KR102403303B1 - 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템 - Google Patents

사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템 Download PDF

Info

Publication number
KR102403303B1
KR102403303B1 KR1020210109451A KR20210109451A KR102403303B1 KR 102403303 B1 KR102403303 B1 KR 102403303B1 KR 1020210109451 A KR1020210109451 A KR 1020210109451A KR 20210109451 A KR20210109451 A KR 20210109451A KR 102403303 B1 KR102403303 B1 KR 102403303B1
Authority
KR
South Korea
Prior art keywords
file
user terminal
user
encryption
user authentication
Prior art date
Application number
KR1020210109451A
Other languages
English (en)
Inventor
여동균
Original Assignee
여동균
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 여동균 filed Critical 여동균
Priority to KR1020210109451A priority Critical patent/KR102403303B1/ko
Application granted granted Critical
Publication of KR102403303B1 publication Critical patent/KR102403303B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템이 제공되며, 사용자 인증 데이터를 등록하고, 파일이 암호화되는 경우 사용자 인증 데이터의 입력으로 인증이 된 후 암호화를 허용하는 사용자 단말 및 사용자 단말로부터 사용자 인증 데이터를 수신하여 사용자 단말과 매핑하여 저장하는 저장부, 사용자 단말에서 파일의 암호화 시도가 존재하는 경우 사용자 단말을 모니터링하는 모니터링부, 사용자 인증 데이터가 사용자 단말에 입력되지 않고 암호화 시도가 존재하는 경우 관리자 단말로 랜섬웨어 알람 이벤트를 전송하는 알람부를 포함하는 차단 서비스 제공 서버를 포함한다.

Description

사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템{SYSTEM FOR PROVIDING USER AUTHENTICATION BASED RANSOMWARE ENCRYPTION BLOCKING SERVICE }
본 발명은 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템에 관한 것으로, 랜섬웨어가 암호화를 시도할 때 사용자 인증이 되지 않으면 암호화를 불가하도록 차단 처리하는 플랫폼을 제공한다.
랜섬웨어(Ransomware)는 컴퓨터의 시스템을 잠그는 방식이나 저장된 데이터를 암호화하는 방식으로 사용자의 데이터를 탈취하는 악성 소프트웨어이며, 데이터의 복호화를 대가로 사용자에게 금전을 요구한다. 공격자는 대칭키 암호 알고리즘을 이용하여 사용자 데이터를 암호화했는데, 랜섬웨어 내부에 키를 보관하는 경우 피해자인 사용자는 역공학을 통해 랜섬웨어 내부나 메모리에 남아있는 키를 찾아내어 복호화가 가능하다. 이에 최신 랜섬웨어는 하이브리드 암호 시스템을 사용하여 빠른 암호화를 진행하고, 키를 효율적으로 관리한다. 하이브리드 암호 시스템은 데이터 암호화에 블록 암호나 스트림 암호 알고리즘을 사용하고, 사용된 암호키를 공격자의 공개키 암호 알고리즘으로 암호화해 감염된 시스템 내부에 보관한다. 이로 인해 공격자의 개인키를 획득하지 못하면 파일 암호화에 사용된 암호키를 복호화할 수 없으므로, 공격자 이외에는 암호화된 데이터의 복호화가 어렵다
이때, 랜섬웨어의 공격을 방지하는 방법은 파일 이벤트의 변화를 감지하거나 파일 확장자를 랜덤화하여 공격을 방지하는 방법으로 이루어졌는데, 이와 관련하여 선행기술인 한국공개특허 제2021-0087887호(2021년07월13일 공개) 및 한국공개특허 제2021-0072487호(2021년06월17일 공개)에는, 파일 서버에서 사용하는 저장소를 커스텀 파일 시스템 드라이브로 매핑하고, 드라이브로 들어오는 파일요청을 랜섬웨어에 대응할 수 있도록 기 설정된 파일정책에 따라 파일 속성을 변경함으로써, 파일서버로의 접근성을 높이면서도 공격노출의 문제를 한 번에 해결할 수 있는 구성과, 파일 확장자를 인식한 후 랜덤값을 이용한 암호화를 통해 파일 확장자에 대응하는 암호화 확장자를 생성하고, 암호화 확장자를 기초로 윈도우 레지스트리에 랜덤화된 확장자키를 생성 및 저장하고, 파일 시스템에 존재하는 파일 확장자를 암호화 확장자로 치환하는 구성이 각각 개시되어 있다.
다만, 전자의 경우 파일 이벤트를 감지했다고 할지라도 랜섬웨어에서 공격적으로 파일을 암호화시키는 경우 암호화를 막을 수 있는 방법이 없다. 후자의 경우에도 파일 확장자를 랜덤변경한다고 할지라도 파일 자체를 속성에 관계없이 암호화하는 경우 키 값을 알 수 없어 역시 파일을 쓸 수 없게 된다. 최근 로펌과 같이 클라이언트의 비밀유지의무가 있는 서류들이 랜섬웨어 공격으로 암호화되면서 로펌에서 업무를 처리할 수 없어 거액의 돈을 지불하고 공격자에게 복호화를 요청하는 일이 빈번하게 발생하고 있으며, 비단 로펌 뿐만 아니라 각 개인 또는 기업에게 중요한 파일을 암호화해버림으로써 엑세스할 수 없게 만들어 돈을 요구하는 사례도 존재한다. 이에, 단순 감지나 변경에서 더 나아가 암호화 자체를 막을 수 있는 플랫폼의 연구 및 개발이 요구된다.
본 발명의 일 실시예는, 랜섬웨어가 파일을 암호화하려고 할 때 사용자 인증을 해야 암호화가 가능하도록 설정함으로써, 암호화 자체를 감지하는 것에서 더 나아가 암호화를 원천적으로 차단할 수 있으며, 기 지정된 프로세스 및 파일을 화이트 리스트로 설정함으로써, 공격자가 백신과 같은 안티바이러스 프로세스를 중지시키려고 할 때에도 사용자 인증을 요청하도록 하여 사용자 인증 체계로 백신 종료의 가능성을 제로화할 수 있으며, 사용자 인증 체계를 통해서만 파일의 확장자의 변경이 가능하도록 설정하고, 확장자가 변경 시 매니저 서버로 알람을 제공하도록 함으로써 공격자가 확장자를 변경하는 것인지 직원이 확장자를 변경하는 것인지를 실시간으로 확인할 수 있도록 하여 이중보안을 이룰 수 있는, 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템을 제공할 수 있다. 다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 실시예는, 사용자 인증 데이터를 등록하고, 파일이 암호화되는 경우 사용자 인증 데이터의 입력으로 인증이 된 후 암호화를 허용하는 사용자 단말 및 사용자 단말로부터 사용자 인증 데이터를 수신하여 사용자 단말과 매핑하여 저장하는 저장부, 사용자 단말에서 파일의 암호화 시도가 존재하는 경우 사용자 단말을 모니터링하는 모니터링부, 사용자 인증 데이터가 사용자 단말에 입력되지 않고 암호화 시도가 존재하는 경우 관리자 단말로 랜섬웨어 알람 이벤트를 전송하는 알람부를 포함하는 차단 서비스 제공 서버를 포함한다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 랜섬웨어가 파일을 암호화하려고 할 때 사용자 인증을 해야 암호화가 가능하도록 설정함으로써, 암호화 자체를 감지하는 것에서 더 나아가 암호화를 원천적으로 차단할 수 있으며, 기 지정된 프로세스 및 파일을 화이트 리스트로 설정함으로써, 공격자가 백신과 같은 안티바이러스 프로세스를 중지시키려고 할 때에도 사용자 인증을 요청하도록 하여 사용자 인증 체계로 백신 종료의 가능성을 제로화할 수 있으며, 사용자 인증 체계를 통해서만 파일의 확장자의 변경이 가능하도록 설정하고, 확장자가 변경 시 매니저 서버로 알람을 제공하도록 함으로써 공격자가 확장자를 변경하는 것인지 직원이 확장자를 변경하는 것인지를 실시간으로 확인할 수 있도록 하여 이중보안을 이룰 수 있다.
도 1은 본 발명의 일 실시예에 따른 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템을 설명하기 위한 도면이다.
도 2는 도 1의 시스템에 포함된 차단 서비스 제공 서버를 설명하기 위한 블록 구성도이다.
도 3 및 도 4는 본 발명의 일 실시예에 따른 사용자 인증 기반 랜섬웨어 암호화 차단 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 방법을 설명하기 위한 동작 흐름도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
명세서 전체에서 사용되는 정도의 용어 "약", "실질적으로" 등은 언급된 의미에 고유한 제조 및 물질 허용오차가 제시될 때 그 수치에서 또는 그 수치에 근접한 의미로 사용되고, 본 발명의 이해를 돕기 위해 정확하거나 절대적인 수치가 언급된 개시 내용을 비양심적인 침해자가 부당하게 이용하는 것을 방지하기 위해 사용된다. 본 발명의 명세서 전체에서 사용되는 정도의 용어 "~(하는) 단계" 또는 "~의 단계"는 "~ 를 위한 단계"를 의미하지 않는다.
본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, '~부'는 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체 지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
본 명세서에 있어서 단말, 장치 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말, 장치 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말, 장치 또는 디바이스에서 수행될 수도 있다.
본 명세서에서 있어서, 단말과 매핑(Mapping) 또는 매칭(Matching)으로 기술된 동작이나 기능 중 일부는, 단말의 식별 정보(Identifying Data)인 단말기의 고유번호나 개인의 식별정보를 매핑 또는 매칭한다는 의미로 해석될 수 있다.
이하 첨부된 도면을 참고하여 본 발명을 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템을 설명하기 위한 도면이다. 도 1을 참조하면, 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템(1)은, 적어도 하나의 사용자 단말(100), 차단 서비스 제공 서버(300), 적어도 하나의 관리자 단말(400)을 포함할 수 있다. 다만, 이러한 도 1의 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템(1)은, 본 발명의 일 실시예에 불과하므로, 도 1을 통하여 본 발명이 한정 해석되는 것은 아니다.
이때, 도 1의 각 구성요소들은 일반적으로 네트워크(Network, 200)를 통해 연결된다. 예를 들어, 도 1에 도시된 바와 같이, 적어도 하나의 사용자 단말(100)은 네트워크(200)를 통하여 차단 서비스 제공 서버(300)와 연결될 수 있다. 그리고, 차단 서비스 제공 서버(300)는, 네트워크(200)를 통하여 적어도 하나의 사용자 단말(100), 적어도 하나의 관리자 단말(400)과 연결될 수 있다. 또한, 적어도 하나의 관리자 단말(400)은, 네트워크(200)를 통하여 차단 서비스 제공 서버(300)와 연결될 수 있다.
여기서, 네트워크는, 복수의 단말 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크의 일 예에는 근거리 통신망(LAN: Local Area Network), 광역 통신망(WAN: Wide Area Network), 인터넷(WWW: World Wide Web), 유무선 데이터 통신망, 전화망, 유무선 텔레비전 통신망 등을 포함한다. 무선 데이터 통신망의 일례에는 3G, 4G, 5G, 3GPP(3rd Generation Partnership Project), 5GPP(5th Generation Partnership Project), LTE(Long Term Evolution), WIMAX(World Interoperability for Microwave Access), 와이파이(Wi-Fi), 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), RF(Radio Frequency), 블루투스(Bluetooth) 네트워크, NFC(Near-Field Communication) 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 포함되나 이에 한정되지는 않는다.
하기에서, 적어도 하나의 라는 용어는 단수 및 복수를 포함하는 용어로 정의되고, 적어도 하나의 라는 용어가 존재하지 않더라도 각 구성요소가 단수 또는 복수로 존재할 수 있고, 단수 또는 복수를 의미할 수 있음은 자명하다 할 것이다. 또한, 각 구성요소가 단수 또는 복수로 구비되는 것은, 실시예에 따라 변경가능하다 할 것이다.
적어도 하나의 사용자 단말(100)은, 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하여 랜섬웨어를 차단하는 사용자의 단말일 수 있다. 이때, 사용자 단말(100)은, 차단 서비스 제공 서버(300)와 클라이언트-서버로 연결되고, 사용자 단말(100)의 사용자 인증 데이터를 입력 및 설정하는 단말일 수 있다. 또한, 사용자 단말(100)에서 랜섬웨어에 의해 파일이 암호화가 시도되려고 하는 경우 암호화를 위하여 정당사용자인지를 확인하는 사용자 인증 데이터를 입력받는 단말일 수 있다. 그리고, 사용자 단말(100)은, 랜섬웨어나 해커가 백신 프로그램을 강제종료시키는 것을 막기 위하여, 기 설정된 프로세스 또는 파일이 중지되거나 삭제되는 것을 차단 서비스 제공 서버(300)에 의해 모니터링받고, 화이트 리스트의 프로세스 또는 파일이 중지 또는 삭제가 시도되는 경우에도, 역시 사용자 인증 데이터를 입력받는 단말일 수 있다.
여기서, 적어도 하나의 사용자 단말(100)은, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 사용자 단말(100)은, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 사용자 단말(100)은, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
차단 서비스 제공 서버(300)는, 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 제공하는 서버일 수 있다. 그리고, 차단 서비스 제공 서버(300)는, 적어도 하나의 사용자 단말(100)의 사용자 인증 데이터를 등록받아 관리하고 적어도 하나의 관리자 단말(400)로 기 설정된 이벤트가 사용자 단말(100)에서 발생하는 경우, 관리자 단말(400)로 알람을 실시간으로 전송하도록 설정하는 서버일 수 있다. 또한, 차단 서비스 제공 서버(300)는, 랜섬웨어가 사용자 단말(100) 내 파일(그림, 사진, 문서 등)을 인질로 잡고 암호화하여 확장자를 변경하거나 복호화를 해주지 않아 결과적으로 사용자가 계속하여 작성한 문서를 모두 쓸 수 없게 하거나 그림이나 사진 등에 접근할 수 없게 만드는 것에 착안하여, 암호화가 시도되거나, 백신 프로그램을 종료하려는 해커의 시도가 존재하는 경우, 사용자 단말(100)로부터 사용자 인증 데이터를 입력받아야만 암호화, 프로세스 종료 또는 파일 삭제가 가능하도록 하는 서버일 수 있다.
여기서, 차단 서비스 제공 서버(300)는, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다.
적어도 하나의 관리자 단말(400)은, 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하는 관리자의 단말일 수 있다. 그리고, 적어도 하나의 관리자 단말(400)은, 차단 서비스 제공 서버(300)로부터 사용자 단말(100)에서 랜섬웨어의 파일 암호화 시도가 존재하는 경우 또는 사용자 단말(100)에서 화이트리스트 내 기 설정된 프로세스를 종료하거나 파일을 삭제하려고 하는 경우를 알람으로 제공받는 단말일 수 있다.
여기서, 적어도 하나의 관리자 단말(400)은, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 관리자 단말(400)은, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 관리자 단말(400)은, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
도 2는 도 1의 시스템에 포함된 차단 서비스 제공 서버를 설명하기 위한 블록 구성도이고, 도 3 및 도 4는 본 발명의 일 실시예에 따른 사용자 인증 기반 랜섬웨어 암호화 차단 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 2를 참조하면, 차단 서비스 제공 서버(300)는, 저장부(310), 모니터링부(320), 알람부(330), 백신중지방지부(340), 파일삭제방지부(350), 확장자변경감지부(360) 및 변경알림부(370)를 포함할 수 있다.
본 발명의 일 실시예에 따른 차단 서비스 제공 서버(300)나 연동되어 동작하는 다른 서버(미도시)가 적어도 하나의 사용자 단말(100) 및 적어도 하나의 관리자 단말(400)로 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 전송하는 경우, 적어도 하나의 사용자 단말(100) 및 적어도 하나의 관리자 단말(400)은, 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 설치하거나 열 수 있다. 또한, 웹 브라우저에서 실행되는 스크립트를 이용하여 서비스 프로그램이 적어도 하나의 사용자 단말(100) 및 적어도 하나의 관리자 단말(400)에서 구동될 수도 있다. 여기서, 웹 브라우저는 웹(WWW: World Wide Web) 서비스를 이용할 수 있게 하는 프로그램으로 HTML(Hyper Text Mark-up Language)로 서술된 하이퍼 텍스트를 받아서 보여주는 프로그램을 의미하며, 예를 들어 넷스케이프(Netscape), 익스플로러(Explorer), 크롬(Chrome) 등을 포함한다. 또한, 애플리케이션은 단말 상의 응용 프로그램(Application)을 의미하며, 예를 들어, 모바일 단말(스마트폰)에서 실행되는 앱(App)을 포함한다.
도 2를 참조하면, 저장부(310)는, 사용자 단말(100)로부터 사용자 인증 데이터를 수신하여 사용자 단말(100)과 매핑하여 저장할 수 있다. 사용자 인증 데이터는, 비밀번호, OTP 및 적어도 하나의 종류의 생체 데이터 중 어느 하나 또는 적어도 하나의 조합일 수 있다. 이때, 생체 데이터는, 지문, 음성, 얼굴, 홍채 등 다양할 수 있고, 비밀번호도 단순 텍스트 뿐만 아니라 패턴과 같은 그림형 비밀번호일 수도 있다. 이때, DID(Decentralized Identify)로 사용자를 인증할 수 있다. 생체인증 표준인 FIDO(Fast IDentity Online)의 인증 방식은 공인인증서와 동일한 PKI 방식을 사용하기 때문에 신원확인, 무결성, 기밀성, 부인방지가 가능하다. 이때, FIDO UAF(Universal Authentication Framework)를 이용하여 지문, 음성, 얼굴 인식 등 사용자 고유의 생체 정보 인식을 통해 인증할 수도 있다. 기기를 통해 생체정보를 인식시키면 서버에 접속할 수 있고, 그 다음 기기에서 제공하거나 저장돼있는 보안 키를 입력하는 순으로 진행된다.
FIDO U2F(Universal Second Factor)는 2단계 온라인 인증방법을 지원한다. FIDO U2F 인증방식은 기존 암호 인프라에 별도의 인증방식을 추가하여 보안을 강화할 수 있다. 사용자는 과거 사용한 방식과 같이 이름과 비밀번호를 사용하여 로그인하고, FIDO 보안 키 그리고 두 번째 요인 장치(예: USB 동글(Dongle)키, 스마트카드 등)를 이용해 인증하는 방식이다. 보안이 강화된 두 번째 인증요소를 이용해 보안에는 영향을 주지않으면서, 기존의 어려웠던 비밀번호 체계를 4자리 등으로 단순화할 수 있게 되었다. 이렇게 생성된 인증데이터는 블록체인 기반의 DID(Decentralized Identify) 플랫폼 사용이 가능해진다. 자기주권 신원 관리를 위한 구성요소는 식별자와 인증 수단으로 사용되는 DID 및 DID Document, 보관용 ID로 사용되는 VC(Verifiable Credential), 그리고 제출용 ID로 사용되는 VP(Verifiable Presentation)으로 이루어진다. 또한, 중요한 대용량 문서들의 유통은 검증된 DID Hub를 통해 무결성을 보장하여 전송하는 구성을 갖게 된다.
신원인증을 위한 주요 참여자는 VC를 발행하는 Issuer, VC를 발급받은 후 VP로 가공하여 검증기관에 제출하는 Holder, 사용자로부터 VP를 수신하여 VP의 진위를 검증하는 Verifier, 그리고 DID 및 ID 관련 정보를 저장하는 분산저장 소인 Identifier Registry가 있다. 자기주권 신원관리를 위한 DID 인프라는 DID 호환 블록체인, 분산 원장 또는 분산형 네트워크 데이터 플랫폼 상에서 구현이 된다. 수집된 데이터는 암호화된 개체간 상호작용을 위해 필요한 공용 키, 인증 프로토콜 및 서비스 엔드포인트 데이터 셋을 이용해 DID로 변형하여 관리된다. DID 경우 분산 네트워크에 연결된 관련 기관들이 공유한 공개키를 통하여 데이터의 무결성 보장과 진위판별을 기관 스스로 처리한다. 이 과정에서 합의 알고리즘을 이용하여 신원 ID와 대용량 데이터의 처리 및 인증과정의 무결성을 보증할 수 있다.
또는, 이중인증(Two-Factor Authentication) 및 다단계 인증이 가능한데. 사용자가 아는 요소와 사용자가 가지고 있는 요소를 이용하여 인증하는 방식이다. 서비스에 접근하려면 사용자는 두 가지 요소를 모두 가지고 있어야 한다. 요청-응답 프로세스에서 인증을 할 때 사용자임을 증명할 수 있는 시스템이 요구하는 개인 정보를 가질 때 인증이 완료된다. 1 단계 인증으로 아이디와 패스워드와 같이 자신이 아는 요소를 사용하고, 2 단계 인증으로 SMS나 OTP 또는 보안 카드와 같이 가지고 있는 요소를 활용하여 사용자 인증을 사용할 수 있다. 안전하지 않는 채널을 통해 1 단계의 패스워드가 노출되더라도 사용자가 소지하고 있는 요소를 분실하지 않는 다면 2 단계 인증을 해결 할 수 없어기술적인 측면에서 안전하다.
생체인증에 대해서는, 블록체인에서 생체정보가 저장된 블록을 찾아 해시값과 사용자로부터 받은 정보를 기반으로 생성한 해시값을 비교할 수 있다. 해시값이 같으면 인증이 완료된다. 사용자의 생체정보를 측정하기 위해 스마트 폰을 이용하여 홍채나 지문 등을 수집하여 그 정보를 알 수 없도록 해시함수를 통해 사용자의 정보의 내용을 확인할 수 없도록 한다. 이 정보가 노출되더라도 해시함수로 인해 해당 정보를 확인할 수 없고, 오직 서버에서 해당 정보에 대한 식별할 수 있도록 익명성을 보장하는 기법이다.
상술한 두 가지 기법을 이용하여, 다단계 인증 플랫폼을 구현할 수 있다. 즉, 아이디와 패스워드가 첫 번째 기본 인증 항목이고 ARS는 두 번째 인증 항목이며 세 번째 인증 항목은 Face ID나 지문을 활용한 생체 인식일 수 있다. 다만, 순서는 변경가능함은 자명하다 할 것이다. 즉 사용자가 파일을 변경하거나 암호화할 때마다 아이디나 패스워드를 일일이 입력하고 ARS를 전화를 받아 인증을 수행한다면 언제 들어올지 모르는 랜섬웨어를 위해 사용자가 계속하여 반복적인 인증을 수행해야 한다는 말이므로, 사용자가 별다른 조치를 취하지 않아도 가능한 항목, 예를 들어, 음성인증, 얼굴인식 등을 먼저 수행할 수도 있다.
다단계 인증은 사용자가 이미 가지고 있는 속성들을 활용하여 인증하는 방식이다. 시스템이 요청하여 사용자가 응답하는 프로세스에서는 인증을 통하여 사용자가 맞음을 증명할 수 있을 때 인증이 완료된다. 단계별로 인증이 진행되면서 보안 안정성이 요구되는 서비스에서 활용할 수 있다. 인증된 후에 최근 인증 데이터는 체인 데이터에 적재되어 포함된다. 추후 재차 인증이 진행될 시에는 체인 데이터와 최근 인증 데이터를 비교한 후 최종 인증이 진행되고, 최근 인증 데이터가 다시 체인 데이터에 적재된 후 서비스를 진행할 수 있다.
모니터링부(320)는, 사용자 단말(100)에서 파일의 암호화 시도가 존재하는 경우 사용자 단말(100)을 모니터링할 수 있다. 사용자 단말(100)은, 사용자 인증 데이터를 등록하고, 파일이 암호화되는 경우 사용자 인증 데이터의 입력으로 인증이 된 후 암호화를 허용할 수 있다.
알람부(330)는, 사용자 인증 데이터가 사용자 단말(100)에 입력되지 않고 암호화 시도가 존재하는 경우 관리자 단말(400)로 랜섬웨어 알람 이벤트를 전송할 수 있다. 알람부(330)는, 사용자 단말(100)의 파일로 접근(Access)하는 로그를 이용하여 파일 접근을 제어하는 방법을 더 수행할 수도 있다. 본 발명의 시스템(1)은, 로그 수집 서브시스템, 파일 접근 분류 학습 서브시스템, 파일 접근 제어 서브시스템을 더 포함할 수도 있고, 로그 수집 서브시스템은 안전성이 확인된 다수의 PC들로 구성되어 있으며, 서브시스템에 있는 PC들에서 실행된 프로세스들로부터 파일 접근 로그를 수집할 수 있다. 이렇게 수집한 파일 접근들은 모두 안전한 것으로 간주한다. 파일 접근 분류 서브시스템에서는 로그 수집 서브시스템과 파일 접근 제어 서브시스템에서 수집한 파일 접근 로그를 바탕으로 파일 접근에 대한 화이트리스트를 만든다. 파일 접근 제어 서브시스템에서 수집한 차단 로그들은 필요한 경우 제어자의 판단에 따라 허용해 줄 수 있도록 한다. 파일 접근 제어 서브시스템 또한 다수의 PC로 이루어지며, 이들 PC에서는 화이트리스트를 바탕으로 파일 접근을 허용 또는 차단하는 여부를 결정한다.
알람부(330)는, 파일 접근 차단이 이루어진 경우, 파일 접근 차단 로그를 기록한다. 로그 수집 서브시스템의 로그들에 차단 로그들 중에서 추가로 관리자가 허용한 로그들을 바탕으로 화이트리스트를 생성하기 때문에 로그 수집 서브시스템의 파일 접근 환경과 파일 접근 제어 서브시스템의 파일 접근 환경이 서로 유사해진다. 각 서브시스템은 역할이 각자 다르고, 해당 환경을 구성하는 PC의 수를 필요에 따라 유동적으로 조절할 수 있도록 하기 위해 서로 분리할 수 있다. 각 서브시스템 간 파일 전송은 네트워크를 이용할 수 있다.
<로그 수집 서브시스템>
로그 수집 서브시스템은 파일 접근을 로깅하는 DLL(Dynamic Link Library) 파일, 프로세스의 실행을 감지해 해당 DLL을 주입하는 프로세스 모니터, 파일 접근 로그 파일들을 주기적으로 자동 전송하는 스크립트 3가지로 구성될 수 있다. 우선 파일 접근을 로깅하는 DLL 파일은 ntdll.dll 내부의 ZwReadFile과 같은 파일 접근 API를 후킹하고 이를 로그로 남긴다. 로그에는 프로세스의 프로그램 이름, 파일 접근 함수 종류, 접근하려는 파일의 확장자 등의 정보가 존재한다. 로그는 JSON 형식을 사용할 수 있으나 이에 한정되지는 않는다. 프로세스 모니터는 운영체제가 시작되는 시점에 자동으로 실행되며, OS(Operating System)로부터 실행되는 프로세스를 탐지하여 미리 작성한 DLL을 주입한다. 마지막으로 수집한 파일 접근 로그 파일들을 작업 스케줄링 프로그램을 통해 주기적으로 파일 접근 분류 학습 서브시스템에 전송한다. 로그 파일들은 zip으로 압축되어 네트워크를 통해 전송된다. 프로세스 모니터에서는 프로세스를 런타임에 메모리 레벨에서 후킹(Hooking)하는데, 이러한 기술들 중 하나로 오픈소스인 Detours가 있다. 이때, 후킹이란 운영체제나 응용 소프트웨어 등의 각종 컴퓨터 프로그램에서 소프트웨어 구성 요소 간에 발생하는 함수 호출, 메시지, 이벤트 등을 중간에서 바꾸거나 가로채는 명령, 방법, 기술이나 행위를 의미한다. 간섭된 함수 호출, 이벤트, 메시지를 처리하는 코드를 후크라 하며, 쉽게 설명하면 갈고리처럼 특정 함수 코드를 가로채서 원하는 행위를 한 후 원래의 코드로 돌려주는 기법이다. DLL 주입 후 메모리가 수정되어 후킹 함수가 호출된다.
<파일 접근 분류 서브시스템>
파일 접근 화이트리스트를 위해 ABAC(Attribute Based Access Control) 정책을 이용할 수 있다. ABAC란 어떤 대상들에게 동작을 요청하는 주체에게 주체와 대상, 그리고 환경의 속성 정보들을 바탕으로 구성된 정책을 따라 해당 동작을 승인하거나 거부하는 접근 제어 방법이다. 파일 접근 분류 서브시스템은 두 가지 다른 서브시스템에서 수집한 파일 접근 로그들을 바탕으로 ABAC 정책 형태의 화이트리스트를 만든다. 주체는 파일 접근을 요청하는 NPE(Non- Person Entity)인 프로세스이고, 대상은 프로세스가 접근하고자 하는 파일이다. 해당 서브시스템에서는 우선 파일 접근 로그를 읽어 프로그램 이름과 파일 접근 함수 이름, 접근한 파일의 확장자 등의 속성 정보 튜플(Tuple)을 구성한다. 다음으로 이를 기존에 존재하는 화이트리스트에서 찾는다. 해당 튜플이 이미 화이트리스트에 존재하는 경우에는 중복하여 추가하지 않고 다음 로그를 읽는다. 만약 해당 규칙이 없었다면 새로운 규칙으로 추가한다.
<파일 접근 제어 서브시스템>
파일 접근 제어 서브시스템은 로그 수집 서브시스템과 유사하게 파일 접근 차단 여부를 정하는 DLL 파일, 프로세스 모니터, 파일 접근 차단 로그들을 주기적으로 전송하는 자동화 스크립트가 포함되며, 추가로 파일 접근을 차단한 경우 사용자에게 표시하는 팝업 UI까지 총 4가지 컴포넌트들로 구성된다. 파일 접근 허용 또는 차단은 프로세스 모니터에 의해 삽입된 DLL에서 결정될 수 있다. OS에서 프로세스가 실행되면 프로세스 모니터가 이를 감지하여 DLL을 삽입한다. 프로세스가 파일 접근 API(Application Programming Interface)를 호출하면 DLL에서 미리 정의한 후킹 함수를 대신 호출한다. 후킹 함수에서는 화이트리스트에서 해당 프로세스가 요청하는 접근을 허용할지 확인한다. 화이트리스트에서 허용하는 접근인 경우, 실제 API 함수를 호출하여 그 결과를 반환한다. 허용하는 접근이 아닌 경우, 파일 접근 차단 로그를 기록하며 사용자에게 파일 접근이 차단되었음을 알려주는 팝업 UI를 표시한다. 마지막으로 API 함수 호출 실패 결과를 반환한다.
백신중지방지부(340)는, 적어도 하나의 프로세스를 화이트 리스트로 설정하고, 사용자 단말(100)에서 적어도 하나의 프로세스가 중단되는 경우 사용자 단말(100)에서 사용자 인증 데이터가 입력되지 않으면 중단을 허용하지 않을 수 있다. 이때, 화이트 리스트에 대해서는 본 출원인의 선등록특허 제10-2259760호(2021년06월02일 공고)에 개시되어 있으므로 상세히 설명하지 않는다. 선등록특허와 다른 점은, 사용자의 사용자 인증 데이터가 입력되지 않으면 해커나 랜섬웨어의 공격을 허용하지 않는다는 점이다.
파일삭제방지부(350)는, 적어도 하나의 파일을 화이트 리스트로 설정하고, 사용자 단말(100)에서 적어도 하나의 파일이 삭제되려고 시도되는 경우 사용자 단말(100)에서 사용자 인증 데이터가 입력되지 않으면 삭제를 허용하지 않을 수 있다.
확장자변경감지부(360)는, 사용자 단말(100)에서 파일의 확장자를 변경하려고 시도하는 경우, 사용자 단말(100)에서 사용자 인증 데이터가 입력되는지의 여부를 파악할 수 있다.
변경알림부(370)는, 사용자 단말(100)에서 파일의 확장자가 변경된 경우, 실시간으로 관리자 단말(400)로 로그를 전송하면서 알람을 전송할 수 있다. 이렇게 이미 변경이 되버린 경우에는 파일이 암호화되어 키가 없으면 복호화할 수 없다. 이를 위하여 본 발명의 일 실시예에서는 랜섬웨어의 암호키 생성 시 난수 생성 함수를 이용하여 복호화를 할 수 있다.
예를 들어, Ragnar Locker 랜섬웨어는 메모리 분석을 통해 암호키 생성에 사용된 씨드(Seed)와 파일 암호키의 획득이 어렵다. 또한, 암호키를 추측하더라도 암호키에 대한 인증자가 없어 데이터 복호화를 진행하여 추측한 암호키를 검증해야 한다. Ragnar Locker는 암호키 생성 시 난수 생성 함수인 CryptGenRandom 함수와 SHA512 해시 함수를 사용하여 Seed1과 Seed2를 생성한다. CryptGenRandom 함수는 암호학적으로 랜덤한 난수 발생기이며, SHA512 해시 함수 또한 암호학적으로 안전한 해시 알고리즘이다. 즉, Seed1과 Seed2를 찾는 것은 r1과 r2를 전수조사하는 것과 동일하며, 이는 40바이트의 Seed1과 32바이트의 Seed2를 랜덤하게 추측하는 것과 동일하다. 또한, Salsa20의 초기상태(Initial State)는 64바이트이므로 이를 전수조사하는 방법도 존재한다. Ragnar Locker는 초기상태의 키(Key), 논스(Nonce), 고정문자열을 Seed1과 Seed2를 통해 랜덤하게 생성하므로 0으로 고정되는 포지션(Position)값을 제외하면, 56바이트를 전수조사해야 한다. 해당 계산량은 약 2448 정도가 요구되므로 현실적으로 전수조사가 불가능하다. 하지만 Ragnar Locker 랜섬웨어는 모든 파일에 대해 동일한 암호 키를 사용하여 스트림 암호 알고리즘으로 암호화한다. 따라서 키 재사용 공격(Key Reuse Attack)을 활용하면 공격자의 개인키 없이도 감염된 파일을 복호화 할 수 있다.
키 재사용 공격을 활용하기 위해 Ragnar Locker에 감염된 파일에 대응되는 원본 파일이 필요하다. 해당 파일을 통해 파일 암호화에 사용된 키 스트림을 획득할 수 있다. 획득한 키 스트림을 이용하면 다른 감염된 파일의 복호화가 가능하다. 이때, 획득한 키 스트림의 길이가 복호화 대상 파일의 크기보다 작은 경우, 키 스트림의 크기만큼만 복호화가 가능하다. 분석한 내용을 바탕으로 감염된 파일로부터 원본 파일을 복호화하는 알고리즘은 감염된 두 개의 파일 File1, File2와 그중 File1의 원본 파일인 Original File을 입력으로 한다. 입력받은 File1과 Original File을 통해 키 스트림을 획득하고, 해당 키 스트림으로 File2를 복호화하는 방식으로 동작한다.
감염 파일 복호화 알고리즘에 따라 실제 감염 파일을 복호화하는 과정은 다음과 같이 진행된다. 감염 파일 복호화 알고리즘과 같이 감염 파일 File1과 그에 대응되는 원본 파일인 Original File을 XOR 연산하여 키 스트림을 획득한다. 감염 파일 복호화 알고리즘에서 복호화 가능한 파일의 길이가 결정된다. 획득한 키 스트림의 길이가 감염된 파일의 길이보다 큰 경우에는 해당 파일 전체를 복호화할 수 있다. 하지만 키 스트림의 길이보다 감염된 파일의 길이가 더 큰 경우, 키 스트림 길이만큼만 복호화가 가능하다. 이후, 획득한 키 스트림과 암호화된 파일을 XOR 연산하여 원본 파일을 획득할 수 있다. 스트림 암호 알고리즘의 키 재사용 공격을 활용하면 암호화 시 사용된 암호키 없이도 데이터의 복호화가 가능하다. 실제 Ragnar Locker 랜섬웨어의 경우, 하이브리드 암호 시스템을 사용했지만, 스트림 암호에 동일한 키를 사용하여 키 재사용 공격이 가능하다. 해당 취약점은 블록 암호에도 적용될 수 있다. 블록 암호의 운용모드 중 CTR 모드와 OFB 모드는 스트림 암호와 유사하게 암호키를 통해 키 스트림을 생성하고 이를 평문과 XOR 하는 방식으로 동작한다. 따라서 블록 암호 알고리즘에 동일한 암호키와 IV(Initial Vector)를 사용하면 키 재사용 공격이 가능하다. 이와 같이 랜섬웨어뿐 아니라 다양한 환경에서 키를 반복 사용하는 경우, 상술한 복호화 방안을 적용할 수 있다. 따라서 암호키 없이 암호화된 데이터의 복호화 가능성을 높일 수 있다.
이하, 상술한 도 2의 차단 서비스 제공 서버의 구성에 따른 동작 과정을 도 3 및 도 4를 예로 들어 상세히 설명하기로 한다. 다만, 실시예는 본 발명의 다양한 실시예 중 어느 하나일 뿐, 이에 한정되지 않음은 자명하다 할 것이다.
도 3을 참조하면, (a) 차단 서비스 제공 서버(300)는 사용자 인증 데이터를 사용자 단말(100)로부터 입력받고 (b) 사용자 단말(100)에서 파일에 대한 암호화가 시도되려고 할 때 사용자 인증 데이터를 입력하지 않으면 암호화를 허용하지 않는다. (c) 또한 화이트 리스트를 관리함으로써 도 4의 (a)와 같이 백신과 같이 랜섬웨어를 막는 프로그램이 중단되거나 (b)와 같이 파일의 삭제를 시도하는 경우 이를 감지하여 (c) 사용자 인증 데이터가 입력되지 않는 경우에는 프로그램은 그대로 유지하여 백신 프로그램으로 랜섬웨어를 막도록 하고 파일 삭제를 막아 중요 문서가 유출되거나 없어지는 일이 없도록 한다. 또, 본 발명의 일 실시예에서는 에이전트(Agent) 또는 에이전트리스(Agentless) 두 형태 모두 구현될 수 있다.
이와 같은 도 2 내지 도 4의 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1을 통해 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
도 5는 본 발명의 일 실시예에 따른 도 1의 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템에 포함된 각 구성들 상호 간에 데이터가 송수신되는 과정을 나타낸 도면이다. 이하, 도 5를 통해 각 구성들 상호간에 데이터가 송수신되는 과정의 일 예를 설명할 것이나, 이와 같은 실시예로 본원이 한정 해석되는 것은 아니며, 앞서 설명한 다양한 실시예들에 따라 도 5에 도시된 데이터가 송수신되는 과정이 변경될 수 있음은 기술분야에 속하는 당업자에게 자명하다.
도 5를 참조하면, 차단 서비스 제공 서버는, 사용자 단말로부터 사용자 인증 데이터를 수신하여 사용자 단말과 매핑하여 저장하고(S5100), 사용자 단말에서 파일의 암호화 시도가 존재하는 경우 사용자 단말을 모니터링한다(S5200).
또, 차단 서비스 제공 서버는, 사용자 인증 데이터가 사용자 단말에 입력되지 않고 암호화 시도가 존재하는 경우 관리자 단말로 랜섬웨어 알람 이벤트를 전송한다(S5300).
상술한 단계들(S5100~S5300)간의 순서는 예시일 뿐, 이에 한정되지 않는다. 즉, 상술한 단계들(S5100~S5300)간의 순서는 상호 변동될 수 있으며, 이중 일부 단계들은 동시에 실행되거나 삭제될 수도 있다.
이와 같은 도 5의 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1 내지 도 4를 통해 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
도 5를 통해 설명된 일 실시예에 따른 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 방법은, 컴퓨터에 의해 실행되는 애플리케이션이나 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다.
전술한 본 발명의 일 실시예에 따른 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 방법은, 단말기에 기본적으로 설치된 애플리케이션(이는 단말기에 기본적으로 탑재된 플랫폼이나 운영체제 등에 포함된 프로그램을 포함할 수 있음)에 의해 실행될 수 있고, 사용자가 애플리케이션 스토어 서버, 애플리케이션 또는 해당 서비스와 관련된 웹 서버 등의 애플리케이션 제공 서버를 통해 마스터 단말기에 직접 설치한 애플리케이션(즉, 프로그램)에 의해 실행될 수도 있다. 이러한 의미에서, 전술한 본 발명의 일 실시예에 따른 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 방법은 단말기에 기본적으로 설치되거나 사용자에 의해 직접 설치된 애플리케이션(즉, 프로그램)으로 구현되고 단말기에 등의 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (6)

  1. 사용자 인증 데이터를 등록하고, 파일이 암호화되는 경우 상기 사용자 인증 데이터의 입력으로 인증이 된 후 암호화를 허용하는 사용자 단말; 및
    상기 사용자 단말로부터 사용자 인증 데이터를 수신하여 상기 사용자 단말과 매핑하여 저장하는 저장부, 상기 사용자 단말에서 파일의 암호화 시도가 존재하는 경우 상기 사용자 단말을 모니터링하는 모니터링부, 상기 사용자 인증 데이터가 상기 사용자 단말에 입력되지 않고 암호화 시도가 존재하는 경우 관리자 단말로 랜섬웨어 알람 이벤트를 전송하는 알람부, 적어도 하나의 프로세스를 화이트 리스트로 설정하고, 상기 사용자 단말에서 상기 적어도 하나의 프로세스가 중단되는 경우 상기 사용자 단말에서 상기 사용자 인증 데이터가 입력되지 않으면 중단을 허용하지 않고, 해커나 랜섬웨어의 공격을 허용하지 않는 백신중지방지부, 상기 사용자 단말에서 해커나 랜섬웨어에 의한 파일의 확장자를 변경하려고 시도하는 경우, 상기 사용자 단말에서 사용자 인증 데이터가 입력되는지의 여부를 파악하는 확장자변경감지부, 상기 사용자 단말에서 파일의 확장자가 변경된 경우, 실시간으로 관리자 단말로 로그를 전송하면서 알람을 전송하는 변경알림부가 구비되는 차단 서비스 제공 서버;로 이루어지는 공지된 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템에 있어서,
    상기 차단 서비스 제공 서버는
    적어도 하나의 파일을 화이트 리스트로 설정하고, 상기 사용자 단말에서 해커나 랜섬웨어에 의한 상기 적어도 하나의 파일을 삭제하려는 시도가 있는 경우 상기 사용자 단말에서 상기 사용자 인증 데이터가 입력되지 않으면 삭제를 허용하지 않는 파일삭제방지부;를 포함하는 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
KR1020210109451A 2021-08-19 2021-08-19 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템 KR102403303B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210109451A KR102403303B1 (ko) 2021-08-19 2021-08-19 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210109451A KR102403303B1 (ko) 2021-08-19 2021-08-19 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템

Publications (1)

Publication Number Publication Date
KR102403303B1 true KR102403303B1 (ko) 2022-05-30

Family

ID=81800148

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210109451A KR102403303B1 (ko) 2021-08-19 2021-08-19 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템

Country Status (1)

Country Link
KR (1) KR102403303B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170030866A (ko) * 2015-09-10 2017-03-20 김준유 본인 인증 방법, 장치 및 컴퓨터 프로그램
KR20170119903A (ko) * 2016-04-20 2017-10-30 닉스테크 주식회사 랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치
KR20180030328A (ko) * 2016-09-13 2018-03-22 삼성전자주식회사 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법
KR20200052524A (ko) * 2018-11-07 2020-05-15 주식회사 이스트시큐리티 위장 프로세스를 이용한 랜섬웨어 행위 탐지 및 방지 장치, 이를 위한 방법 및 이 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170030866A (ko) * 2015-09-10 2017-03-20 김준유 본인 인증 방법, 장치 및 컴퓨터 프로그램
KR20170119903A (ko) * 2016-04-20 2017-10-30 닉스테크 주식회사 랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치
KR20180030328A (ko) * 2016-09-13 2018-03-22 삼성전자주식회사 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법
KR20200052524A (ko) * 2018-11-07 2020-05-15 주식회사 이스트시큐리티 위장 프로세스를 이용한 랜섬웨어 행위 탐지 및 방지 장치, 이를 위한 방법 및 이 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체

Similar Documents

Publication Publication Date Title
US10554420B2 (en) Wireless connections to a wireless access point
CN106104562B (zh) 机密数据安全储存和恢复系统及方法
US9639711B2 (en) Systems and methods for data verification and replay prevention
CN110417750B (zh) 基于区块链技术的文件读取和存储的方法、终端设备和存储介质
US8595810B1 (en) Method for automatically updating application access security
KR102308846B1 (ko) 복수의 장치로부터 데이터에 액세스하기 위한 시스템
EP2992477B1 (en) User and system authentication in enterprise systems
US20220078017A1 (en) Authorized Data Sharing Using Smart Contracts
CN113474774A (zh) 用于认可新验证器的系统和方法
US8953805B2 (en) Authentication information generating system, authentication information generating method, client apparatus, and authentication information generating program for implementing the method
US8904504B2 (en) Remote keychain for mobile devices
CN110445840B (zh) 一种基于区块链技术的文件存储和读取的方法
US11757877B1 (en) Decentralized application authentication
US20210390533A1 (en) User-Centric, Blockchain-Based and End-to-End Secure Home IP Camera System
Alaca et al. Comparative analysis and framework evaluating web single sign-on systems
EP4096147A1 (en) Secure enclave implementation of proxied cryptographic keys
CN111914270A (zh) 基于区块链技术的可编程认证服务方法和系统
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
Binu et al. A mobile based remote user authentication scheme without verifier table for cloud based services
KR102403303B1 (ko) 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템
WO2022144024A1 (en) Attribute-based encryption keys as key material for key-hash message authentication code user authentication and authorization
CA3172049A1 (en) Exporting remote cryptographic keys
US10756899B2 (en) Access to software applications
Nishimura et al. Secure authentication key sharing between personal mobile devices based on owner identity
Fan et al. Ucam: A User-Centric, Blockchain-Based and End-to-End Secure Home IP Camera System

Legal Events

Date Code Title Description
AMND Amendment
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant