KR102433435B1 - Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware - Google Patents
Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware Download PDFInfo
- Publication number
- KR102433435B1 KR102433435B1 KR1020200186971A KR20200186971A KR102433435B1 KR 102433435 B1 KR102433435 B1 KR 102433435B1 KR 1020200186971 A KR1020200186971 A KR 1020200186971A KR 20200186971 A KR20200186971 A KR 20200186971A KR 102433435 B1 KR102433435 B1 KR 102433435B1
- Authority
- KR
- South Korea
- Prior art keywords
- restoration
- iot device
- iot
- disk
- control signal
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
- G06F11/142—Reconfiguring to eliminate the error
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1448—Management of the data involved in backup or backup restore
- G06F11/1451—Management of the data involved in backup or backup restore by selection of backup contents
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/12—Arrangements for remote connection or disconnection of substations or of equipment thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
- Retry When Errors Occur (AREA)
Abstract
사물인터넷이나 산업제어시스템 환경에서 랜섬웨어에 감염되지 않은 동종 기기의 디스크의 내용을 복제하여 피해 기기를 복원하는 피어투피어(P2P) 디스크 복원 방법 및 장치가 개시된다. 네트워크에 연결되는 복원 관리 서버에 의해 실행되는 감염 디스크의 복원을 위한 P2P 디스크 복원 방법으로서, 네트워크 내에서 랜섬웨어나 맬웨어에 감염된 제1 IoT 기기에 연결되어 있는 제1 복원 기기를 활성화하는 단계, 제1 복원 기기로부터 제1 IoT 기기와 동종의 제2 IoT 기기의 탐색 요청을 받는 단계, 탐색 요청에 포함된 제1 IoT 기기에 대한 기기 정보에 기초하여 네트워크 내 제2 IoT 기기를 탐색하는 단계, 및 제1 IoT 기기의 복원 요청을 기탐색된 제2 IoT 기기에 연결된 제2 복원 기기에 전달하는 단계를 포함한다.Disclosed are a peer-to-peer (P2P) disk restoration method and apparatus for restoring a damaged device by cloning the contents of a disk of the same type of device that is not infected with ransomware in an Internet of Things or industrial control system environment. A P2P disk restoration method for restoration of an infected disk executed by a restoration management server connected to a network, the method comprising: activating a first restoration device connected to a first IoT device infected with ransomware or malware in a network; 1 Receiving a search request for a second IoT device of the same type as the first IoT device from the restoration device, searching for a second IoT device in the network based on device information on the first IoT device included in the discovery request, and and transmitting the restoration request of the first IoT device to a second restoration device connected to the previously discovered second IoT device.
Description
본 발명은 피어-투-피어(pear to pear, P2P) 디스크 복원을 이용한 랜섬웨어 피해 복원 방법에 관한 것으로, 보다 상세하게는 사물인터넷(internet of thing, IoT)이나 산업제어시스템(industry control system, ICS) 환경에서 랜섬웨어에 감염되지 않은 동종 기기의 디스크의 내용을 복제하여 피해 기기를 복원하는 P2P 디스크 복원 방법 및 장치에 관한 것이다.The present invention relates to a method of restoring ransomware damage using a peer-to-peer (P2P) disk restoration, and more particularly, to an Internet of things (IoT) or an industry control system, It relates to a P2P disk restoration method and apparatus for restoring a damaged device by duplicating the contents of the disk of the same type of device that is not infected with ransomware in the ICS) environment.
컴퓨터 시스템을 강제로 잠그거나 파일을 암호화하여 금전을 지불해야 잠금 해제 형태 또는 파일을 복호화해 주는 형태의 악성코드인 '랜섬웨어(ransomware)'는 개인 사용자뿐만 아니라 기업, 산업 시설 또는 기간 시설에도 피해를 주고 있다. 이에 따라 랜섬웨어를 탐지하는 연구와 랜섬웨어 피해를 복원하는 방법에 대한 다양한 연구가 대두되고 있다.'Ransomware', a type of malware that forcibly locks computer systems or encrypts files and requires payment to unlock or decrypt files, damages not only individual users but also businesses, industrial facilities, or infrastructure. is giving Accordingly, various studies on how to detect ransomware and how to restore ransomware damage are emerging.
하지만 대부분의 기존 연구는 백업을 통해 피해를 복원하거나 SSD(solid state dirve) 등의 특정한 디스크의 사용을 필요로 하기 때문에, 사물인터넷 환경이나 스마트 팩토리(smart factory) 등의 산업제어시스템 환경에서 이를 적용하기가 어렵다는 단점이 있다.However, since most existing studies require the use of a specific disk such as a solid state drive (SSD) or restore damage through backup, it is applied in an industrial control system environment such as an Internet of Things environment or a smart factory. The downside is that it is difficult to do.
본 발명은 종래 기술의 문제점을 해결하기 위해 도출된 것으로, 본 발명의 목적은 사물인터넷이나 스마트 팩토리 등의 산업제어시스템 환경에서 하나 이상의 IoT(internet of thing) 기기가 랜섬웨어에 감염되었을 때 랜섬웨어에 감염되지 않은 다른 동종 기기를 이용하여 감염된 기기의 디스크를 복원할 수 있는, 랜섬웨어 피해 복원을 위한 P2P(pear to pear) 디스크 복원 방법 및 장치를 제공하는데 있다.The present invention was derived to solve the problems of the prior art, and an object of the present invention is when one or more Internet of Things (IoT) devices are infected with ransomware in an industrial control system environment such as the Internet of Things or a smart factory. An object of the present invention is to provide a P2P (pear to pear) disk restoration method and apparatus for restoring ransomware damage, which can restore the disk of an infected device using other homogeneous devices that are not infected with .
본 발명의 다른 목적은, 사물인터넷이나 스마트 팩토리에서 기기의 동작을 유지하는데 필요한 시스템 소프트웨어 또는 필수 어플리케이션까지 복원할 수 있는, 랜섬웨어 피해 복원을 위한 P2P 디스크 복원 방법 및 장치를 제공하는데 있다.Another object of the present invention is to provide a P2P disk restoration method and apparatus for restoring ransomware damage, which can restore system software or essential applications required to maintain the operation of a device in the Internet of Things or a smart factory.
상기 기술적 과제를 해결하기 위한 본 발명의 일 측면에 따른 랜섬웨어 피해 복원을 위한 P2P(pear to pear) 디스크 복원 방법은, 네트워크에 연결되는 복원 관리 서버에 의해 실행되는, 랜섬웨어나 맬웨어에 의해 감염된 디스크의 복원을 위한 P2P(pear to pear) 디스크 복원 방법으로서, 네트워크 내에서 랜섬웨어나 맬웨어에 감염된 제1 IoT(internet of thing) 기기에 연결되어 있는 제1 복원 기기를 활성화하는 단계; 상기 제1 복원 기기로부터 상기 제1 IoT 기기와 동종의 제2 IoT 기기의 탐색 요청을 받는 단계; 상기 탐색 요청에 포함된 상기 제1 IoT 기기에 대한 기기 정보에 기초하여 상기 네트워크 내 상기 제2 IoT 기기를 탐색하는 단계; 및 상기 제1 IoT 기기의 복원 요청을 탐색된 제2 IoT 기기에 연결된 제2 복원 기기에 전달하는 단계를 포함한다.A P2P (pear to pear) disk restoration method for restoring ransomware damage according to an aspect of the present invention for solving the above technical problem is executed by a restoration management server connected to a network, infected by ransomware or malware A P2P (pear to pear) disk restoration method for disk restoration, comprising: activating a first restoration device connected to a first Internet of Thing (IoT) device infected with ransomware or malware in a network; receiving a search request for a second IoT device of the same type as the first IoT device from the first restoration device; discovering the second IoT device in the network based on device information on the first IoT device included in the discovery request; and transmitting the restoration request of the first IoT device to a second restoration device connected to the discovered second IoT device.
일실시예에서, 상기 제2 복원 기기의 동작 제어에 의해 상기 제2 IoT 기기는 자신의 주저장장치에 저장된 청크 또는 펌웨어를 복사하여 상기 제1 IoT 기기의 주저장장치에 실시간 덮어쓰기한다.In an embodiment, by controlling the operation of the second restoration device, the second IoT device copies the chunk or firmware stored in its primary storage device and overwrites it in real time on the primary storage device of the first IoT device.
일실시예에서, P2P 디스크 복원 방법은, 상기 네트워크에서 주저장장치의 복원에 의한 상기 제1 IoT 기기의 정상 상태가 감지되면, 상기 제1 복원 기기 및 상기 제2 복원 기기의 작동을 종료하는 단계를 더 포함한다.In one embodiment, the P2P disk restoration method includes terminating the operations of the first restoration device and the second restoration device when a normal state of the first IoT device is detected by restoration of the primary storage device in the network. further includes
상기 기술적 과제를 해결하기 위한 본 발명의 다른 측면에 따른 랜섬웨어 피해 복원을 위한 P2P 디스크 복원 방법은, 네트워크에 연결되는 복원 기기에 의해 실행되는, 랜섬웨어나 맬웨어에 의해 감염된 디스크의 복원을 위한 P2P(pear to pear) 디스크 복원 방법으로서, 네트워크 내에서 랜섬웨어나 맬웨어에 감염된 제1 IoT(internet of thing) 기기에 연결되고 상기 네트워크에 연결되어 있는 복원 관리 서버로부터 활성화를 위한 제1 제어 신호를 수신하는 단계; 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 상기 복원 관리 서버에 전송하는 단계; 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기의 시스템 소프트웨어로서 기능하는 단계; 상기 탐색 요청에 포함된 상기 제1 IoT 기기에 대한 기기 정보에 기초하여 상기 네트워크에 연결된 복원 관리 서버에 의해 탐색된 상기 제2 IoT 기기로부터의 상기 제1 IoT 기기의 주저장장치에 대한 덮어쓰기를 허용하는 단계; 및 상기 덮어쓰기가 완료되면 상기 제1 IoT 기기를 재부팅하는 단계를 포함한다.The P2P disk restoration method for restoring ransomware damage according to another aspect of the present invention for solving the above technical problem is a P2P disk restoration method for restoration of a disk infected by ransomware or malware, which is executed by a restoration device connected to a network. (pear to pear) disk restoration method, which is connected to a first internet of thing (IoT) device infected with ransomware or malware in a network and receives a first control signal for activation from a restoration management server connected to the network to do; transmitting a search request for a second IoT device of the same type as the first IoT device to the restoration management server in response to the first control signal; functioning as system software of the first IoT device in response to the first control signal; Overwriting of the main storage device of the first IoT device from the second IoT device discovered by the restoration management server connected to the network based on device information on the first IoT device included in the discovery request allowing; and rebooting the first IoT device when the overwriting is completed.
일실시예에서, P2P 디스크 복원 방법은, 상기 제1 제어 신호에 응하여 자체 저장된 기능 유지 프로그램에 의해 상기 제1 IoT 기기의 재부팅이 완료될 때까지 상기 제1 IoT 기기의 본래 기능을 수행하는 단계를 더 포함한다.In one embodiment, the P2P disk restoration method includes performing the original function of the first IoT device until the reboot of the first IoT device is completed by a self-stored function maintenance program in response to the first control signal. include more
일실시예에서, 상기 제2 IoT 기기에 연결되는 제2 복원 기기는 상기 복원 관리 서버로부터의 제2 제어 신호에 응하여 활성화될 때 그리고 상기 덮어쓰기의 동작을 위해 상기 제2 IoT 기기의 주저장장치의 내용이 수정되는 경우, 상기 덮어쓰기의 동작 시간동안 상기 제2 IoT 기기의 특정 기능의 동작을 한시적으로 중지시킬 수 있다.In an embodiment, when the second restoration device connected to the second IoT device is activated in response to a second control signal from the restoration management server, and for the overwrite operation, the main storage device of the second IoT device When the contents of is modified, the operation of the specific function of the second IoT device may be temporarily stopped during the overwrite operation time.
일실시예에서, 상기 복원 기기는 자체 저장된 데이터 로그 프로그램에 의해 상기 제1 IoT 기기의 정상 동작 상태에서 상기 제1 IoT 기기의 데이터 부분 내용이 수정될 때 해당 수정 오퍼레이션에 대한 내용을 로그로 별도의 자체 저장 공간에 저장하고, 상기 덮어쓰기의 완료 후에 상기 저장 공간에 저장된 로그에 기초하여 상기 제1 IoT 기기의 데이터를 복구할 수 있다.In one embodiment, when the data part content of the first IoT device is modified in the normal operating state of the first IoT device by the self-stored data log program, the restoration device records the contents of the corresponding modification operation as a log separately. It is stored in its own storage space, and after the overwriting is completed, the data of the first IoT device may be recovered based on the log stored in the storage space.
상기 기술적 과제를 해결하기 위한 본 발명의 또 다른 측면에 따른 랜섬웨어 피해 복원을 위한 P2P 디스크 복원 장치는, 네트워크에 연결되는 복원 관리 서버와 복원 기기를 포함하는, 랜섬웨어나 맬웨어에 의해 감염된 제1 IoT(internet of thing) 기기의 주저장장치의 복원을 위한 P2P(pear to pear) 디스크 복원 장치이다. 여기서, 상기 복원 기기는, 상기 복원 관리 서버로부터 제1 제어 신호를 수신하고, 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 상기 복원 관리 서버에 전송하고, 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기의 시스템 소프트웨어로서 기능하며, 상기 탐색 요청에 포함된 상기 제1 IoT 기기에 대한 기기 정보에 기초하여 상기 복원 관리 서버에 의해 탐색된 제2 IoT 기기로부터의 상기 제1 IoT 기기의 주저장장치에 대한 덮어쓰기를 허용하고, 상기 덮어쓰기가 완료되면 상기 제1 IoT 기기를 재부팅하는 복원 프로그램; 및 상기 제1 제어 신호 또는 별도의 트리거 신호나 액티베이션 신호에 기초하여 상기 복원 기기에 전원을 공급하여 상기 복원 기기를 활성화하는 원격 전원을 포함한다.A P2P disk restoration apparatus for restoring ransomware damage according to another aspect of the present invention for solving the above technical problem includes a restoration management server connected to a network and a restoration device, the first infected by ransomware or malware It is a P2P (pear to pear) disk restoration device for restoration of a main storage device of an IoT (internet of thing) device. Here, the restoration device receives a first control signal from the restoration management server, and transmits a search request for a second IoT device of the same type as the first IoT device to the restoration management server in response to the first control signal and a second IoT that functions as system software of the first IoT device in response to the first control signal, and is discovered by the restoration management server based on device information on the first IoT device included in the discovery request. a restoration program that allows overwriting of the main storage device of the first IoT device from a device and reboots the first IoT device when the overwriting is completed; and a remote power supply for activating the restoration device by supplying power to the restoration device based on the first control signal or a separate trigger signal or activation signal.
일실시예에서, P2P 디스크 복원 장치는, 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기의 복원 혹은 상기 재부팅이 완료될 때까지 상기 제1 IoT 기기의 본래 기능을 수행하는 기능 유지 프로그램을 더 포함한다.In one embodiment, the P2P disk restoration device further includes a function maintenance program for performing the original function of the first IoT device until the restoration or the rebooting of the first IoT device is completed in response to the first control signal do.
일실시예에서, P2P 디스크 복원 장치는, 상기 제1 IoT 기기의 정상 동작 상태에서 상기 제1 IoT 기기의 데이터 부분 내용이 수정될 때 해당 수정 오퍼레이션에 대한 내용을 로그로 저장하고, 상기 덮어쓰기의 완료 후에 기저장된 상기 로그에 기초하여 상기 제1 IoT 기기의 데이터를 복구하는 데이터 로그 프로그램; 및 상기 데이터 로그 프로그램에 의해 지정되는 로그를 저장하는 저장 공간을 더 포함할 수 있다.In an embodiment, the P2P disk restoration apparatus stores the contents of the corresponding modification operation as a log when the contents of the data part of the first IoT device are modified in the normal operating state of the first IoT device, and a data log program for recovering data of the first IoT device based on the log stored in advance after completion; and a storage space for storing a log designated by the data log program.
상기 기술적 과제를 해결하기 위한 본 발명의 또 다른 측면에 따른 랜섬웨어 피해 복원을 위한 P2P 디스크 복원 장치는, 네트워크에 연결되는 복원 관리 서버와 복원 기기를 포함하는, 랜섬웨어나 맬웨어에 의해 감염된 디스크의 복원을 위한 P2P(pear to pear) 디스크 복원 장치이다. 여기서, 상기 복원 관리 서버는, 상기 네트워크 내 제1 IoT 기기의 랜섬웨어 또는 맬웨어 피해 감지에 따라 상기 제1 IoT 기기에 연결된 제1 복원 기기에 전송할 제1 제어 신호를 생성하는 제어신호 생성부; 상기 제1 복원 기기로부터 상기 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 받고, 상기 탐색 요청에 포함된 상기 제1 IoT 기기의 기기 정보를 추출하는 메시지 처리부; 및 상기 제1 IoT 기기의 기기 정보에 기초하여 상기 네트워크 내에서 상기 제2 IoT 기기를 탐색하는 탐색부를 포함한다.A P2P disk restoration apparatus for restoring ransomware damage according to another aspect of the present invention for solving the above technical problem is a disk infected by ransomware or malware, including a restoration management server and a restoration device connected to a network. It is a P2P (pear to pear) disk restoration device for restoration. Here, the restoration management server may include: a control signal generator configured to generate a first control signal to be transmitted to the first restoration device connected to the first IoT device according to the detection of ransomware or malware damage of the first IoT device in the network; a message processing unit receiving a search request for a second IoT device of the same type as the first IoT device from the first restoration device, and extracting device information of the first IoT device included in the discovery request; and a search unit configured to search for the second IoT device in the network based on device information of the first IoT device.
일실시예에서, P2P 디스크 복원 장치는 상기 네트워크 내 상기 제1 IoT 기기의 랜섬웨어 또는 맬웨어 피해를 감지하는 감지부를 더 포함한다. 상기 감지부에서 생성된 출력 신호는 상기 제어신호 생성부에 전달된다.In an embodiment, the P2P disk restoration apparatus further includes a sensing unit for detecting ransomware or malware damage of the first IoT device in the network. The output signal generated by the sensing unit is transmitted to the control signal generating unit.
일실시예에서, 상기 제1 IoT 기기의 주저장장치의 복원에 따라 네트워크 상에서 상기 제1 IoT 기기의 정상 상태가 상기 감지부에 감지되면, 상기 제어신호 생성부는 상기 감지부의 신호에 따라 상기 제1 복원 기기 및 상기 제2 복원 기기의 작동을 종료하기 위한 제어신호나 작동종료신호를 생성할 수 있다.In an embodiment, when the normal state of the first IoT device on the network is sensed by the sensing unit according to the restoration of the main storage device of the first IoT device, the control signal generating unit is the first according to the signal of the sensing unit. A control signal or an operation end signal for terminating the operation of the restoration device and the second restoration device may be generated.
전술한 랜섬웨어 피해 복원을 위한 P2P(pear to pear) 디스크 복원 방법 및 장치를 사용하는 경우에는, 랜섬웨어(Ransomware) 또는 맬웨어(Malware)로 인해 사물인터넷(internet of thing, IoT) 기기나 산업제어시스템의 디스크 내용이 손상되었을 때, 실제 작동하고 있는 다른 동종 기기의 디스크 내용을 복사하여 감염된 기기의 디스크를 효과적으로 복원할 수 있다.In the case of using the P2P (pear to pear) disk restoration method and device for restoring the ransomware damage described above, the Internet of thing (IoT) device or industrial control due to ransomware or malware When the system's disk contents are damaged, the disk of the infected device can be effectively restored by copying the disk contents of other devices of the same type that are actually working.
또한, 본 발명에 의하면, 복원의 소스(source)가 되는 기기의 작동이 랜섬웨어 피해 기기의 디스크 내용을 수정하는 경우, 해당 복원의 소스가 되는 기기의 작동을 한시적으로 중지시키고 그에 의해 덮어쓰기가 수행되는 동안에 복원의 소스의 내용이 변경되는 것을 방지(즉, 소스가 되는 기기의 복원 동작이 스스로의 디스크 내용을 수정하는 것을 방지)함으로써 복원의 소스가 되는 기기의 복원 기기를 이용하여 랜섬웨어 피해 기기의 디스크를 신뢰성있고 신속하게 복원할 수 있다.In addition, according to the present invention, when the operation of the device serving as the source of restoration modifies the disk contents of the ransomware victim device, the operation of the device serving as the source of the restoration is temporarily stopped, thereby preventing overwriting Ransomware damage using the restoration device of the device as the source of the restoration by preventing the contents of the source of the restoration from being changed while it is being performed (that is, preventing the restoration operation of the device as the source from modifying its own disk contents) You can restore your device's disks reliably and quickly.
또한, 본 발명에 의하면, 복원 소스가 되는 기기의 작동을 중지시킬 경우, 복원 기기에 존재하는 필수 프로그램을 실행하여 복원대상 기기의 디스크 복원 과정에도 복원대상 기기가 수행해야 하는 기능을 지속적으로 수행할 수 있도록 하는 효과가 있다.In addition, according to the present invention, when the operation of the device serving as the restoration source is stopped, the essential program existing in the restoration device is executed to continuously perform the function to be performed by the restoration target device even in the disk restoration process of the restoration target device. has the effect of making it possible.
또한, 본 발명에 의하면, 램섬웨어나 맬웨어에 감염된 복원대상 기기에 연결된 복원 기기의 데이터 로그를 통해 복원대상 기기의 특정 데이터 부분을 효과적으로 복원할 수 있다.Also, according to the present invention, it is possible to effectively restore a specific data portion of the restoration target device through the data log of the restoration device connected to the restoration target device infected with ramsomware or malware.
아울러, 본 발명에 의하면, 복원대상 기기가 랜섬웨어나 맬웨어에 감염된 경우, 복원대상 기기에 결합하는 복원 기기를 이용하여 복원대상 기기의 감염된 디스크 내 소프트웨어 시스템을 복원하여 사물인터넷, 스마트 팩토리 내에서 해당 IoT 기기나 산업제어시스템 기기로서 요구되는 필수 기능을 유지할 수 있도록 하는 효과가 있다.In addition, according to the present invention, when the restoration target device is infected with ransomware or malware, the software system in the infected disk of the restoration target device is restored using the restoration device coupled to the restoration target device, and the corresponding device in the Internet of Things and Smart Factory. It has the effect of maintaining essential functions required as IoT devices or industrial control system devices.
도 1은 본 발명의 일실시예에 따른 랜섬웨어 피해 복원을 위한 P2P(pear to pear) 디스크 복원 방법을 구현하는 시스템(이하 간략히 '디스크 복원 장치)의 거시적 IoT 환경 구성을 설명하기 위한 블록도이다.
도 2는 도 1의 디스크 복원 장치에 채용할 수 있는 IoT 기기의 환경 구성을 설명하기 위한 블록도이다.
도 3은 도 2의 IoT 기기와 복원 기기를 예시한 도면이다.
도 4는 도 3의 IoT 기기와 복원 기기의 구성에 대한 개략적인 블록도이다.
도 5 및 도 6은 본 발명의 다른 실시예에 따른 디스크 복원 장치에 대한 작동 원리를 설명하기 위한 구성도들이다.
도 7a 및 도 7b는 도 5의 디스크 복원 장치에 대한 작동 원리를 설명하기 위한 흐름도이다.
도 8은 도 5의 디스크 복원 장치의 복원 기기에 채용할 수 있는 또 다른 제1 구성을 나타낸 블록도이다.
도 9는 도 5의 디스크 복원 장치의 복원 기기에 채용할 수 있는 또 다른 제2 구성을 나타낸 블록도이다.
도 10은 도 5의 디스크 복원 장치의 복원 기기에 채용할 수 있는 또 다른 제3 구성을 나타낸 블록도이다.
도 11은 도 5의 디스크 복원 장치의 복원 관리 서버에 채용할 수 있는 구성을 나타낸 블록도이다.1 is a block diagram for explaining the macroscopic IoT environment configuration of a system (hereinafter briefly referred to as 'disk restoration device) for implementing a P2P (pear to pear) disk restoration method for ransomware damage restoration according to an embodiment of the present invention. .
FIG. 2 is a block diagram illustrating an environment configuration of an IoT device that can be employed in the disk restoration apparatus of FIG. 1 .
3 is a diagram illustrating an IoT device and a restoration device of FIG. 2 .
4 is a schematic block diagram of the configuration of the IoT device and the restoration device of FIG. 3 .
5 and 6 are configuration diagrams for explaining the operating principle of the disk restoration apparatus according to another embodiment of the present invention.
7A and 7B are flowcharts for explaining the operating principle of the disk restoration apparatus of FIG. 5 .
8 is a block diagram showing another first configuration that can be employed in the restoration apparatus of the disk restoration apparatus of FIG. 5 .
9 is a block diagram showing another second configuration that can be employed in the restoration apparatus of the disk restoration apparatus of FIG. 5 .
FIG. 10 is a block diagram showing another third configuration that can be employed in the restoration apparatus of the disk restoration apparatus of FIG. 5 .
11 is a block diagram showing a configuration employable in the restoration management server of the disk restoration apparatus of FIG. 5 .
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Since the present invention can have various changes and can have various embodiments, specific embodiments are illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents and substitutes included in the spirit and scope of the present invention.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.Terms such as first, second, etc. may be used to describe various elements, but the elements should not be limited by the terms. The above terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, a first component may be referred to as a second component, and similarly, a second component may also be referred to as a first component. and/or includes a combination of a plurality of related listed items or any of a plurality of related listed items.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is referred to as being “connected” or “connected” to another component, it may be directly connected or connected to the other component, but it is understood that other components may exist in between. it should be On the other hand, when it is said that a certain element is "directly connected" or "directly connected" to another element, it should be understood that the other element does not exist in the middle.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in the present application are only used to describe specific embodiments, and are not intended to limit the present invention. The singular expression includes the plural expression unless the context clearly dictates otherwise. In the present application, terms such as “comprise” or “have” are intended to designate that a feature, number, step, operation, component, part, or combination thereof described in the specification exists, but one or more other features It is to be understood that this does not preclude the possibility of the presence or addition of numbers, steps, operations, components, parts, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in a commonly used dictionary should be interpreted as having a meaning consistent with the meaning in the context of the related art, and should not be interpreted in an ideal or excessively formal meaning unless explicitly defined in the present application. does not
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the accompanying drawings. In describing the present invention, in order to facilitate the overall understanding, the same reference numerals are used for the same components in the drawings, and duplicate descriptions of the same components are omitted.
본 실시예의 상세 설명에 앞서, 사물인터넷(internet of thing, IoT)이나 산업제어시스템(industry control system, ICS) 환경을 정의하면, 사물인터넷이나 산업제어시스템 환경은 여러 대의 동일한 기기가 사용되고 있는 환경으로서, 시스템 소프트웨어 혹은 필수 어플리케이션의 복원만으로 기기를 정상 동작하게 만들 수 있는 환경을 가리킨다.Prior to the detailed description of this embodiment, if an Internet of thing (IoT) or an industrial control system (ICS) environment is defined, the Internet of Things or an industrial control system environment is an environment in which several identical devices are used. , refers to an environment that can make the device operate normally only by restoring system software or essential applications.
또한, 용어 'IoT 기기'는 수동 작업 없이 유선 혹은 무선 네트워크 상에서 신호 혹은 데이터를 수신하고 전송하는 물리적 기기를 지칭하며, 본 실시예서는 사물인터넷이나 산업제어시스템에서 사용되는 센서, 조절 장치, 네트워크 통신 기기, 로봇 팔의 동작 제어기 등을 포함할 수 있다. 그리고 용어 '디스크'는 주저장장치와 혼용하여 사용될 수 있다.In addition, the term 'IoT device' refers to a physical device that receives and transmits signals or data on a wired or wireless network without manual operation. It may include a device, a motion controller of a robotic arm, and the like. In addition, the term 'disk' may be used interchangeably with the main storage device.
도 1은 본 발명의 일실시예에 따른 랜섬웨어 피해 복원을 위한 P2P(pear to pear) 디스크 복원 방법을 구현하는 시스템(이하 간략히 '디스크 복원 장치)의 거시적 IoT 환경 구성을 설명하기 위한 블록도이다. 도 2는 도 1의 디스크 복원 장치에 채용할 수 있는 IoT 기기의 환경 구성을 설명하기 위한 블록도이다.1 is a block diagram for explaining the macroscopic IoT environment configuration of a system (hereinafter briefly referred to as 'disk restoration device) for implementing a P2P (pear to pear) disk restoration method for ransomware damage restoration according to an embodiment of the present invention. . FIG. 2 is a block diagram illustrating an environment configuration of an IoT device that can be employed in the disk restoration apparatus of FIG. 1 .
도 1을 참조하면, 본 실시예에 따른 디스크 복원 장치은 복수의 IoT 기기들(10 내지 13 및 20 내지 23)과 복원 관리 서버(100)를 포함한다. 디스크 복원 장치은 동종 기기를 포함한 다수의 IoT 기기들이 존재하는 환경에서 IoT 기기들(10 내지 13 및 20 내지 23)에 연결되는 복원 관리 서버(100)를 통해 램섬웨어 피해나 맬웨어 피해를 당한 IoT 기기내 디스크의 복원 관리를 수행한다.Referring to FIG. 1 , the disk restoration apparatus according to the present embodiment includes a plurality of
본 실시예에 따른 IoT 기기(10)는 도 2에 도시한 바와 같이 주저장장치(11)를 포함한다. 주저장장치(11)는 시스템 소프트웨어(12)와 데이터(13)를 저장한다. 본 실시예에서 하나의 IoT 기기(10)는 하나의 복원 기기(15)에 연결되거나 하나의 복원 기기(15)를 포함하도록 구성된다. 복원 기기(15)는 복원 프로그램(16)을 탑재한다. 복원 프로그램(16)은 랜섬웨어나 맬웨어에 감염된 IoT 기기(10)의 디스크를 복원하기 위한 긴급 시스템 소프트웨어의 기능을 포함한다.The
IoT 기기(10)와 복원 기기(15)는 유선 통신이나 무선 통신을 포함한 네트워크를 통해 복원 관리 서버(100)와 신호를 주고받을 수 있다. 본 실시예에서 복원 기기(15)와 복원 관리 서버(100)는 랜섬웨어나 맬웨어에 감염된 IoT 기기(10)의 디스크를 복원하거나 복원 중에 그 기능을 유지하도록 작동한다.The
좀더 상세히 설명하면, 복원 관리 서버(100)는 IoT 기기들 사이의 P2P(pear to pear) 복원을 중개하는 역할을 한다. 복원 관리 서버(100)는 P2P 복원 과정에서 IoT 기기의 사용을 종료하거나, 복원 기기(15)의 동작을 제어하고, 복원 프로그램(16)을 통해 IoT 기기(10)를 부팅하는 동작을 관리할 수 있다. 즉, 복원 관리 서버(100)는 IoT 기기(10)의 종료 및 재부팅과 복원 기기(15)의 동작을 관리할 수 있다.In more detail, the
본 실시예에 의하면, 복원 관리 서버(100)가 P2P 복원 과정에 필요한 IoT 기기들를 제어하나 실제 P2P 복원은 해당 IoT 기기들 사이에서 이루어지므로, 본 실시예의 디스크 복원 장치는 서버가 감염되지 않은 디스크 이미지를 직접 가지고 배포하는 기본 방식에 비해 복원 관리 서버의 부하를 줄일 수 있는 장점이 있다.According to the present embodiment, the
도 3은 도 2의 IoT 기기와 복원 기기를 예시한 도면이다. 도 4는 도 3의 IoT 기기와 복원 기기의 구성에 대한 개략적인 블록도이다.3 is a diagram illustrating an IoT device and a restoration device of FIG. 2 . 4 is a schematic block diagram of the configuration of the IoT device and the restoration device of FIG. 3 .
도 3을 참조하면, 본 실시예에 따른 디스크 복원 장치는 IoT 기기(10)와 복원 기기(15) 및 이들의 연결 수단(14)을 포함한다. IoT 기기(10)는 미노우보드 터봇(MinnowBoard Turbot)으로 구현될 수 있고, 또한 그 변형예에서 미노우보드 터봇과 동일하거나 유사한 기능을 수행하는 수단이나 구성부를 포함하는 장치로 구현될 수 있다.Referring to FIG. 3 , the disk restoration apparatus according to the present embodiment includes an
그리고 복원 기기(15)는 라즈베리 파이 제로(Raspberry pi zero)를 사용하여 구현될 수 있고, 또한 라즈베리 파이 제로와 동일하거나 유사한 기능을 수행하는 수단이나 구성부를 포함하는 장치로 구현될 수 있다.In addition, the
IoT 기기(10)와 복원 기기(15)는 범용직렬버스(universal serial bus, USB)로 연결될 수 있으나, 이러한 연결 수단(14)은 USB로 한정되는 것은 아니며, 다양한 유선 네트워크의 다른 연결 방식들 중 어느 하나 이상이나 기존의 무선 네트워크의 연결 방식 중 어느 하나 이상을 구현한 수단이나 구성부를 선택하여 사용할 수 있다.The
IoT 기기(10)는 SD 카드(secure digital card)를 주저장장치로 사용할 수 있으며, 그 시스템 소프트웨어로는 우분투 서버(Ubuntu server)를 사용할 수 있다. 여기서, IoT 기기(10)는 스마트 팩토리 등을 위한 산업제어시스템 기기를 포함한다.The
전술한 IoT 기기(10)와 복원 기기(15)의 쌍은 IoT 환경이나 산업제어시스템 환경에서 다수개가 존재하는 것으로 가정하고, IoT 기기(10)와 복원 기기(15) 각각은 USB 등의 또 다른 연결 수단을 통해 복원 관리 서버에 연결될 수 있다.It is assumed that a plurality of pairs of the above-described
전술한 디스크 복원 환경에서, 랜섬웨어나 맬웨어 등의 바이러스에 IoT 기기(10)가 감염되면, IoT 기기(10)의 주저장장치에 저장된 내용들은 암화화된다. 특히, 시스템 소프트웨어가 암호화되는 경우, IoT 기기(10)는 부팅이 불가능하게 되고 IoT 기기의 사용이 불가능하게 된다. 따라서 IoT 기기(10)의 복원이 요구된다.In the aforementioned disk restoration environment, when the
IoT 기기(10)를 복원한다는 것은 IoT 기기(10)가 그 기능을 수행할 수 있도록 하는 것을 의미한다. 즉, 도 4에 도시한 바와 같이, IoT 기기(10)의 기능을 수행하기 위해서는 시스템 소프트웨어(12) 및 데이터(13) 내 필수 어플리케이션의 복원이 필수적이다.Restoring the
IoT 기기(10)가 랜섬웨어나 맬웨어에 의해 감염되면, 복원 관리 서버(100)는 복원 기기(15)를 활성화시키고, IoT 기기(10)의 주저장장치(11)를 통한 부팅이 불가능하기 때문에 복원 기기(15)를 통해 IoT 기기(10)의 복원과 부팅을 진행한다. 복원 기기(15)의 복원 프로그램(16)은 주저장장치(11)의 복원을 위한 긴급 복구 프로그램으로서 기능한다.When the
이 때, 복원 기기(15)는 원격 전원(17)을 구비하며, 이를 토대로 복원 관리 서버(100)는 IoT 기기(10)의 복원이 필요할 때만 해당 복원 기기(15)를 작동시킬 수 있다. 즉, 복원 기기(15)는 IoT 기기(10)의 랜섬웨어 피해를 복원하고자 하는 경우에만 원격 전원(17)을 통해 선택적으로 활성화될 수 있다.At this time, the
위에서 설명한 바와 같이, 본 실시예에 따른 디스크 복원 장치에 채용할 수 있는 시스템 환경은 다음과 같다. 복원 관리 서버가 연결되는 네트워크 내에 동일한 시스템 소프트웨어 등을 가진 동종 IoT 기기들이 존재하며, 이러한 IoT 기기들은 시스템의 핵심적인 기능을 수행하고, 그 기능은 별도로 존재하는 복원 관리 서버와 상호작용한다.As described above, the system environment that can be employed in the disk restoration apparatus according to the present embodiment is as follows. Homogeneous IoT devices having the same system software, etc. exist in the network to which the restoration management server is connected, and these IoT devices perform a core function of the system, and the function interacts with the restoration management server that exists separately.
그리고 IoT 기기가 랜섬웨어에 감염되면 해당 IoT 기기는 부팅이 불가능하며 사용할 수 없게 된다. IoT 기기가 본래의 기능을 수행하도록 복원하기 위해서는 해당 IoT 기기의 시스템 소프트웨어의 복원이 필수적이다. 이러한 환경에서 랜섬웨어에 감염된 IoT 기기의 복원을 위하여 본 실시예에 따른 디스크 복원 장치의 복원 기기는 대응되는 한 개의 대상 IoT 기기와 연결되어 있으며, 대상 IoT 기기를 복원하기 위한 복원 프로그램을 구비한다.And if an IoT device is infected with ransomware, the IoT device becomes unbootable and unusable. In order to restore the IoT device to perform its original function, it is essential to restore the system software of the corresponding IoT device. In order to restore an IoT device infected with ransomware in such an environment, the restoration device of the disk restoration device according to the present embodiment is connected to one corresponding target IoT device, and includes a restoration program for restoring the target IoT device.
복원 프로그램은 대상 IoT 기기의 주저장장치의 복원을 위한 긴급 복구 기능을 수행한다. 복원 기기는 원격 전원을 통해 복원이 필요할 때만 작동할 수 있다. 복원 기기에는 대상 IoT 기기의 기능 유지를 위한 프로그램과 데이터 복원을 위한 로그 프로그램, 독립 저장 장치가 구비될 수 있다.The restoration program performs an emergency recovery function for restoration of the primary storage device of the target IoT device. Restoration devices can only be operated when restoration is required via remote power. The restoration device may include a program for maintaining the function of the target IoT device, a log program for data restoration, and an independent storage device.
복원 관리 서버는 IoT 기기 및 복원 기기와 각각 통신하며, 복원 기능을 지원한다. 랜섬웨어에 감염된 IoT 기기는 작동이 불가능하므로, 감염됨 IoT 기기를 작동하기 위해 복원 관리 서버는 랜섬웨어에 감염된 IoT 기기에 연결되고 복원 소프트웨어를 탑재한 복원 기기를 활성화시킨다. 복원 기기는 랜섬웨어의 감염 전에 IoT 기기에 물리적으로 연결되어 있는 상태일 수 있다. 복원 기기는 감염된 IoT 기기의 피해 디스크에 접근할 수 있도록 설치되어 있으므로, 감염되지 않은 다른 IoT 기기의 디스크 내용을 복제하여 감염된 IoT 기기의 디스크에 저장하도록 동작할 수 있다. 이와 같이, 본 실시예에 의하면, 감염 디스크의 피해를 복원하고 올바른 동작을 재개할 수 있다.The restoration management server communicates with the IoT device and the restoration device, respectively, and supports the restoration function. Since IoT devices infected with ransomware cannot be operated, the restoration management server is connected to the IoT devices infected with ransomware and activates the restoration devices equipped with restoration software to operate the infected IoT devices. The restoration device may be physically connected to the IoT device before the ransomware infection. Since the restoration device is installed to access the damaged disk of the infected IoT device, it can operate to copy the disk contents of other uninfected IoT devices and save them to the disk of the infected IoT device. In this way, according to the present embodiment, damage to the infected disk can be restored and correct operation can be resumed.
만약 복제의 원천이 되는 IoT 기기가 작동할 때 해당 IoT 기기의 디스크 내용을 수정하는 시스템이라면, 복제 원천이 되는 IoT 기기를 종료하고 감염 디스크의 피해를 복원할 수 있다.If the system that modifies the disk contents of the IoT device when the IoT device that is the source of replication is operating, the IoT device that is the source of replication can be shut down and the damage to the infected disk can be restored.
이 때 복원 기기를 이용하여 사물인터넷, 스마트 팩토리에서 끊어지면 안되는 IoT 기기의 본래 기능을 수행할 수 있다. 이를 위해, 디스크 복원 장치는 데이터의 로그(log) 및 복원을 이용하여 랜섬웨어 피해를 복원할 때 시스템 소프트웨어나 필수 어플리케이션뿐만 아니라 이러한 프로그램으로 인해 생성된 데이터들도 복원하도록 구현될 수 있다.In this case, the restoration device can be used to perform the original functions of IoT devices that should not be disconnected in the Internet of Things and Smart Factory. To this end, the disk restoration apparatus may be implemented to restore data generated by such a program as well as system software or essential applications when restoring ransomware damage using a log and restoration of data.
도 5 및 도 6은 본 발명의 다른 실시예에 따른 디스크 복원 장치에 대한 작동 원리를 설명하기 위한 구성도들이다. 그리고 도 7a 및 도 7b는 도 5의 디스크 복원 장치에 대한 작동 원리를 설명하기 위한 흐름도이다.5 and 6 are configuration diagrams for explaining the operating principle of the disk restoration apparatus according to another embodiment of the present invention. 7A and 7B are flowcharts for explaining the operating principle of the disk restoration apparatus of FIG. 5 .
도 5 내지 도 7a 및 도 7b를 참조하면, 본 실시예에 따른 디스크 복원 방법에 있어서, 복원 관리 서버(100)는 IoT 센서나 관리자 입력 등에 의해 제1 IoT 기기(10)의 랜섬웨어 피해를 감지할 수 있다(S71). 제1 IoT 기기(10)에 대한 랜섬웨어 피해가 발생하면, 복원 관리 서버(100)는 제1 트리거 신호나 제1 제어 신호를 전송하여 제1 IoT 기기(10)에 연결되어 있는 제1 복원 기기(15a)를 작동시킨다(S72). 제1 복원 기기(15a)는 제1 제어 신호에 응하여 복원 프로그램을 작동시킬 수 있다(S72a).5 to 7A and 7B , in the disk restoration method according to the present embodiment, the
다음, 제1 복원 기기(15a)는 제1 제어 신호에 응하여 복원 프로그램(16)을 통해 IoT 환경이나 산업제어시스템 환경 내에 랜섬웨어의 피해 없이 온전하게 작동 중인 동종의 IoT 기기에 대한 탐색을 복원 관리 서버(100)에 요청한다(S73). 그리고 제1 복원 기기(15a)는 제1 제어 신호에 응하여 미리 저장된 제어 모듈을 통해 제1 IoT 기기(10)의 시스템 소프트웨어의 기능을 수행한다(S76c 참조).Next, the
다음, 복원 관리 서버(100)는 동종 IoT 기기 탐색에 대한 제1 요청 메시지에 포함된 특정 종류의 IoT 기기가 현재 연결된 네트워크인 IoT 환경이나 산업제어시스템 환경 내에 존재하는지를 탐색한다(S74). 탐색은 네트워크로 연결되어 있는 IoT 기기들에 소정의 핑(ping) 신호 등의 미리 설정된 동작 체크 신호를 전송하고 그에 대한 피드백을 받음으로써 수행될 수 있다.Next, the
다음, 제2 IoT 기기(20)가 정상 작동 중인 동종 IoT 기기로 탐색되면, 복원 관리 서버(100)는 제2 트리거 신호나 제2 제어 신호를 통해 탐색된 제2 IoT 기기(20)의 제2 복원 기기(15b)를 작동시킨다(S75).Next, when the
이 때, 제2 복원 기기(15b)의 작동이 제2 IoT 기기(20)의 주저장장치(11)에 저장된 시스템 소프트웨어(12)를 변경하도록 설정되어 있는 경우, 제2 트리거 신호나 제2 제어 신호는 제2 IoT 기기(20)를 우선 종료하도록 하는 메시지나 명령을 포함할 수 있다. 물론 변형예에서, 복원 관리 서버(100)는 탐색된 제2 IoT 기기(20)의 작동을 중지시키는 별도의 신호나 명령을 전달하여 먼저 제2 IoT 기기(20)의 시스템 소프트웨어(12)를 종료시킬 수 있다. 그런 다음, 제2 IoT 기기(20)는 제2 복원 기기(15b)의 활성화 상태에서 다시 부틱되어 정상 동작할 수 있다.At this time, when the operation of the
다음, 제2 복원 기기(15b)는 제2 제어 신호에 응하여 제2 IoT 기기(20)에 미리 설정된 제3 제어 신호나 그에 대응하는 명령을 전달(S76a)함으로써 제2 IoT 기기(20)가 주저장장치(11)에 저장된 내용을 미리 설정된 네트워크 경로(30)를 통해 제1 IoT 기기(10)으로 전송(S76b)하도록 기능한다. 이때, 제1 복원 기기(15a)의 복원 프로그램은 제1 IoT 기기(10)의 제어 모듈로서 제2 IoT 기기(20)의 주저장장치(11)의 내용을 수신하고, 수신한 내용을 제1 IoT 기기(10)의 주저장장치(11)에 덮어쓰기 하도록 기능한다(S76c).Next, the
다음, 제1 IoT 기기(10)의 주저장장치(11)에 제2 IoT 기기(20)의 주저장장치(11)의 내용이 모두 덮어씌워지면(S77a), 제1 복원 기기(15a)는 제1 IoT 기기(10)를 재부팅한다(S77b). 이 때, 제1 IoT 기기(10)의 재부팅은 제1 IoT 기기(10)의 복원된 주저장장치(11)을 이용하여 부팅한다.Next, when all the contents of the
본 실시예에 의하면, 제2 IoT 기기(20)과 제1 IoT 기기(12) 간의 P2P 디스크 복원을 통해 랜섬웨어에 감염된 제1 IoT 기기(10)의 디스크를 복원하여 자체 부팅할 수 있다.According to the present embodiment, the disk of the
아울러, 제1 복원 기기(15a)는 제1 IoT 기기(10)의 복원된 디스크 내용 중 미리 설정된 일부 데이터 부분을 삭제하도록 설정될 수 있다. 또한, 제1 복원 기기(15a)는 랜섬웨어에 감염되기 전에 제1 IoT 기기(10)로부터 받아 저장하고 있던 일부 데이터를 사용하여 제1 IoT 기기(10)의 복원된 디스크의 내용 일부를 초기화하도록 구현될 수 있다. 그 경우, 제1 복원 기기(15a)는 제1 IoT 기기(10)의 데이터 내용을 별도로 로깅해 두기 위한 데이터 로그 프로그램과 일부 데이터 내용을 저장하는 별도의 독립된 저장 공간을 구비할 수 있다.In addition, the
다음, 제1 IoT 기기(10)의 재부팅 및 데이터 초기화가 완료되면(S78a), 복원 관리 서버(100)는 작동종료신호 등을 전달(S78b)하여 제1 복원 기기(15a)와 제2 복원 기기(15b)의 작동을 종료할 수 있다(S79a, S79b). 제1 IoT 기기(10)의 재부팅 및 데이터 초기화의 완료는 제1 IoT 기기(10)에서 전달되는 신호나 데이터에 기초하여 복원 관리 서버(100)가 제1 IoT 기기의 정상 동작을 감지하는 것으로 구현될 수 있다.Next, when the reboot and data initialization of the
도 8은 도 5의 디스크 복원 장치의 복원 기기에 채용할 수 있는 또 다른 제1 구성을 나타낸 블록도이다. 그리고 도 9는 도 5의 디스크 복원 장치의 복원 기기에 채용할 수 있는 또 다른 제2 구성을 나타낸 블록도이다. 8 is a block diagram showing another first configuration that can be employed in the restoration apparatus of the disk restoration apparatus of FIG. 5 . And FIG. 9 is a block diagram showing another second configuration that can be employed in the restoration apparatus of the disk restoration apparatus of FIG. 5 .
도 8을 참조하면, 본 실시예에 따른 디스크 복원 장치의 복원 기기(15)는 복원 프로그램(16), 원격 전원(17) 및 기능 유지 프로그램(18)을 탑재한다.Referring to FIG. 8 , the
복원 프로그램(16)은 복원 기기의 기본 구성요소로서 대응 IoT 기기가 랜섬웨어에 감염되었을 때 대응 IoT 기기의 디스크를 복원하기 위한 것이다.The
원격 전원(17)은 복원 프로그램(16)이 대응 IoT 기기의 랜섬웨어 감염 상황에서 복원 기기(15)의 선택적 부팅에 사용하기 위한 것이다. 즉, 원격 전원(17)은 복원 프로그램(16)이 파일 시스템으로 포맷되어야 할 때 대응 IoT 기기의 랜섬웨어 감염시 복원 기기(15)도 랜섬웨어의 피해에 노출되지 않도록 필요한 경우에만 복원 기기(15)나 복원 프로그램(16)을 선택적으로 기동시켜 사용할 수 있도록 기능한다.The
기능 유지 프로그램(18)은 복원 기기(15)의 복원 프로그램(16) 내부에 탑재된다. 기능 유지 프로그램(18)은 스마트 팩토리 등의 IoT 기기와 같이 IoT 기기의 지속적인 작동을 필요로 하는 경우에 대응 IoT 기기가 부팅되는 시간 동안 대응 IoT 기기의 필수적인 기능을 수행할 수 있다. 필수적인 기능은 예를 들어 센서 측정, 네트워크 통신, 로봇 팔의 동작 등을 포함할 수 있다.The
한편, 기능 유지 프로그램(18)은 도 9에 도시한 바와 같이 복원 기기(15)의 복원 프로그램(16) 내부에 탑재되지 않고 별도의 소프트웨어(16a)에 복원 프로그램(16)과 함께 탑재될 수 있다.On the other hand, the
이러한 기능 유지 프로그램(18)은 랜섬웨어에 감염된 IoT 기기나 감염됨 IoT 기기에 디스크 내용을 복사하여 전달하는 정상 동작 IoT 기기에 모두 사용될 수 있다.The
예를 들어, 실제 동작하고 있고 IoT 기기의 디스크를 복사의 소스(source)로 사용할 때, IoT 기기의 작동이 시스템 소프트웨어 영역을 덮어쓰는 경우와 단순 복사하는 경우가 존재할 수 있다.For example, when the disk of the IoT device is actually operated and the disk of the IoT device is used as a copy source, there may be a case where the operation of the IoT device overwrites the system software area or a case where a simple copy is made.
시스템 소프트웨어 영역을 덮어쓰는 경우, 본 실시예에서는 해당 IoT 기기를 종료하여 덮어쓰기가 발생하지 못하게 하고, 복원 기기를 통해 디스크 복사를 수행하도록 구현된다.In the case of overwriting the system software area, in the present embodiment, the corresponding IoT device is terminated to prevent overwriting from occurring, and the disk copy is performed through the restoration device.
그리고, 디스크 복사 과정에서 IoT 기기의 종료가 필요한 이유는 디스크 복사 도중에 즉, 복사의 시작 시점과 복사의 종료 시점에 소스 디크스의 내용이 동일하게 유지되도록, 다시 말해서 소스 디스크의 내용 특히 시스템 소프트웨어의 변동사항이 없도록 하기 위함이다. 디스크 내용 복사는 IoT 기기의 성능과 통신의 성능에 따라 소요 시간이 다르며, 그러한 이유로 복사 도중에 시스템 소프트웨어 부분이 변경된다면, 변경된 부분의 무결성(integrity)가 손상되고, 그에 의해 복사된 시스템 소프트웨어가 해당 IoT 기기에서 정상 기능을 제공하지 않을 수 있다. 따라서, 이러한 문제를 방지하기 위해 시스템 소프트웨어를 포함한 디스크 복사 시에 IoT 기기의 종료를 선택할 수 있다.And, the reason that the IoT device needs to be terminated in the disk copy process is that the contents of the source disk remain the same during the disk copy, that is, at the start point of the copy and the end point of the copy, that is, the contents of the source disk, especially the system software. This is to ensure that there are no changes. The time required for copying disk contents varies depending on the performance of the IoT device and the performance of communication. The device may not provide normal functions. Therefore, in order to prevent such a problem, it is possible to select the termination of the IoT device when copying the disk including the system software.
도 10은 도 5의 디스크 복원 장치의 복원 기기에 채용할 수 있는 또 다른 제3 구성을 나타낸 블록도이다.FIG. 10 is a block diagram showing another third configuration that can be employed in the restoration apparatus of the disk restoration apparatus of FIG. 5 .
도 10을 참조하면, 본 실시예에 따른 디스크 복원 장치의 복원 기기(15)는 복원 프로그램(16), 원격 전원(17), 기능 유지 프로그램(18), 데이터 로그 프로그램(19a) 및 저장 공간(19b)을 구비한다. 복원 프로그램(16), 기능 유지 프로그램(18) 및 데이터 로그 프로그램(19a)은 별도의 소프트웨어(16b)에 함께 탑재될 수 있다.Referring to FIG. 10 , the
데이터 로그 프로그램(19a)은 IoT 기기의 데이터 부분 내용이 수정될 때, 해당 수정 오퍼레이션에 대한 내용을 로그(log)로 남길 수 있다. 이러한 로그는 복원 기기(15) 내부의 별도의 저장 공간(19b)에 저장된다. 즉, 본 실시예에서 로그는 하드웨어 레벨로 저장된다. 그리고 저장된 로그는 복원 기기(15)의 독립된 저장 공간(19b)에 저장되므로 IoT 기기에서는 볼 수 없게 된다.When the content of the data part of the IoT device is modified, the
이와 같이, 본 실시예에서는 데이터 로그 프로그램(19a)을 지원함으로써 복원 대상이 되는 IoT 기기의 데이터까지 복원할 수 있다.As described above, in the present embodiment, by supporting the data log
또한, IoT 기기의 시스템 소프트웨어 복원 후에, 복원 기기(15)는 독립된 저장 공간(19b)에서 데이터 수정 로그를 불러와 재실행하는 방식으로 IoT 기기의 데이터를 복원할 수 있다.In addition, after restoring the system software of the IoT device, the
또한, 복원 기기(15)에서 복원 프로그램(16), 기능 유지 프로그램(18), 데이터 로그 프로그램(19a) 등의 다양한 기능을 제공하는 경우, 본 실시예의 복원 관리 서버나 복원 기기를 포함하는 디스크 복원 장치에서는 복원 기기에 탑재된 기능성 프로그램의 실행 유무를 선택적으로 결정하거나 필요시 선택적으로 기동시키도록 구성함으로써 램섬웨어에 의해 복원 프로그램 등의 기능성 프로그램이 감염되는 것을 방지할 수 있다. 예를 들어, IoT 기기의 데이터 부분을 로그(log)로 남길 때, 데이터 로그 프로그램만을 실행하면, IoT 기기에서 복원 프로그램이 보이지 않아 IoT 기기의 랜섬웨어의 감염시에 복원 기기의 프로그램이 함께 감염되는 것을 방지할 수 있다.In addition, when the
도 11은 도 5의 디스크 복원 장치의 복원 관리 서버에 채용할 수 있는 구성을 나타낸 블록도이다.11 is a block diagram showing a configuration that can be employed in the restoration management server of the disk restoration apparatus of FIG. 5 .
도 11을 참조하면, 본 실시예에 따른 복원 관리 서버(100)는 감지부(110), 제어신호 생성부(120), 메시지 처리부(130) 및 탐색부(140)를 포함한다.Referring to FIG. 11 , the
복원 관리 서버(100)는 감지부(110)에 의해 네트워크 내 제1 IoT 기기가 랜섬웨어 또는 맬웨어에 의해 감염된 것을 감지하고, 감지부(110)에 연결된 제어신호 생성부(120)를 통해 제1 IoT 기기에 연결된 제1 복원 기기에 전송할 제1 제어 신호를 생성한다.The
또한, 복원 관리 서버(100)는 메시지 처리부(130)를 통해 제1 복원 기기로부터 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 받고, 탐색 요청에 포함된 제1 IoT 기기의 기기 정보를 추출한다.In addition, the
그리고, 복원 관리 서버(100)는 제1 IoT 기기의 기기 정보에 기초하여 탐색부(140)를 통해 네트워크 내에 존재하는 제2 IoT 기기를 탐색한다.Then, the
제2 IoT 기기가 탐색되면, 복원 관리 서버(100)는 제어신호 생성부(120)를 통해 제2 제어 신호를 생성하고, 제2 제어 신호를 제2 IoT 기기에 연결되어 있는 제2 복원 기기에 전달한다. 이 때, 제2 복원 기기는 제2 제어 신호에 응하여 제2 IoT 기기의 동작을 제어함으로써 제2 IoT 기기가 주저장장치의 내용을 복사하여 제1 IoT 기기의 주저장장치를 덮어쓰기할 수 있도록 한다.When the second IoT device is discovered, the
제1 IoT 기기의 주저장장치의 덮어쓰기 및 재부팅에 의해 제1 IoT 기기의 복원이 완료되면, 복원 관리 서버는 네트워크 상에서 제1 IoT 기기의 정상 상태를 감지하고, 그에 따라 제어신호 생성부(120)를 통해 상기 제1 복원 기기 및 상기 제2 복원 기기의 작동을 종료하기 위한 제어신호나 작동종료신호를 생성할 수 있다.When the restoration of the first IoT device is completed by overwriting and rebooting the main storage device of the first IoT device, the restoration management server detects the normal state of the first IoT device on the network, and accordingly the control signal generator 120 ) through which a control signal or an operation end signal for terminating the operation of the first restoration device and the second restoration device may be generated.
전술한 실시예에 의하면, 랜섬웨어, 맬웨어 등으로 인해 사물인터넷이나 산업제어시스템 환경 내의 IoT 기기의 디스크 내용이 손상되었을 때, 실제 작동하고 있는 다른 동종 IoT 기기의 디스크 내용을 복사하여 손상된 디스크 내용을 효과적으로 복원하여 해당 IoT 기기가 신속하게 복구되어 정상작동할 수 있도록 한다.According to the above embodiment, when the disk contents of the IoT device in the Internet of Things or industrial control system environment are damaged due to ransomware, malware, etc. It can be restored effectively so that the IoT device can be quickly restored and operated normally.
한편, 전술한 실시예들을 통해 설명한 랜섬웨어 피해 복원을 위한 P2P 디스크 복원 방법은 다양한 컴퓨터 수단을 통해 수행될 수 있는 모듈이나 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 모듈은 하드웨어, 소프트웨어, 펌웨어(firmware) 또는 이들의 조합을 포함하는 유닛을 의미할 수 있다. 유닛은 예를 들어 로직(logic), 논리 블록(logical block), 부품(component) 또는 회로(circuit) 등으로 지칭될 수 있으며, 본 실시예에 따른 방법을 위한 일련의 동작을 수행하는 ASIC(application-specific integrated circuit) 칩, FPGA(field-programmable gate arrays) 및 프로그램 가능 논리 장치(programmable-logic device) 중 적어도 어느 하나를 포함할 수 있다.On the other hand, the P2P disk restoration method for ransomware damage restoration described through the above-described embodiments may be implemented in the form of a module or program command that can be executed through various computer means and recorded in a computer readable medium. A module may refer to a unit including hardware, software, firmware, or a combination thereof. The unit may be referred to, for example, as a logic, a logical block, a component, or a circuit, and an ASIC (application) that performs a series of operations for the method according to the present embodiment. It may include at least one of a specific integrated circuit (FPGA) chip, field-programmable gate arrays (FPGA), and a programmable-logic device.
컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위해 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용가능한 것일 수 있다.The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the computer readable medium may be specially designed and configured for the present invention, or may be known and available to those skilled in the art of computer software.
또한 컴퓨터 판독 가능 매체의 예에는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함한다. 상술한 하드웨어 장치는 본 실시예에 따른 랜섬웨어 피해 복원을 위한 P2P 디스크 복원 방법의 일련의 동작을 수행하기 위해 적어도 하나의 소프트웨어 모듈로 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of computer-readable media also include hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The above-described hardware device may be configured to operate as at least one software module to perform a series of operations of the P2P disk restoration method for restoring ransomware damage according to the present embodiment, and vice versa.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although it has been described with reference to the above embodiments, those skilled in the art will understand that various modifications and changes can be made to the present invention without departing from the spirit and scope of the present invention as set forth in the following claims. will be.
Claims (13)
네트워크 내에서 랜섬웨어나 맬웨어에 감염된 제1 IoT(internet of thing) 기기에 연결되어 있는 제1 복원 기기를 활성화하는 단계;
상기 제1 복원 기기로부터 상기 제1 IoT 기기와 동종의 제2 IoT 기기의 탐색 요청을 받는 단계;
상기 탐색 요청에 포함된 상기 제1 IoT 기기에 대한 기기 정보에 기초하여 상기 네트워크 내 상기 제2 IoT 기기를 탐색하는 단계; 및
상기 제1 IoT 기기의 복원 요청을 탐색된 제2 IoT 기기에 연결된 제2 복원 기기에 전달하는 단계;를 포함하는 P2P 디스크 복원 방법.A P2P (pear to pear) disk restoration method for restoring a disk infected by ransomware or malware, which is executed by a network-connected restoration management server, comprising:
activating a first restoration device connected to a first internet of thing (IoT) device infected with ransomware or malware in a network;
receiving a search request for a second IoT device of the same type as the first IoT device from the first restoration device;
discovering the second IoT device in the network based on device information on the first IoT device included in the discovery request; and
and transmitting the restoration request of the first IoT device to a second restoration device connected to the discovered second IoT device.
상기 제2 복원 기기의 동작 제어에 의해 상기 제2 IoT 기기는 자신의 주저장장치에 저장된 청크 또는 펌웨어를 복사하여 상기 제1 IoT 기기의 주저장장치에 실시간 덮어쓰기하는, P2P 디스크 복원 방법.The method according to claim 1,
The P2P disk restoration method, wherein the second IoT device copies the chunk or firmware stored in its primary storage device and overwrites it in real time in the primary storage device of the first IoT device by controlling the operation of the second restoration device.
상기 네트워크에서 주저장장치의 복원에 의한 상기 제1 IoT 기기의 정상 상태가 감지되면, 상기 제1 복원 기기 및 상기 제2 복원 기기의 작동을 종료하는 단계를 더 포함하는, P2P 디스크 복원 방법.The method according to claim 1,
The P2P disk restoration method further comprising terminating the operation of the first restoration device and the second restoration device when a normal state of the first IoT device is detected by restoration of the primary storage device in the network.
네트워크 내에서 랜섬웨어나 맬웨어에 감염된 제1 IoT(internet of thing) 기기에 연결되고 상기 네트워크에 연결되어 있는 복원 관리 서버로부터 활성화를 위한 제1 제어 신호를 수신하는 단계;
상기 제1 제어 신호에 응하여 상기 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 상기 복원 관리 서버에 전송하는 단계;
상기 제1 제어 신호에 응하여 상기 제1 IoT 기기의 시스템 소프트웨어로서 기능하는 단계;
상기 탐색 요청에 포함된 상기 제1 IoT 기기에 대한 기기 정보에 기초하여 상기 네트워크에 연결된 복원 관리 서버에 의해 탐색된 상기 제2 IoT 기기로부터의 상기 제1 IoT 기기의 주저장장치에 대한 덮어쓰기를 허용하는 단계; 및
상기 덮어쓰기가 완료되면 상기 제1 IoT 기기를 재부팅하는 단계;를 포함하는 P2P 디스크 복원 방법.A P2P (pear to pear) disk restoration method for restoration of a disk infected by ransomware or malware, which is executed by a network-connected restoration device, comprising:
Receiving a first control signal for activation from a restoration management server connected to a first Internet of thing (IoT) device infected with ransomware or malware in a network and connected to the network;
transmitting a search request for a second IoT device of the same type as the first IoT device to the restoration management server in response to the first control signal;
functioning as system software of the first IoT device in response to the first control signal;
Overwriting of the main storage device of the first IoT device from the second IoT device discovered by the restoration management server connected to the network based on the device information on the first IoT device included in the discovery request allowing; and
and rebooting the first IoT device when the overwriting is completed.
상기 제1 제어 신호에 응하여 자체 저장된 기능 유지 프로그램에 의해 상기 제1 IoT 기기의 재부팅이 완료될 때까지 상기 제1 IoT 기기의 본래 기능을 수행하는 단계를 더 포함하는 P2P 디스크 복원 방법.5. The method according to claim 4,
and performing the original function of the first IoT device until the reboot of the first IoT device is completed by a self-stored function maintenance program in response to the first control signal.
상기 제2 IoT 기기에 연결되는 제2 복원 기기는 상기 복원 관리 서버로부터의 제2 제어 신호에 응하여 활성화될 때 상기 덮어쓰기의 동작을 위해 상기 제2 IoT 기기의 주저장장치의 내용이 수정되는 경우, 상기 덮어쓰기의 동작 시간동안 상기 제2 IoT 기기의 특정 기능의 동작을 한시적으로 중지시키는, P2P 디스크 복원 방법.5. The method according to claim 4,
When the second restoration device connected to the second IoT device is activated in response to a second control signal from the restoration management server, when the contents of the main storage device of the second IoT device are modified for the overwrite operation , P2P disk restoration method for temporarily stopping the operation of a specific function of the second IoT device during the operation time of the overwrite.
상기 복원 기기는 자체 저장된 데이터 로그 프로그램에 의해 상기 제1 IoT 기기의 정상 동작 상태에서 상기 제1 IoT 기기의 데이터 부분 내용이 수정될 때 해당 수정 오퍼레이션에 대한 내용을 로그로 별도의 자체 저장 공간에 저장하고, 상기 덮어쓰기의 완료 후에 상기 저장 공간에 저장된 로그에 기초하여 상기 제1 IoT 기기의 데이터를 복구하는, P2P 디스크 복원 방법.5. The method according to claim 4,
When the data part content of the first IoT device is modified in the normal operating state of the first IoT device by the self-stored data log program, the restoration device stores the contents of the corresponding modification operation as a log in a separate self-storage space and recovering the data of the first IoT device based on the log stored in the storage space after the overwriting is completed.
상기 복원 관리 서버로부터 제1 제어 신호를 수신하고, 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 상기 복원 관리 서버에 전송하고, 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기의 시스템 소프트웨어로서 기능하며, 상기 탐색 요청에 포함된 상기 제1 IoT 기기에 대한 기기 정보에 기초하여 상기 복원 관리 서버에 의해 탐색된 제2 IoT 기기로부터의 상기 제1 IoT 기기의 주저장장치에 대한 덮어쓰기를 허용하고, 상기 덮어쓰기가 완료되면 상기 제1 IoT 기기를 재부팅하는 복원 프로그램; 및
상기 제1 제어 신호 또는 별도의 트리거 신호나 액티베이션 신호에 기초하여 상기 복원 기기에 전원을 공급하여 상기 복원 기기를 활성화하는 원격 전원;
을 포함하는 P2P 디스크 복원 장치.As a P2P (pear to pear) disk restoration device for restoration of a primary storage device of a first IoT (internet of thing) device infected by ransomware or malware, including a restoration management server connected to a network and a restoration device, the above restoration device,
Receives a first control signal from the restoration management server, and transmits a search request for a second IoT device of the same type as the first IoT device to the restoration management server in response to the first control signal, and the first control signal The first IoT from a second IoT device that functions as the system software of the first IoT device in response and is discovered by the restoration management server based on device information about the first IoT device included in the discovery request a restoration program that allows overwriting of the main storage device of the device and reboots the first IoT device when the overwriting is completed; and
a remote power supply for activating the restoration device by supplying power to the restoration device based on the first control signal or a separate trigger signal or activation signal;
A P2P disk restore device comprising a.
상기 제1 제어 신호에 응하여 상기 제1 IoT 기기의 복원 혹은 상기 재부팅이 완료될 때까지 상기 제1 IoT 기기의 본래 기능을 수행하는 기능 유지 프로그램을 더 포함하는 P2P 디스크 복원 장치.9. The method of claim 8,
The P2P disk restoration apparatus further comprising a function maintenance program for performing the original function of the first IoT device until the restoration or the rebooting of the first IoT device is completed in response to the first control signal.
상기 제1 IoT 기기의 정상 동작 상태에서 상기 제1 IoT 기기의 데이터 부분 내용이 수정될 때 해당 수정 오퍼레이션에 대한 내용을 로그로 저장하고, 상기 덮어쓰기의 완료 후에 기저장된 상기 로그에 기초하여 상기 제1 IoT 기기의 데이터를 복구하는 데이터 로그 프로그램; 및
상기 데이터 로그 프로그램에 의해 지정되는 로그를 저장하는 저장 공간;을 더 포함하는 P2P 디스크 복원 장치.9. The method of claim 8,
When the contents of the data part of the first IoT device are modified in the normal operating state of the first IoT device, the contents of the corresponding modification operation are stored as a log, and after the overwriting is completed, the second IoT device is stored based on the previously stored log. 1 Data log program to recover data from IoT devices; and
The P2P disk restoration device further comprising a; storage space for storing the log specified by the data log program.
상기 네트워크 내 제1 IoT 기기의 랜섬웨어 또는 맬웨어 피해 감지에 따라 상기 제1 IoT 기기에 연결된 제1 복원 기기에 전송할 제1 제어 신호를 생성하는 제어신호 생성부;
상기 제1 복원 기기로부터 상기 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 받고, 상기 탐색 요청에 포함된 상기 제1 IoT 기기의 기기 정보를 추출하는 메시지 처리부; 및
상기 제1 IoT 기기의 기기 정보에 기초하여 상기 네트워크 내에서 상기 제2 IoT 기기를 탐색하는 탐색부;를 포함하는 P2P 디스크 복원 장치.A P2P (pear to pear) disk restoration device for restoring a disk infected by ransomware or malware, comprising a network-connected restoration management server and a restoration device, the restoration management server comprising:
a control signal generator configured to generate a first control signal to be transmitted to a first restoration device connected to the first IoT device according to the detection of ransomware or malware damage of the first IoT device in the network;
a message processing unit receiving a search request for a second IoT device of the same type as the first IoT device from the first restoration device, and extracting device information of the first IoT device included in the discovery request; and
P2P disk restoration apparatus comprising a; a search unit for searching for the second IoT device in the network based on the device information of the first IoT device.
상기 네트워크 내 상기 제1 IoT 기기의 랜섬웨어 또는 맬웨어 피해를 감지하는 감지부를 더 포함하며, 상기 감지부에서 생성된 출력 신호는 상기 제어신호 생성부에 전달되는 P2P 디스크 복원 장치.12. The method of claim 11,
The P2P disk restoration apparatus further comprises a detection unit for detecting ransomware or malware damage of the first IoT device in the network, wherein the output signal generated by the detection unit is transmitted to the control signal generation unit.
상기 제1 IoT 기기의 주저장장치의 복원에 따라 네트워크 상에서 상기 제1 IoT 기기의 정상 상태가 상기 감지부에 감지되면, 상기 감지부의 신호에 따라 상기 제어신호 생성부는 상기 제1 복원 기기 및 상기 제2 IoT 기기에 연결된 제2 복원 기기의 작동을 종료하기 위한 제어신호나 작동종료신호를 생성하는, P2P 디스크 복원 장치.13. The method of claim 12,
When the normal state of the first IoT device on the network is detected by the sensing unit according to the restoration of the main storage device of the first IoT device, the control signal generating unit according to the signal of the sensing unit may include the first restoration device and the second storage device. 2 A P2P disk restoration device that generates a control signal or an operation termination signal for terminating the operation of the second restoration device connected to the IoT device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200186971A KR102433435B1 (en) | 2020-12-30 | 2020-12-30 | Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200186971A KR102433435B1 (en) | 2020-12-30 | 2020-12-30 | Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20220095454A KR20220095454A (en) | 2022-07-07 |
KR102433435B1 true KR102433435B1 (en) | 2022-08-18 |
Family
ID=82398279
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200186971A KR102433435B1 (en) | 2020-12-30 | 2020-12-30 | Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102433435B1 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101954976B1 (en) | 2018-10-02 | 2019-03-06 | 이현욱 | System for managing data backup and method thereof |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090090801A (en) * | 2008-02-22 | 2009-08-26 | 삼성전자주식회사 | Method and apparatus for updating firmware in portable terminal |
JP6303198B2 (en) * | 2012-08-29 | 2018-04-04 | インテル・コーポレーション | Portable communication device, method and program for recovering operating system on portable communication device |
KR101616444B1 (en) * | 2014-07-07 | 2016-04-29 | 라임아이 주식회사 | Remote Managing System for Machine to Machine Device Using Near Field Communication |
KR102423084B1 (en) | 2016-04-26 | 2022-07-19 | 삼성에스디에스 주식회사 | Method and apparatus for updating firmware on IoT device using P2P |
KR102086375B1 (en) | 2018-06-11 | 2020-03-09 | 남서울대학교 산학협력단 | System and method for real time prevention and post recovery for malicious software |
-
2020
- 2020-12-30 KR KR1020200186971A patent/KR102433435B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101954976B1 (en) | 2018-10-02 | 2019-03-06 | 이현욱 | System for managing data backup and method thereof |
Also Published As
Publication number | Publication date |
---|---|
KR20220095454A (en) | 2022-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10956270B2 (en) | System and method for data protection during full data backup | |
US9569226B2 (en) | Baseboard management controller and method of loading firmware | |
US7454655B2 (en) | Autonomic recovery of PPRC errors detected by PPRC peer | |
US20130138940A1 (en) | Computer system and method for updating basic input/output system thereof | |
CN104156298B (en) | Application monitoring method and device | |
CN111158767B (en) | BMC-based server safe starting method and device | |
CN109471699B (en) | Virtual machine incremental backup system based on difference bitmap characteristics of Qcow2 image file | |
CN105144113A (en) | Recovery of application from snapshot | |
JP2014515858A (en) | Method and apparatus for recombining executing instructions | |
JP6255336B2 (en) | Secure data storage method and device | |
KR102460078B1 (en) | Method of making efficient backup space for original file using difference (delta) extraction method in disarming operation and apparatus therefor | |
CN103034561B (en) | Command transfer method and the relevant apparatus of USB | |
TW201301024A (en) | Active server monitoring apparatus and active server monitoring method | |
KR101024249B1 (en) | Real-time data replication system | |
US10216595B2 (en) | Information processing apparatus, control method for the information processing apparatus, and recording medium | |
US7634625B2 (en) | Storage system and method for copying volumes by inspection of data security | |
KR102433435B1 (en) | Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware | |
WO2018001262A1 (en) | Method, apparatus and system for disaster recovery of virtual machine | |
US9665582B2 (en) | Software, systems, and methods for enhanced replication within virtual machine environments | |
US10353613B2 (en) | Computer system and control method therefor for handling path failure | |
JP5961059B2 (en) | Information processing apparatus and activation method thereof | |
US7822959B2 (en) | Method for a SCSI target controller to safely shut down an operating system by the use of a standard SCSI initiator command | |
CN108108635B (en) | Data security processing method, device and system | |
CN103593612B (en) | A kind of method and device of processing rogue program | |
KR102019483B1 (en) | Removable storage device and security method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |