로그램 또는 악성 프로그램인지 판단할 수 있다.At this time, the first server 200 may determine whether the program is a normal program or a malicious program by comparing the programs of unknown origin detected from the user terminal device 100 with programs in the normal program list and the malicious program list one by one. have.

그리고 나서 제1 서버(200)는 판단한 결과를 사용자 단말 장치(100)로 전송한다. 그러면 수신부(130)는 제1 서버(200)가 판단한 결과를 수신한다(S330). 이때 판단한 결과는 사용자 단말 장치(100)로부터 탐지된 출처가 불명확한 프로그램이 정상 프로그램이라는 결과일 수 있다. 또한 판단한 결과는 사용자 단말 장치(100) 로부터 탐지된 출처가 불명확한 프로그램이 악성 프로그램이라는 결과일 수 있다. 그리고 판단한 결과는 사용자 단말 장치(100) 로부터 탐지된 출처가 불명확한 프로그램이 정상 프로그램과 악성 프로그램이 모두 아니라는 결과일 수 있다.Then, the first server 200 transmits the determined result to the user terminal device 100 . Then, the receiving unit 130 receives the result determined by the first server 200 (S330). In this case, the determined result may be that the program detected by the user terminal device 100 from an unknown source is a normal program. In addition, the determination result may be a result that the program detected by the user terminal device 100 from an unknown source is a malicious program. And, the determination result may be a result that the program with an unknown source detected from the user terminal device 100 is not both a normal program and a malicious program.

그리고 나서 제어부(140)는 수신부(130)를 통해 수신된 판단 결과에 따라서 대응한다(S340). 이때 제어부(140)가 판단 결과에 따라서 대응하는 방법은 도 4를 통해 보다 상세히 설명될 수 있다.Then, the control unit 140 responds according to the determination result received through the receiving unit 130 (S340). In this case, a method for the control unit 140 to respond according to the determination result may be described in more detail with reference to FIG. 4 .

도 4는 본 발명의 일 실시예에 따른 사용자 단말 장치가 제1 서버에 의해 판단된 결과에 따라 대응하는 방법을 상세히 나타낸 순서도이다.4 is a flowchart illustrating in detail a method for a user terminal device to respond according to a result determined by a first server according to an embodiment of the present invention.

도 4를 참조하면, 제어부(140)는 우선 탐지된 출처가 불명확한 프로그램이 제1 서버(200)에 의해 악성 프로그램으로 판단된지 확인한다(S400).Referring to FIG. 4 , the controller 140 first checks whether the detected program having an unknown source is determined as a malicious program by the first server 200 ( S400 ).

제어부(140)가 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단된지 확인한 결과, 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단된 경우, 제어부(140)는 사용자 단말 장치(100)를 통한 금융 거래를 차단한다(S410).As a result of the control unit 140 confirming that the detected program having an unknown source is determined to be a malicious program, if it is determined that the detected program having an unknown source is a malicious program, the control unit 140 controls the user terminal device 100 to provide financial services through the user terminal device 100 . Block the transaction (S410).

그리고 제어부(140)는 디스플레이부(150)를 통해 금융 거래 차단 메시지를 출력할 수 있다. 이때 금융 거래 차단 메시지는 사용자에게 사용자 단말 장치(100)에 설치된 프로그램 중 특정 프로그램이 악성 프로그램으로 판단되었고, 이를 삭제하는 것이 필요하다는 내용을 포함할 수 있다. 그리고 금융 거래 차단 메시지는 금융 거래가 차단되었음을 안내하는 내용을 포함할 수 있다. 금융 거래 차단 메시지가 디스플레이부(150)를 통해 표시된 화면의 예시는 도 5를 통해 확인할 수 있다.In addition, the control unit 140 may output a financial transaction blocking message through the display unit 150 . In this case, the financial transaction blocking message may include to the user that a specific program among the programs installed in the user terminal device 100 is determined to be a malicious program, and it is necessary to delete it. In addition, the financial transaction blocking message may include content informing that the financial transaction is blocked. An example of a screen on which a financial transaction blocking message is displayed through the display unit 150 can be confirmed through FIG. 5 .

도 5는 본 발명의 일 실시예에 따른 사용자 단말 장치에 출력된 금융 거래 차단 메시지를 나타낸 도면이다.5 is a diagram illustrating a financial transaction blocking message output to a user terminal device according to an embodiment of the present invention.

도 5를 참조하면, 금융 거래 차단 메시지(500)는 사용자 단말 장치(100)에 디스플레이부(150)를 통해 표시될 수 있다. 이때 도 5는 사용자 단말 장치(100)가 스마트폰이고, 사용자 단말 장치에 프로그램이 어플리케이션(앱)의 형태로 설치된 경우의 실시예이다.Referring to FIG. 5 , a financial transaction blocking message 500 may be displayed on the user terminal device 100 through the display unit 150 . In this case, FIG. 5 is an embodiment in which the user terminal device 100 is a smartphone and a program is installed in the user terminal device in the form of an application (app).

이때 금융 거래 차단 메시지(500)는 스마트폰(100)에 설치된 앱 중 하나가 악성앱(A)이라는 내용을 포함한다. 그리고 금융 거래 차단 메시지(500)는 해당 악성앱(A)을 통해 입은 피해가 신고된 횟수 및 그 피해액의 내용을 포함한다. 또한 금융 거래 차단 메시지(500)는 해당 악성앱(A)의 삭제를 권고하는 내용과 신고 전화번호를 포함한다.At this time, the financial transaction blocking message 500 includes the content that one of the apps installed in the smartphone 100 is a malicious app (A). In addition, the financial transaction blocking message 500 includes the number of times that damage suffered through the malicious app A has been reported and the amount of the damage. In addition, the financial transaction blocking message 500 includes contents recommending the deletion of the malicious app (A) and a report phone number.

다시 도 4로 돌아와서, 그 후 제어부(140)는 탐지된 출처가 불명확한 프로그램에 관한 정보를 제2 서버(300)에 송신한다(S420).Returning to FIG. 4 again, thereafter, the controller 140 transmits information about a program whose detected source is unknown to the second server 300 ( S420 ).

그러면 제2 서버(300)는 제어부(140)로부터 수신한 정보를 이용하여 악성 프로그램 목록을 최신화한다(S430). 제2 서버(300)는 수신한 악성 프로그램이 제1 서버(200)에 저장된 악성 프로그램 목록에 포함되어 있지 않으면, 제1 서버(200)에 저장된 악성 프로그램 목록에 이를 추가할 수 있다. 또한 제2 서버(300)는 수신한 악성 프로그램이 제1 서버(200)에 저장된 악성 프로그램 목록에 포함되어 있으면, 수신한 악성 프로그램의 발견 빈도수를 높이는 방법으로 제1 서버(200)에 저장된 악성 프로그램 목록을 최신화 할 수 있다.Then, the second server 300 updates the malicious program list using the information received from the control unit 140 (S430). If the received malicious program is not included in the list of malicious programs stored in the first server 200 , the second server 300 may add it to the list of malicious programs stored in the first server 200 . In addition, if the received malicious program is included in the list of malicious programs stored in the first server 200 , the second server 300 increases the detection frequency of the received malicious program. You can update the list.

반면 제어부(140)가 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단된지 확인한 결과, 탐지된 출처가 불명확한 프로그램이 악성 프로그램이 아닌 것으로 판단된 경우, 제어부(140)는 탐지된 출처가 불명확한 프로그램이 제1 서버(200)에 의해 정상 프로그램으로 판단된지 확인한다(S440).On the other hand, when the controller 140 determines that the program from which the detected source is unknown is determined to be a malicious program, if it is determined that the program from which the detected source is unknown is not a malicious program, the controller 140 determines whether the program from which the detected source is unknown is not a malicious program. It is checked whether the program is determined as a normal program by the first server 200 (S440).

그리고 제어부(140)가 탐지된 출처가 불명확한 프로그램이 정상 프로그램으로 판단된지 확인한 결과, 탐지된 출처가 불명확한 프로그램이 정상 프로그램이 아닌 것으로 판단된 경우, 제어부(140)는 디스플레이부(150)를 통해 경고 메시지를 출력한다(S450). 이때 경고 메시지는 특정 프로그램이 악성 프로그램일 수 있다고 경고하는 내용을 포함한다. 그리고 경고 메시지는 사용자에게 탐지된 출처가 불명확한 프로그램이 정상 프로그램인지 확인하는 내용을 포함할 수 있다. 경고 메시지가 디스플레이부(150)를 통해 표시된 화면의 예시는 도 6을 통해 확인할 수 있다.And, as a result of checking whether the program from which the detected source is unknown is determined as a normal program, when it is determined that the detected program is not a normal program, the control unit 140 controls the display unit 150 A warning message is output through (S450). In this case, the warning message includes a warning that a specific program may be a malicious program. In addition, the warning message may include the contents of confirming whether a program whose source is unknown to the user is a normal program. An example of a screen on which a warning message is displayed through the display unit 150 can be confirmed through FIG. 6 .

도 6은 본 발명의 일 실시예에 따른 사용자 단말 장치에 출력된 경고 메시지를 나타낸 도면이다.6 is a diagram illustrating a warning message output to a user terminal device according to an embodiment of the present invention.

도 6을 참조하면, 경고 메시지(600)는 사용자 단말 장치(100)에 디스플레이부(150)를 통해 표시될 수 있다. 이때 도 6은 사용자 단말 장치(100)가 스마트폰이고, 사용자 단말 장치에 프로그램이 어플리케이션(앱)의 형태로 설치된 경우의 실시예이다.Referring to FIG. 6 , a warning message 600 may be displayed on the user terminal device 100 through the display unit 150 . At this time, FIG. 6 is an embodiment in which the user terminal device 100 is a smartphone and a program is installed in the user terminal device in the form of an application (app).

이때 경고 메시지(600)는 스마트폰(100)에 설치된 앱 중 하나가 출처가 불명확한 앱이라는 내용을 포함한다. 그리고 경고 메시지(600)는 해당 앱이 어떠한 앱인지 알리는 내용을 포함하고, 이는 악성앱일수 있다고 경고하는 내용을 포함한다. 그리고 경고 메시지는 사용자에게 해당 앱이 정상 프로그램인지 확인하는 내용을 포함한다.At this time, the warning message 600 includes content that one of the apps installed in the smartphone 100 is an app whose source is unknown. In addition, the warning message 600 includes content indicating what kind of app the corresponding app is, and includes content warning that it may be a malicious app. And the warning message includes the contents to confirm whether the corresponding app is a normal program to the user.

다시 도 4로 돌아와서, 제어부(140)는 디스플레이부(150)를 통해 경고 메시지가 출력된 후 사용자로부터 탐지된 출처가 불명확한 프로그램이 정상 프로그램이라는 입력을 받으면, 탐지된 출처가 불명확한 프로그램이 안전한 프로그램이라는 정보를 송신부(120)를 통해 제2 서버(300)로 송신할 수 있다(S470).Returning to FIG. 4 again, after the warning message is output through the display unit 150, the control unit 140 receives an input from the user that the program whose source is unknown is a normal program, and the program of which the detected source is unknown is safe. The program information may be transmitted to the second server 300 through the transmitter 120 (S470).

그러면 제2 서버(300)는 제어부(140)로부터 수신한 정보를 이용하여 정상 프로그램 목록을 최신화한다(S480). 이때 제2 서버(300)는 해당 프로그램이 정상 프로그램으로 판단된 횟수를 카운트하고, 해당 프로그램이 정상 프로그램으로 판단된 횟수가 설정값 이상이 되면, 해당 프로그램을 제1 서버(200)에 저장된 정상 프로그램 목록에 추가할 수 있다.Then, the second server 300 updates the normal program list by using the information received from the controller 140 (S480). At this time, the second server 300 counts the number of times that the corresponding program is determined as a normal program, and when the number of times that the corresponding program is determined as a normal program is greater than or equal to the set value, the second server 300 stores the corresponding program in the first server 200 as a normal program. can be added to the list.

도 4에서는 제어부(140)가 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단된 지 확인(S400)한 후, 탐지된 출처가 불명확한 프로그램이 정상 프로그램으로 판단된 지 확인(S440)하는 것을 예로 들어 설명하였으나, 상기 두 단계는 반대로 실행될 수 있다. 즉 제어부(140)는 가 탐지된 출처가 불명확한 프로그램이 정상 프로그램으로 판단된 지 확인(S440)한 후, 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단된 지 확인(S400)할 수 있다.In FIG. 4, as an example, the controller 140 checks whether a program with an unknown source is determined as a malicious program (S400) and then checks whether a program with an unknown source is determined as a normal program (S440). Although the above description has been given, the two steps may be performed in reverse. That is, the controller 140 may determine whether the program from which the detected source is unknown is determined to be a normal program (S440), and then may determine whether the program from which the detected source is unknown is determined to be a malicious program (S400).

S440 단계가 먼저 실행되는 경우, S440 단계에서 예로 판단되면 바로 종료된다. 만일 S440 단계에서 아니오로 판단되면 S400 단계를 진행한다. 그리고 S400 단계에서 예로 판단되면, S410, S420 및 S430 단계가 차례로 진행된 후 종료된다. 만일 S400 단계에서 아니오로 판단되면, S450, S460 단계를 차례로 진행하게 된다. 그리고 S460 단계에서 아니오로 판단되면, 바로 종료된다. 만일 S460 단계에서 예로 판단되면, S470, S480 단계가 차례로 진행된 후 종료된다.When step S440 is executed first, if it is determined as YES in step S440, it is immediately terminated. If it is determined in step S440 as NO, step S400 is performed. And if it is determined YES in step S400, steps S410, S420, and S430 are sequentially performed and then ended. If it is determined as NO in step S400, steps S450 and S460 are sequentially performed. And if it is determined as NO in step S460, it ends immediately. If it is determined as YES in step S460, steps S470 and S480 are sequentially performed and then ended.

이상에서 설명한 바와 같은 본 발명에 따른 사용자 단말 장치(100) 및 그 악성 프로그램 탐지 방법을 이용하면 제1 서버(200)를 통해 출처가 불명확한 프로그램이 악성 프로그램인지 여부를 판단하여, 악성 프로그램을 빠르게 발견하고 삭제할 수 있도록 하는 장점이 있다. 또한, 악성 프로그램을 통해 진행되는 사용자에게 피해를 입히는 금융 거래를 차단할 수 있는 장점이 있다.When the user terminal device 100 and the malicious program detection method according to the present invention as described above are used, the first server 200 determines whether a program having an unknown source is a malicious program, and quickly detects the malicious program. It has the advantage of being able to discover and delete it. In addition, it has the advantage of being able to block financial transactions that damage users through malicious programs.

이상과 같이 본 발명에 대해서 예시한 도면을 참조로 하여 설명하였으나, 본 명세서에 개시된 실시 예와 도면에 의해 본 발명이 한정되는 것은 아니며, 본 발명의 기술사상의 범위 내에서 통상의 기술자에 의해 다양한 변형이 이루어질 수 있음은 자명하다. 아울러 앞서 본 발명의 실시 예를 설명하면서 본 발명의 구성에 따른 작용 효과를 명시적으로 기재하여 설명하지 않았을지라도, 해당 구성에 의해 예측 가능한 효과 또한 인정되어야 함은 당연하다.As described above, the present invention has been described with reference to the illustrated drawings, but the present invention is not limited by the embodiments and drawings disclosed in this specification, and various methods can be obtained by those skilled in the art within the scope of the technical spirit of the present invention. It is obvious that variations can be made. In addition, even if the effect of the configuration of the present invention is not explicitly described and described while describing the embodiment of the present invention, it is natural that the effect predictable by the configuration should also be recognized.

100: 사용자 단말 장치 110: 탐지부
120: 송신부 130: 수신부
140: 제어부 150: 디스플레이부
200: 제1 서버 210: 제2 서버100: user terminal device 110: detection unit
120: transmitter 130: receiver
140: control unit 150: display unit
200: first server 210: second server

Claims (14)

복수 개의 프로그램이 설치되고 금융 거래가 이루어지는 사용자 단말 장치에 설치된 출처가 불명확한 프로그램을 탐지하는 단계;
출처가 불명확한 프로그램이 탐지되면, 탐지된 출처가 불명확한 프로그램에 관한 정보를 제1 서버에 송신하는 단계;
상기 제1 서버가 정상 프로그램 목록 및 악성 프로그램 목록을 이용하여 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램에 포함되는지 판단하는 단계; 및
상기 제1 서버로부터 판단 결과를 수신하는 단계를 포함하고,
상기 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단되면, 상기 사용자 단말 장치를 통한 금융 거래를 차단하는 단계를 더 포함하고,
상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램에 모두 포함되지 않는 것으로 판단되면, 경고 메시지를 출력하는 단계를 더 포함하고,
상기 경고 메시지는 사용자에게 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램인지 확인하는 내용을 포함하고,
상기 경고 메시지가 출력된 후 사용자로부터 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램이라는 입력을 받으면, 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램이라는 정보를 제2 서버로 송신하는 단계를 더 포함하고,
상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램이라는 정보가 제2 서버로 송신된 후, 상기 제2 서버는 상기 제1 서버 및 다른 서버들로부터 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램이라는 정보를 수신한 횟수를 카운트하는 단계; 및
상기 제2 서버는 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램이라는 정보를 수신한 횟수가 설정값 이상이면, 상기 탐지된 출처가 불명확한 프로그램을 상기 제1 서버에 포함된 상기 정상 프로그램 목록에 포함시키는 단계를 더 포함하는
사용자 단말 장치의 악성 프로그램 탐지 방법.
detecting a program having an unknown source installed in a user terminal device in which a plurality of programs are installed and financial transactions are performed;
when a program having an unknown source is detected, transmitting information about the program having an unknown source to the first server;
determining, by the first server, whether the detected program having an unknown source is included in the normal program or the malicious program by using the normal program list and the malicious program list; and
Receiving a determination result from the first server,
If it is determined that the detected program from an unknown source is a malicious program, further comprising the step of blocking a financial transaction through the user terminal device,
The method further comprises outputting a warning message when it is determined that the detected source of the unknown program is not included in either the normal program or the malicious program,
The warning message includes the contents of confirming to the user whether the detected program from which the source is unknown is a normal program,
After the warning message is output, when receiving an input from the user that the detected program having an unknown source is a normal program, the method further comprising the step of transmitting information that the detected program is a normal program to a second server; ,
After information that the detected program of unknown source is a normal program is transmitted to the second server, the second server receives information from the first server and other servers that the detected program of unknown source is a normal program counting the number of times received; and
The second server includes the detected program of unknown origin in the list of normal programs included in the first server if the number of times that the detected program from the unknown source receives the information that the normal program is greater than or equal to a set value further comprising the step of
A method for detecting malicious programs in user terminal devices.
 제1항에 있어서,
상기 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단되면, 상기 탐지된 출처가 불명확한 프로그램에 관한 정보를 제2 서버에 송신하는 단계를 더 포함하는
사용자 단말 장치의 악성 프로그램 탐지 방법.
According to claim 1,
If it is determined that the detected program from which the source is unknown is a malicious program, the method further comprising the step of transmitting information about the program whose detected source is unknown to a second server.
A method for detecting malicious programs in user terminal devices.
 제2항에 있어서,
상기 제2 서버가 상기 제1 서버 및 다른 서버들로부터 받은 정보를 이용하여 상기 제1 서버에 포함된 상기 악성 프로그램 목록을 최신화하는 단계를 더 포함하는
사용자 단말 장치의 악성 프로그램 탐지 방법.
3. The method of claim 2,
The method further comprising the step of updating, by the second server, the list of malicious programs included in the first server using information received from the first server and other servers
A method for detecting malicious programs in user terminal devices.
 제1항에 있어서,
상기 사용자 단말 장치를 통한 금융 거래가 차단된 후, 금융 거래 차단 메시지를 출력하는 단계를 더 포함하는
사용자 단말 장치의 악성 프로그램 탐지 방법.
According to claim 1,
After the financial transaction through the user terminal device is blocked, further comprising the step of outputting a financial transaction blocking message
A method for detecting malicious programs in user terminal devices.
 삭제delete 삭제delete 삭제delete 복수 개의 프로그램이 설치되고 금융 거래가 이루어지는 사용자 단말 장치에 있어서,
사용자에게 메시지를 표시하는 디스플레이부;
설치된 프로그램 중 출처가 불명확한 프로그램을 탐지하는 탐지부;
출처가 불명확한 프로그램이 탐지되면 탐지된 출처가 불명확한 프로그램에 관한 정보를 제1 서버에 송신하는 송신부;
상기 제1 서버가 정상 프로그램 목록 및 악성 프로그램 목록을 이용하여 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램인지 판단한 결과를 수신하는 수신부; 및
상기 제1 서버에 의해 상기 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단되면 상기 사용자 단말 장치를 통한 금융 거래를 차단하고, 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램 또는 악성 프로그램에 모두 포함되지 않는 것으로 판단되면 상기 디스플레이부를 통해 경고 메시지를 출력하는 제어부를 포함하고,
상기 경고 메시지는 사용자에게 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램인지 확인하는 내용을 포함하고,
상기 제어부는 상기 디스플레이부를 통해 상기 경고 메시지가 출력된 후 사용자로부터 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램이라는 입력을 받으면, 상기 탐지된 출처가 불명확한 프로그램이 안전한 프로그램이라는 정보를 상기 송신부를 통해 제2 서버로 송신하고
상기 제1 서버에 포함된 상기 정상 프로그램 목록은 상기 제2 서버가 상기 제1 서버 및 다른 서버들로부터 상기 탐지된 출처가 불명확한 프로그램이 정상 프로그램이라는 정보를 수신한 횟수가 설정값 이상이면, 상기 제2 서버가 상기 탐지된 출처가 불명확한 프로그램을 상기 제1 서버에 포함된 상기 정상 프로그램 목록에 포함시키면서 최신화되는
사용자 단말 장치.
In the user terminal device in which a plurality of programs are installed and financial transactions are made,
a display unit for displaying a message to the user;
a detection unit for detecting a program whose source is unknown among installed programs;
a transmitter configured to transmit information about a program having an unknown source to the first server when a program having an unknown source is detected;
a receiving unit configured to receive a result of the first server determining whether the detected program having an unknown source is a normal program or a malicious program by using the normal program list and the malicious program list; and
If the program with an unknown source detected by the first server is determined to be a malicious program, the financial transaction through the user terminal device is blocked, and the detected program with an unknown source is not included in either the normal program or the malicious program. and a control unit for outputting a warning message through the display unit when it is determined that no
The warning message includes the contents of confirming to the user whether the detected program from which the source is unknown is a normal program,
After the warning message is output through the display unit, when receiving an input from the user that the detected program having an unknown source is a normal program, the control unit transmits information that the detected program having an unknown source is a safe program through the transmitting unit. send to the second server
The list of normal programs included in the first server may include, if the number of times the second server receives information from the first server and other servers that the detected program from an unknown source is a normal program is greater than or equal to a set value, the The second server is updated while including the detected program of unknown origin in the list of normal programs included in the first server.
user terminal device.
 제8항에 있어서,
상기 제어부는 상기 탐지된 출처가 불명확한 프로그램이 악성 프로그램으로 판단되면, 상기 탐지된 출처가 불명확한 프로그램에 관한 정보를 상기 송신부를 통해 제2 서버에 송신하는
사용자 단말 장치.
9. The method of claim 8,
The control unit is configured to, when it is determined that the detected program from which the source is unknown is a malicious program, transmits information about the program whose detected source is unknown to the second server through the transmitting unit.
user terminal device.
 제9항에 있어서,
상기 제1 서버에 포함된 상기 악성 프로그램 목록은 상기 제1 서버 및 다른 서버들로부터 받은 정보를 이용하여 상기 제2 서버에 의해 최신화되는
사용자 단말 장치.
10. The method of claim 9,
The list of malicious programs included in the first server is updated by the second server using information received from the first server and other servers.
user terminal device.
 제8항에 있어서,
상기 제어부는 상기 사용자 단말 장치를 통한 금융 거래를 차단한 후, 상기 디스플레이부를 통해 금융 거래 차단 메시지를 출력하는
사용자 단말 장치.
9. The method of claim 8,
After blocking the financial transaction through the user terminal device, the control unit outputs a financial transaction blocking message through the display unit.
user terminal device.
 삭제delete 삭제delete 삭제delete
KR1020190117204A 2019-09-24 2019-09-24 User terminal apparatus and malicious program detecting method thereof KR102272246B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190117204A KR102272246B1 (en) 2019-09-24 2019-09-24 User terminal apparatus and malicious program detecting method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190117204A KR102272246B1 (en) 2019-09-24 2019-09-24 User terminal apparatus and malicious program detecting method thereof

Publications (2)

Publication Number Publication Date
KR20210035430A KR20210035430A (en) 2021-04-01
KR102272246B1 true KR102272246B1 (en) 2021-07-01

Family

ID=75441580

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190117204A KR102272246B1 (en) 2019-09-24 2019-09-24 User terminal apparatus and malicious program detecting method thereof

Country Status (1)

Country Link
KR (1) KR102272246B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101507404B1 (en) * 2013-10-01 2015-04-07 주식회사 엘지유플러스 A mobile communication and an application program information management server and a control method thereof, a disposal method malignant application program
KR101880686B1 (en) * 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 A malware code detecting system based on AI(Artificial Intelligence) deep learning

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110111714A (en) * 2010-04-05 2011-10-12 주식회사 안철수연구소 Terminal device and method for depending malicious code of the terminal device, device and method for analyzing reliability
KR101600302B1 (en) * 2013-04-24 2016-03-21 이상호 Method of security using cloud multi-vaccine and apparatus thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101507404B1 (en) * 2013-10-01 2015-04-07 주식회사 엘지유플러스 A mobile communication and an application program information management server and a control method thereof, a disposal method malignant application program
KR101880686B1 (en) * 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 A malware code detecting system based on AI(Artificial Intelligence) deep learning

Also Published As

Publication number Publication date
KR20210035430A (en) 2021-04-01

Similar Documents

Publication Publication Date Title
EP1347612B1 (en) Mobile communication terminal, information processing apparatus, relay server apparatus, information processing system, and information processing method
US9202029B2 (en) Computer device, a method for controlling a login status of a computer device and a server
KR102355973B1 (en) Apparatus and method for detecting smishing message
JP6201039B2 (en) Communication system and communication method
KR20150092645A (en) Method for processing received data and an electronic device thereof
KR20090086628A (en) Automatic localization of devices
US20150236922A1 (en) System and Method for Interface Content Transfer and Display, and Terminal
CN109089229B (en) Method, device, storage medium and terminal for risk prompt
CN109145590B (en) Function hook detection method, detection equipment and computer readable medium
KR20130066901A (en) Apparatus and method for analyzing malware in data analysis system
KR101643936B1 (en) Monitor security system
KR102272246B1 (en) User terminal apparatus and malicious program detecting method thereof
US11882508B2 (en) Data processing system for smart devices
KR101256459B1 (en) Method and apparatus for protecting phishing
KR20190005360A (en) Method for providing push notification and an electronic device thereof
KR101507404B1 (en) A mobile communication and an application program information management server and a control method thereof, a disposal method malignant application program
EP2963629B1 (en) System and method of providing context sensitive help for alarm system installation
KR101799524B1 (en) Apparatus and method for controlling terminal device using notification message
CN110856173B (en) Network access method and device and electronic equipment
KR20140060953A (en) Apparatus for providing internet banking service for cutting off remotely access and operation method thereof
JP2014102646A (en) Information processor, log recording system, computer program, and log recording method
KR101450009B1 (en) Mobile terminal based phishing prevention method
KR101493820B1 (en) Mobile Security System
CN105701684B (en) Data processing method and device
KR101493821B1 (en) Security System Using USB

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant