KR102433435B1 - Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware - Google Patents

Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware Download PDF

Info

Publication number
KR102433435B1
KR102433435B1 KR1020200186971A KR20200186971A KR102433435B1 KR 102433435 B1 KR102433435 B1 KR 102433435B1 KR 1020200186971 A KR1020200186971 A KR 1020200186971A KR 20200186971 A KR20200186971 A KR 20200186971A KR 102433435 B1 KR102433435 B1 KR 102433435B1
Authority
KR
South Korea
Prior art keywords
restoration
iot device
iot
disk
control signal
Prior art date
Application number
KR1020200186971A
Other languages
Korean (ko)
Other versions
KR20220095454A (en
Inventor
김종
나동빈
김태훈
지상우
이경민
김한준
Original Assignee
포항공과대학교 산학협력단
연세대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 포항공과대학교 산학협력단, 연세대학교 산학협력단 filed Critical 포항공과대학교 산학협력단
Priority to KR1020200186971A priority Critical patent/KR102433435B1/en
Publication of KR20220095454A publication Critical patent/KR20220095454A/en
Application granted granted Critical
Publication of KR102433435B1 publication Critical patent/KR102433435B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/142Reconfiguring to eliminate the error
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • G06F11/1451Management of the data involved in backup or backup restore by selection of backup contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Retry When Errors Occur (AREA)

Abstract

사물인터넷이나 산업제어시스템 환경에서 랜섬웨어에 감염되지 않은 동종 기기의 디스크의 내용을 복제하여 피해 기기를 복원하는 피어투피어(P2P) 디스크 복원 방법 및 장치가 개시된다. 네트워크에 연결되는 복원 관리 서버에 의해 실행되는 감염 디스크의 복원을 위한 P2P 디스크 복원 방법으로서, 네트워크 내에서 랜섬웨어나 맬웨어에 감염된 제1 IoT 기기에 연결되어 있는 제1 복원 기기를 활성화하는 단계, 제1 복원 기기로부터 제1 IoT 기기와 동종의 제2 IoT 기기의 탐색 요청을 받는 단계, 탐색 요청에 포함된 제1 IoT 기기에 대한 기기 정보에 기초하여 네트워크 내 제2 IoT 기기를 탐색하는 단계, 및 제1 IoT 기기의 복원 요청을 기탐색된 제2 IoT 기기에 연결된 제2 복원 기기에 전달하는 단계를 포함한다.Disclosed are a peer-to-peer (P2P) disk restoration method and apparatus for restoring a damaged device by cloning the contents of a disk of the same type of device that is not infected with ransomware in an Internet of Things or industrial control system environment. A P2P disk restoration method for restoration of an infected disk executed by a restoration management server connected to a network, the method comprising: activating a first restoration device connected to a first IoT device infected with ransomware or malware in a network; 1 Receiving a search request for a second IoT device of the same type as the first IoT device from the restoration device, searching for a second IoT device in the network based on device information on the first IoT device included in the discovery request, and and transmitting the restoration request of the first IoT device to a second restoration device connected to the previously discovered second IoT device.

Figure R1020200186971
Figure R1020200186971

Description

랜섬웨어 피해 복원을 위한 P2P 디스크 복원 방법 및 장치{METHOD AND APPARATUS FOR RESTORING DISK IN PEAR TO PEAR FOR RESTORING DAMAGE FROM RANSOMWARE}P2P disk restoration method and device for restoring ransomware damage

본 발명은 피어-투-피어(pear to pear, P2P) 디스크 복원을 이용한 랜섬웨어 피해 복원 방법에 관한 것으로, 보다 상세하게는 사물인터넷(internet of thing, IoT)이나 산업제어시스템(industry control system, ICS) 환경에서 랜섬웨어에 감염되지 않은 동종 기기의 디스크의 내용을 복제하여 피해 기기를 복원하는 P2P 디스크 복원 방법 및 장치에 관한 것이다.The present invention relates to a method of restoring ransomware damage using a peer-to-peer (P2P) disk restoration, and more particularly, to an Internet of things (IoT) or an industry control system, It relates to a P2P disk restoration method and apparatus for restoring a damaged device by duplicating the contents of the disk of the same type of device that is not infected with ransomware in the ICS) environment.

컴퓨터 시스템을 강제로 잠그거나 파일을 암호화하여 금전을 지불해야 잠금 해제 형태 또는 파일을 복호화해 주는 형태의 악성코드인 '랜섬웨어(ransomware)'는 개인 사용자뿐만 아니라 기업, 산업 시설 또는 기간 시설에도 피해를 주고 있다. 이에 따라 랜섬웨어를 탐지하는 연구와 랜섬웨어 피해를 복원하는 방법에 대한 다양한 연구가 대두되고 있다.'Ransomware', a type of malware that forcibly locks computer systems or encrypts files and requires payment to unlock or decrypt files, damages not only individual users but also businesses, industrial facilities, or infrastructure. is giving Accordingly, various studies on how to detect ransomware and how to restore ransomware damage are emerging.

하지만 대부분의 기존 연구는 백업을 통해 피해를 복원하거나 SSD(solid state dirve) 등의 특정한 디스크의 사용을 필요로 하기 때문에, 사물인터넷 환경이나 스마트 팩토리(smart factory) 등의 산업제어시스템 환경에서 이를 적용하기가 어렵다는 단점이 있다.However, since most existing studies require the use of a specific disk such as a solid state drive (SSD) or restore damage through backup, it is applied in an industrial control system environment such as an Internet of Things environment or a smart factory. The downside is that it is difficult to do.

공개특허공보 제10-2017-0121911호(2017.11.03)Laid-open Patent Publication No. 10-2017-0121911 (2017.11.03) 공개특허공보 제10-2019-0140314호(2019.12.19)Laid-open Patent Publication No. 10-2019-0140314 (2019.12.19)

본 발명은 종래 기술의 문제점을 해결하기 위해 도출된 것으로, 본 발명의 목적은 사물인터넷이나 스마트 팩토리 등의 산업제어시스템 환경에서 하나 이상의 IoT(internet of thing) 기기가 랜섬웨어에 감염되었을 때 랜섬웨어에 감염되지 않은 다른 동종 기기를 이용하여 감염된 기기의 디스크를 복원할 수 있는, 랜섬웨어 피해 복원을 위한 P2P(pear to pear) 디스크 복원 방법 및 장치를 제공하는데 있다.The present invention was derived to solve the problems of the prior art, and an object of the present invention is when one or more Internet of Things (IoT) devices are infected with ransomware in an industrial control system environment such as the Internet of Things or a smart factory. An object of the present invention is to provide a P2P (pear to pear) disk restoration method and apparatus for restoring ransomware damage, which can restore the disk of an infected device using other homogeneous devices that are not infected with .

본 발명의 다른 목적은, 사물인터넷이나 스마트 팩토리에서 기기의 동작을 유지하는데 필요한 시스템 소프트웨어 또는 필수 어플리케이션까지 복원할 수 있는, 랜섬웨어 피해 복원을 위한 P2P 디스크 복원 방법 및 장치를 제공하는데 있다.Another object of the present invention is to provide a P2P disk restoration method and apparatus for restoring ransomware damage, which can restore system software or essential applications required to maintain the operation of a device in the Internet of Things or a smart factory.

상기 기술적 과제를 해결하기 위한 본 발명의 일 측면에 따른 랜섬웨어 피해 복원을 위한 P2P(pear to pear) 디스크 복원 방법은, 네트워크에 연결되는 복원 관리 서버에 의해 실행되는, 랜섬웨어나 맬웨어에 의해 감염된 디스크의 복원을 위한 P2P(pear to pear) 디스크 복원 방법으로서, 네트워크 내에서 랜섬웨어나 맬웨어에 감염된 제1 IoT(internet of thing) 기기에 연결되어 있는 제1 복원 기기를 활성화하는 단계; 상기 제1 복원 기기로부터 상기 제1 IoT 기기와 동종의 제2 IoT 기기의 탐색 요청을 받는 단계; 상기 탐색 요청에 포함된 상기 제1 IoT 기기에 대한 기기 정보에 기초하여 상기 네트워크 내 상기 제2 IoT 기기를 탐색하는 단계; 및 상기 제1 IoT 기기의 복원 요청을 탐색된 제2 IoT 기기에 연결된 제2 복원 기기에 전달하는 단계를 포함한다.A P2P (pear to pear) disk restoration method for restoring ransomware damage according to an aspect of the present invention for solving the above technical problem is executed by a restoration management server connected to a network, infected by ransomware or malware A P2P (pear to pear) disk restoration method for disk restoration, comprising: activating a first restoration device connected to a first Internet of Thing (IoT) device infected with ransomware or malware in a network; receiving a search request for a second IoT device of the same type as the first IoT device from the first restoration device; discovering the second IoT device in the network based on device information on the first IoT device included in the discovery request; and transmitting the restoration request of the first IoT device to a second restoration device connected to the discovered second IoT device.

일실시예에서, 상기 제2 복원 기기의 동작 제어에 의해 상기 제2 IoT 기기는 자신의 주저장장치에 저장된 청크 또는 펌웨어를 복사하여 상기 제1 IoT 기기의 주저장장치에 실시간 덮어쓰기한다.In an embodiment, by controlling the operation of the second restoration device, the second IoT device copies the chunk or firmware stored in its primary storage device and overwrites it in real time on the primary storage device of the first IoT device.

일실시예에서, P2P 디스크 복원 방법은, 상기 네트워크에서 주저장장치의 복원에 의한 상기 제1 IoT 기기의 정상 상태가 감지되면, 상기 제1 복원 기기 및 상기 제2 복원 기기의 작동을 종료하는 단계를 더 포함한다.In one embodiment, the P2P disk restoration method includes terminating the operations of the first restoration device and the second restoration device when a normal state of the first IoT device is detected by restoration of the primary storage device in the network. further includes

상기 기술적 과제를 해결하기 위한 본 발명의 다른 측면에 따른 랜섬웨어 피해 복원을 위한 P2P 디스크 복원 방법은, 네트워크에 연결되는 복원 기기에 의해 실행되는, 랜섬웨어나 맬웨어에 의해 감염된 디스크의 복원을 위한 P2P(pear to pear) 디스크 복원 방법으로서, 네트워크 내에서 랜섬웨어나 맬웨어에 감염된 제1 IoT(internet of thing) 기기에 연결되고 상기 네트워크에 연결되어 있는 복원 관리 서버로부터 활성화를 위한 제1 제어 신호를 수신하는 단계; 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 상기 복원 관리 서버에 전송하는 단계; 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기의 시스템 소프트웨어로서 기능하는 단계; 상기 탐색 요청에 포함된 상기 제1 IoT 기기에 대한 기기 정보에 기초하여 상기 네트워크에 연결된 복원 관리 서버에 의해 탐색된 상기 제2 IoT 기기로부터의 상기 제1 IoT 기기의 주저장장치에 대한 덮어쓰기를 허용하는 단계; 및 상기 덮어쓰기가 완료되면 상기 제1 IoT 기기를 재부팅하는 단계를 포함한다.The P2P disk restoration method for restoring ransomware damage according to another aspect of the present invention for solving the above technical problem is a P2P disk restoration method for restoration of a disk infected by ransomware or malware, which is executed by a restoration device connected to a network. (pear to pear) disk restoration method, which is connected to a first internet of thing (IoT) device infected with ransomware or malware in a network and receives a first control signal for activation from a restoration management server connected to the network to do; transmitting a search request for a second IoT device of the same type as the first IoT device to the restoration management server in response to the first control signal; functioning as system software of the first IoT device in response to the first control signal; Overwriting of the main storage device of the first IoT device from the second IoT device discovered by the restoration management server connected to the network based on device information on the first IoT device included in the discovery request allowing; and rebooting the first IoT device when the overwriting is completed.

일실시예에서, P2P 디스크 복원 방법은, 상기 제1 제어 신호에 응하여 자체 저장된 기능 유지 프로그램에 의해 상기 제1 IoT 기기의 재부팅이 완료될 때까지 상기 제1 IoT 기기의 본래 기능을 수행하는 단계를 더 포함한다.In one embodiment, the P2P disk restoration method includes performing the original function of the first IoT device until the reboot of the first IoT device is completed by a self-stored function maintenance program in response to the first control signal. include more

일실시예에서, 상기 제2 IoT 기기에 연결되는 제2 복원 기기는 상기 복원 관리 서버로부터의 제2 제어 신호에 응하여 활성화될 때 그리고 상기 덮어쓰기의 동작을 위해 상기 제2 IoT 기기의 주저장장치의 내용이 수정되는 경우, 상기 덮어쓰기의 동작 시간동안 상기 제2 IoT 기기의 특정 기능의 동작을 한시적으로 중지시킬 수 있다.In an embodiment, when the second restoration device connected to the second IoT device is activated in response to a second control signal from the restoration management server, and for the overwrite operation, the main storage device of the second IoT device When the contents of is modified, the operation of the specific function of the second IoT device may be temporarily stopped during the overwrite operation time.

일실시예에서, 상기 복원 기기는 자체 저장된 데이터 로그 프로그램에 의해 상기 제1 IoT 기기의 정상 동작 상태에서 상기 제1 IoT 기기의 데이터 부분 내용이 수정될 때 해당 수정 오퍼레이션에 대한 내용을 로그로 별도의 자체 저장 공간에 저장하고, 상기 덮어쓰기의 완료 후에 상기 저장 공간에 저장된 로그에 기초하여 상기 제1 IoT 기기의 데이터를 복구할 수 있다.In one embodiment, when the data part content of the first IoT device is modified in the normal operating state of the first IoT device by the self-stored data log program, the restoration device records the contents of the corresponding modification operation as a log separately. It is stored in its own storage space, and after the overwriting is completed, the data of the first IoT device may be recovered based on the log stored in the storage space.

상기 기술적 과제를 해결하기 위한 본 발명의 또 다른 측면에 따른 랜섬웨어 피해 복원을 위한 P2P 디스크 복원 장치는, 네트워크에 연결되는 복원 관리 서버와 복원 기기를 포함하는, 랜섬웨어나 맬웨어에 의해 감염된 제1 IoT(internet of thing) 기기의 주저장장치의 복원을 위한 P2P(pear to pear) 디스크 복원 장치이다. 여기서, 상기 복원 기기는, 상기 복원 관리 서버로부터 제1 제어 신호를 수신하고, 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 상기 복원 관리 서버에 전송하고, 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기의 시스템 소프트웨어로서 기능하며, 상기 탐색 요청에 포함된 상기 제1 IoT 기기에 대한 기기 정보에 기초하여 상기 복원 관리 서버에 의해 탐색된 제2 IoT 기기로부터의 상기 제1 IoT 기기의 주저장장치에 대한 덮어쓰기를 허용하고, 상기 덮어쓰기가 완료되면 상기 제1 IoT 기기를 재부팅하는 복원 프로그램; 및 상기 제1 제어 신호 또는 별도의 트리거 신호나 액티베이션 신호에 기초하여 상기 복원 기기에 전원을 공급하여 상기 복원 기기를 활성화하는 원격 전원을 포함한다.A P2P disk restoration apparatus for restoring ransomware damage according to another aspect of the present invention for solving the above technical problem includes a restoration management server connected to a network and a restoration device, the first infected by ransomware or malware It is a P2P (pear to pear) disk restoration device for restoration of a main storage device of an IoT (internet of thing) device. Here, the restoration device receives a first control signal from the restoration management server, and transmits a search request for a second IoT device of the same type as the first IoT device to the restoration management server in response to the first control signal and a second IoT that functions as system software of the first IoT device in response to the first control signal, and is discovered by the restoration management server based on device information on the first IoT device included in the discovery request. a restoration program that allows overwriting of the main storage device of the first IoT device from a device and reboots the first IoT device when the overwriting is completed; and a remote power supply for activating the restoration device by supplying power to the restoration device based on the first control signal or a separate trigger signal or activation signal.

일실시예에서, P2P 디스크 복원 장치는, 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기의 복원 혹은 상기 재부팅이 완료될 때까지 상기 제1 IoT 기기의 본래 기능을 수행하는 기능 유지 프로그램을 더 포함한다.In one embodiment, the P2P disk restoration device further includes a function maintenance program for performing the original function of the first IoT device until the restoration or the rebooting of the first IoT device is completed in response to the first control signal do.

일실시예에서, P2P 디스크 복원 장치는, 상기 제1 IoT 기기의 정상 동작 상태에서 상기 제1 IoT 기기의 데이터 부분 내용이 수정될 때 해당 수정 오퍼레이션에 대한 내용을 로그로 저장하고, 상기 덮어쓰기의 완료 후에 기저장된 상기 로그에 기초하여 상기 제1 IoT 기기의 데이터를 복구하는 데이터 로그 프로그램; 및 상기 데이터 로그 프로그램에 의해 지정되는 로그를 저장하는 저장 공간을 더 포함할 수 있다.In an embodiment, the P2P disk restoration apparatus stores the contents of the corresponding modification operation as a log when the contents of the data part of the first IoT device are modified in the normal operating state of the first IoT device, and a data log program for recovering data of the first IoT device based on the log stored in advance after completion; and a storage space for storing a log designated by the data log program.

상기 기술적 과제를 해결하기 위한 본 발명의 또 다른 측면에 따른 랜섬웨어 피해 복원을 위한 P2P 디스크 복원 장치는, 네트워크에 연결되는 복원 관리 서버와 복원 기기를 포함하는, 랜섬웨어나 맬웨어에 의해 감염된 디스크의 복원을 위한 P2P(pear to pear) 디스크 복원 장치이다. 여기서, 상기 복원 관리 서버는, 상기 네트워크 내 제1 IoT 기기의 랜섬웨어 또는 맬웨어 피해 감지에 따라 상기 제1 IoT 기기에 연결된 제1 복원 기기에 전송할 제1 제어 신호를 생성하는 제어신호 생성부; 상기 제1 복원 기기로부터 상기 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 받고, 상기 탐색 요청에 포함된 상기 제1 IoT 기기의 기기 정보를 추출하는 메시지 처리부; 및 상기 제1 IoT 기기의 기기 정보에 기초하여 상기 네트워크 내에서 상기 제2 IoT 기기를 탐색하는 탐색부를 포함한다.A P2P disk restoration apparatus for restoring ransomware damage according to another aspect of the present invention for solving the above technical problem is a disk infected by ransomware or malware, including a restoration management server and a restoration device connected to a network. It is a P2P (pear to pear) disk restoration device for restoration. Here, the restoration management server may include: a control signal generator configured to generate a first control signal to be transmitted to the first restoration device connected to the first IoT device according to the detection of ransomware or malware damage of the first IoT device in the network; a message processing unit receiving a search request for a second IoT device of the same type as the first IoT device from the first restoration device, and extracting device information of the first IoT device included in the discovery request; and a search unit configured to search for the second IoT device in the network based on device information of the first IoT device.

일실시예에서, P2P 디스크 복원 장치는 상기 네트워크 내 상기 제1 IoT 기기의 랜섬웨어 또는 맬웨어 피해를 감지하는 감지부를 더 포함한다. 상기 감지부에서 생성된 출력 신호는 상기 제어신호 생성부에 전달된다.In an embodiment, the P2P disk restoration apparatus further includes a sensing unit for detecting ransomware or malware damage of the first IoT device in the network. The output signal generated by the sensing unit is transmitted to the control signal generating unit.

일실시예에서, 상기 제1 IoT 기기의 주저장장치의 복원에 따라 네트워크 상에서 상기 제1 IoT 기기의 정상 상태가 상기 감지부에 감지되면, 상기 제어신호 생성부는 상기 감지부의 신호에 따라 상기 제1 복원 기기 및 상기 제2 복원 기기의 작동을 종료하기 위한 제어신호나 작동종료신호를 생성할 수 있다.In an embodiment, when the normal state of the first IoT device on the network is sensed by the sensing unit according to the restoration of the main storage device of the first IoT device, the control signal generating unit is the first according to the signal of the sensing unit. A control signal or an operation end signal for terminating the operation of the restoration device and the second restoration device may be generated.

전술한 랜섬웨어 피해 복원을 위한 P2P(pear to pear) 디스크 복원 방법 및 장치를 사용하는 경우에는, 랜섬웨어(Ransomware) 또는 맬웨어(Malware)로 인해 사물인터넷(internet of thing, IoT) 기기나 산업제어시스템의 디스크 내용이 손상되었을 때, 실제 작동하고 있는 다른 동종 기기의 디스크 내용을 복사하여 감염된 기기의 디스크를 효과적으로 복원할 수 있다.In the case of using the P2P (pear to pear) disk restoration method and device for restoring the ransomware damage described above, the Internet of thing (IoT) device or industrial control due to ransomware or malware When the system's disk contents are damaged, the disk of the infected device can be effectively restored by copying the disk contents of other devices of the same type that are actually working.

또한, 본 발명에 의하면, 복원의 소스(source)가 되는 기기의 작동이 랜섬웨어 피해 기기의 디스크 내용을 수정하는 경우, 해당 복원의 소스가 되는 기기의 작동을 한시적으로 중지시키고 그에 의해 덮어쓰기가 수행되는 동안에 복원의 소스의 내용이 변경되는 것을 방지(즉, 소스가 되는 기기의 복원 동작이 스스로의 디스크 내용을 수정하는 것을 방지)함으로써 복원의 소스가 되는 기기의 복원 기기를 이용하여 랜섬웨어 피해 기기의 디스크를 신뢰성있고 신속하게 복원할 수 있다.In addition, according to the present invention, when the operation of the device serving as the source of restoration modifies the disk contents of the ransomware victim device, the operation of the device serving as the source of the restoration is temporarily stopped, thereby preventing overwriting Ransomware damage using the restoration device of the device as the source of the restoration by preventing the contents of the source of the restoration from being changed while it is being performed (that is, preventing the restoration operation of the device as the source from modifying its own disk contents) You can restore your device's disks reliably and quickly.

또한, 본 발명에 의하면, 복원 소스가 되는 기기의 작동을 중지시킬 경우, 복원 기기에 존재하는 필수 프로그램을 실행하여 복원대상 기기의 디스크 복원 과정에도 복원대상 기기가 수행해야 하는 기능을 지속적으로 수행할 수 있도록 하는 효과가 있다.In addition, according to the present invention, when the operation of the device serving as the restoration source is stopped, the essential program existing in the restoration device is executed to continuously perform the function to be performed by the restoration target device even in the disk restoration process of the restoration target device. has the effect of making it possible.

또한, 본 발명에 의하면, 램섬웨어나 맬웨어에 감염된 복원대상 기기에 연결된 복원 기기의 데이터 로그를 통해 복원대상 기기의 특정 데이터 부분을 효과적으로 복원할 수 있다.Also, according to the present invention, it is possible to effectively restore a specific data portion of the restoration target device through the data log of the restoration device connected to the restoration target device infected with ramsomware or malware.

아울러, 본 발명에 의하면, 복원대상 기기가 랜섬웨어나 맬웨어에 감염된 경우, 복원대상 기기에 결합하는 복원 기기를 이용하여 복원대상 기기의 감염된 디스크 내 소프트웨어 시스템을 복원하여 사물인터넷, 스마트 팩토리 내에서 해당 IoT 기기나 산업제어시스템 기기로서 요구되는 필수 기능을 유지할 수 있도록 하는 효과가 있다.In addition, according to the present invention, when the restoration target device is infected with ransomware or malware, the software system in the infected disk of the restoration target device is restored using the restoration device coupled to the restoration target device, and the corresponding device in the Internet of Things and Smart Factory. It has the effect of maintaining essential functions required as IoT devices or industrial control system devices.

도 1은 본 발명의 일실시예에 따른 랜섬웨어 피해 복원을 위한 P2P(pear to pear) 디스크 복원 방법을 구현하는 시스템(이하 간략히 '디스크 복원 장치)의 거시적 IoT 환경 구성을 설명하기 위한 블록도이다.
도 2는 도 1의 디스크 복원 장치에 채용할 수 있는 IoT 기기의 환경 구성을 설명하기 위한 블록도이다.
도 3은 도 2의 IoT 기기와 복원 기기를 예시한 도면이다.
도 4는 도 3의 IoT 기기와 복원 기기의 구성에 대한 개략적인 블록도이다.
도 5 및 도 6은 본 발명의 다른 실시예에 따른 디스크 복원 장치에 대한 작동 원리를 설명하기 위한 구성도들이다.
도 7a 및 도 7b는 도 5의 디스크 복원 장치에 대한 작동 원리를 설명하기 위한 흐름도이다.
도 8은 도 5의 디스크 복원 장치의 복원 기기에 채용할 수 있는 또 다른 제1 구성을 나타낸 블록도이다.
도 9는 도 5의 디스크 복원 장치의 복원 기기에 채용할 수 있는 또 다른 제2 구성을 나타낸 블록도이다.
도 10은 도 5의 디스크 복원 장치의 복원 기기에 채용할 수 있는 또 다른 제3 구성을 나타낸 블록도이다.
도 11은 도 5의 디스크 복원 장치의 복원 관리 서버에 채용할 수 있는 구성을 나타낸 블록도이다.1 is a block diagram for explaining the macroscopic IoT environment configuration of a system (hereinafter briefly referred to as 'disk restoration device) for implementing a P2P (pear to pear) disk restoration method for ransomware damage restoration according to an embodiment of the present invention. .
FIG. 2 is a block diagram illustrating an environment configuration of an IoT device that can be employed in the disk restoration apparatus of FIG. 1 .
3 is a diagram illustrating an IoT device and a restoration device of FIG. 2 .
4 is a schematic block diagram of the configuration of the IoT device and the restoration device of FIG. 3 .
5 and 6 are configuration diagrams for explaining the operating principle of the disk restoration apparatus according to another embodiment of the present invention.
7A and 7B are flowcharts for explaining the operating principle of the disk restoration apparatus of FIG. 5 .
8 is a block diagram showing another first configuration that can be employed in the restoration apparatus of the disk restoration apparatus of FIG. 5 .
9 is a block diagram showing another second configuration that can be employed in the restoration apparatus of the disk restoration apparatus of FIG. 5 .
FIG. 10 is a block diagram showing another third configuration that can be employed in the restoration apparatus of the disk restoration apparatus of FIG. 5 .
11 is a block diagram showing a configuration employable in the restoration management server of the disk restoration apparatus of FIG. 5 .

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Since the present invention can have various changes and can have various embodiments, specific embodiments are illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents and substitutes included in the spirit and scope of the present invention.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.Terms such as first, second, etc. may be used to describe various elements, but the elements should not be limited by the terms. The above terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, a first component may be referred to as a second component, and similarly, a second component may also be referred to as a first component. and/or includes a combination of a plurality of related listed items or any of a plurality of related listed items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is referred to as being “connected” or “connected” to another component, it may be directly connected or connected to the other component, but it is understood that other components may exist in between. it should be On the other hand, when it is said that a certain element is "directly connected" or "directly connected" to another element, it should be understood that the other element does not exist in the middle.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in the present application are only used to describe specific embodiments, and are not intended to limit the present invention. The singular expression includes the plural expression unless the context clearly dictates otherwise. In the present application, terms such as “comprise” or “have” are intended to designate that a feature, number, step, operation, component, part, or combination thereof described in the specification exists, but one or more other features It is to be understood that this does not preclude the possibility of the presence or addition of numbers, steps, operations, components, parts, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in a commonly used dictionary should be interpreted as having a meaning consistent with the meaning in the context of the related art, and should not be interpreted in an ideal or excessively formal meaning unless explicitly defined in the present application. does not

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the accompanying drawings. In describing the present invention, in order to facilitate the overall understanding, the same reference numerals are used for the same components in the drawings, and duplicate descriptions of the same components are omitted.

본 실시예의 상세 설명에 앞서, 사물인터넷(internet of thing, IoT)이나 산업제어시스템(industry control system, ICS) 환경을 정의하면, 사물인터넷이나 산업제어시스템 환경은 여러 대의 동일한 기기가 사용되고 있는 환경으로서, 시스템 소프트웨어 혹은 필수 어플리케이션의 복원만으로 기기를 정상 동작하게 만들 수 있는 환경을 가리킨다.Prior to the detailed description of this embodiment, if an Internet of thing (IoT) or an industrial control system (ICS) environment is defined, the Internet of Things or an industrial control system environment is an environment in which several identical devices are used. , refers to an environment that can make the device operate normally only by restoring system software or essential applications.

또한, 용어 'IoT 기기'는 수동 작업 없이 유선 혹은 무선 네트워크 상에서 신호 혹은 데이터를 수신하고 전송하는 물리적 기기를 지칭하며, 본 실시예서는 사물인터넷이나 산업제어시스템에서 사용되는 센서, 조절 장치, 네트워크 통신 기기, 로봇 팔의 동작 제어기 등을 포함할 수 있다. 그리고 용어 '디스크'는 주저장장치와 혼용하여 사용될 수 있다.In addition, the term 'IoT device' refers to a physical device that receives and transmits signals or data on a wired or wireless network without manual operation. It may include a device, a motion controller of a robotic arm, and the like. In addition, the term 'disk' may be used interchangeably with the main storage device.

도 1은 본 발명의 일실시예에 따른 랜섬웨어 피해 복원을 위한 P2P(pear to pear) 디스크 복원 방법을 구현하는 시스템(이하 간략히 '디스크 복원 장치)의 거시적 IoT 환경 구성을 설명하기 위한 블록도이다. 도 2는 도 1의 디스크 복원 장치에 채용할 수 있는 IoT 기기의 환경 구성을 설명하기 위한 블록도이다.1 is a block diagram for explaining the macroscopic IoT environment configuration of a system (hereinafter briefly referred to as 'disk restoration device) for implementing a P2P (pear to pear) disk restoration method for ransomware damage restoration according to an embodiment of the present invention. . FIG. 2 is a block diagram illustrating an environment configuration of an IoT device that can be employed in the disk restoration apparatus of FIG. 1 .

도 1을 참조하면, 본 실시예에 따른 디스크 복원 장치은 복수의 IoT 기기들(10 내지 13 및 20 내지 23)과 복원 관리 서버(100)를 포함한다. 디스크 복원 장치은 동종 기기를 포함한 다수의 IoT 기기들이 존재하는 환경에서 IoT 기기들(10 내지 13 및 20 내지 23)에 연결되는 복원 관리 서버(100)를 통해 램섬웨어 피해나 맬웨어 피해를 당한 IoT 기기내 디스크의 복원 관리를 수행한다.Referring to FIG. 1 , the disk restoration apparatus according to the present embodiment includes a plurality of IoT devices 10 to 13 and 20 to 23 and a restoration management server 100 . The disk restoration device is an IoT device that has been damaged by ramsomware or malware through the restoration management server 100 connected to the IoT devices 10 to 13 and 20 to 23 in an environment in which a plurality of IoT devices including the same type of device exist. Performs disk restoration management.

본 실시예에 따른 IoT 기기(10)는 도 2에 도시한 바와 같이 주저장장치(11)를 포함한다. 주저장장치(11)는 시스템 소프트웨어(12)와 데이터(13)를 저장한다. 본 실시예에서 하나의 IoT 기기(10)는 하나의 복원 기기(15)에 연결되거나 하나의 복원 기기(15)를 포함하도록 구성된다. 복원 기기(15)는 복원 프로그램(16)을 탑재한다. 복원 프로그램(16)은 랜섬웨어나 맬웨어에 감염된 IoT 기기(10)의 디스크를 복원하기 위한 긴급 시스템 소프트웨어의 기능을 포함한다.The IoT device 10 according to the present embodiment includes a primary storage device 11 as shown in FIG. 2 . The main storage device 11 stores system software 12 and data 13 . In this embodiment, one IoT device 10 is connected to one restoration device 15 or is configured to include one restoration device 15 . The restoration device 15 is equipped with a restoration program 16 . The restoration program 16 includes a function of emergency system software to restore the disk of the IoT device 10 infected with ransomware or malware.

IoT 기기(10)와 복원 기기(15)는 유선 통신이나 무선 통신을 포함한 네트워크를 통해 복원 관리 서버(100)와 신호를 주고받을 수 있다. 본 실시예에서 복원 기기(15)와 복원 관리 서버(100)는 랜섬웨어나 맬웨어에 감염된 IoT 기기(10)의 디스크를 복원하거나 복원 중에 그 기능을 유지하도록 작동한다.The IoT device 10 and the restoration device 15 may send and receive signals to and from the restoration management server 100 through a network including wired communication or wireless communication. In the present embodiment, the restoration device 15 and the restoration management server 100 operate to restore the disk of the IoT device 10 infected with ransomware or malware or to maintain its functions during restoration.

좀더 상세히 설명하면, 복원 관리 서버(100)는 IoT 기기들 사이의 P2P(pear to pear) 복원을 중개하는 역할을 한다. 복원 관리 서버(100)는 P2P 복원 과정에서 IoT 기기의 사용을 종료하거나, 복원 기기(15)의 동작을 제어하고, 복원 프로그램(16)을 통해 IoT 기기(10)를 부팅하는 동작을 관리할 수 있다. 즉, 복원 관리 서버(100)는 IoT 기기(10)의 종료 및 재부팅과 복원 기기(15)의 동작을 관리할 수 있다.In more detail, the restoration management server 100 serves as an intermediary for P2P (pear to pear) restoration between IoT devices. The restoration management server 100 may end the use of the IoT device in the P2P restoration process, control the operation of the restoration device 15 , and manage the operation of booting the IoT device 10 through the restoration program 16 . have. That is, the restoration management server 100 may manage the termination and rebooting of the IoT device 10 and the operation of the restoration device 15 .

본 실시예에 의하면, 복원 관리 서버(100)가 P2P 복원 과정에 필요한 IoT 기기들를 제어하나 실제 P2P 복원은 해당 IoT 기기들 사이에서 이루어지므로, 본 실시예의 디스크 복원 장치는 서버가 감염되지 않은 디스크 이미지를 직접 가지고 배포하는 기본 방식에 비해 복원 관리 서버의 부하를 줄일 수 있는 장점이 있다.According to the present embodiment, the restoration management server 100 controls the IoT devices necessary for the P2P restoration process, but the actual P2P restoration is performed between the corresponding IoT devices. Compared to the basic method of having and distributing a server directly, it has the advantage of reducing the load on the restoration management server.

도 3은 도 2의 IoT 기기와 복원 기기를 예시한 도면이다. 도 4는 도 3의 IoT 기기와 복원 기기의 구성에 대한 개략적인 블록도이다.3 is a diagram illustrating an IoT device and a restoration device of FIG. 2 . 4 is a schematic block diagram of the configuration of the IoT device and the restoration device of FIG. 3 .

도 3을 참조하면, 본 실시예에 따른 디스크 복원 장치는 IoT 기기(10)와 복원 기기(15) 및 이들의 연결 수단(14)을 포함한다. IoT 기기(10)는 미노우보드 터봇(MinnowBoard Turbot)으로 구현될 수 있고, 또한 그 변형예에서 미노우보드 터봇과 동일하거나 유사한 기능을 수행하는 수단이나 구성부를 포함하는 장치로 구현될 수 있다.Referring to FIG. 3 , the disk restoration apparatus according to the present embodiment includes an IoT device 10 , a restoration device 15 , and their connection means 14 . The IoT device 10 may be implemented as a MinnowBoard Turbot, and in a modified example thereof, may be implemented as a device including means or components performing the same or similar functions as the MinnowBoard Turbot.

그리고 복원 기기(15)는 라즈베리 파이 제로(Raspberry pi zero)를 사용하여 구현될 수 있고, 또한 라즈베리 파이 제로와 동일하거나 유사한 기능을 수행하는 수단이나 구성부를 포함하는 장치로 구현될 수 있다.In addition, the restoration device 15 may be implemented using a Raspberry pi zero, and may also be implemented as a device including a means or a component for performing the same or similar function as the Raspberry pi zero.

IoT 기기(10)와 복원 기기(15)는 범용직렬버스(universal serial bus, USB)로 연결될 수 있으나, 이러한 연결 수단(14)은 USB로 한정되는 것은 아니며, 다양한 유선 네트워크의 다른 연결 방식들 중 어느 하나 이상이나 기존의 무선 네트워크의 연결 방식 중 어느 하나 이상을 구현한 수단이나 구성부를 선택하여 사용할 수 있다.The IoT device 10 and the restoration device 15 may be connected by a universal serial bus (USB), but the connection means 14 is not limited to USB, and among other connection methods of various wired networks, Any one or more may be selected and used as a means or a component that implements any one or more of the existing wireless network connection methods.

IoT 기기(10)는 SD 카드(secure digital card)를 주저장장치로 사용할 수 있으며, 그 시스템 소프트웨어로는 우분투 서버(Ubuntu server)를 사용할 수 있다. 여기서, IoT 기기(10)는 스마트 팩토리 등을 위한 산업제어시스템 기기를 포함한다.The IoT device 10 may use a secure digital card (SD) as a primary storage device, and an Ubuntu server may be used as the system software. Here, the IoT device 10 includes an industrial control system device for a smart factory or the like.

전술한 IoT 기기(10)와 복원 기기(15)의 쌍은 IoT 환경이나 산업제어시스템 환경에서 다수개가 존재하는 것으로 가정하고, IoT 기기(10)와 복원 기기(15) 각각은 USB 등의 또 다른 연결 수단을 통해 복원 관리 서버에 연결될 수 있다.It is assumed that a plurality of pairs of the above-described IoT device 10 and the restoration device 15 exist in an IoT environment or an industrial control system environment, and each of the IoT device 10 and the restoration device 15 is another such as USB. It may be connected to the restoration management server through a connection means.

전술한 디스크 복원 환경에서, 랜섬웨어나 맬웨어 등의 바이러스에 IoT 기기(10)가 감염되면, IoT 기기(10)의 주저장장치에 저장된 내용들은 암화화된다. 특히, 시스템 소프트웨어가 암호화되는 경우, IoT 기기(10)는 부팅이 불가능하게 되고 IoT 기기의 사용이 불가능하게 된다. 따라서 IoT 기기(10)의 복원이 요구된다.In the aforementioned disk restoration environment, when the IoT device 10 is infected with a virus such as ransomware or malware, the contents stored in the main storage device of the IoT device 10 are encrypted. In particular, when the system software is encrypted, the IoT device 10 becomes unbootable and the use of the IoT device becomes impossible. Therefore, restoration of the IoT device 10 is required.

IoT 기기(10)를 복원한다는 것은 IoT 기기(10)가 그 기능을 수행할 수 있도록 하는 것을 의미한다. 즉, 도 4에 도시한 바와 같이, IoT 기기(10)의 기능을 수행하기 위해서는 시스템 소프트웨어(12) 및 데이터(13) 내 필수 어플리케이션의 복원이 필수적이다.Restoring the IoT device 10 means enabling the IoT device 10 to perform its function. That is, as shown in FIG. 4 , in order to perform the function of the IoT device 10 , it is essential to restore essential applications in the system software 12 and data 13 .

IoT 기기(10)가 랜섬웨어나 맬웨어에 의해 감염되면, 복원 관리 서버(100)는 복원 기기(15)를 활성화시키고, IoT 기기(10)의 주저장장치(11)를 통한 부팅이 불가능하기 때문에 복원 기기(15)를 통해 IoT 기기(10)의 복원과 부팅을 진행한다. 복원 기기(15)의 복원 프로그램(16)은 주저장장치(11)의 복원을 위한 긴급 복구 프로그램으로서 기능한다.When the IoT device 10 is infected by ransomware or malware, the restoration management server 100 activates the restoration device 15 and it is impossible to boot through the main storage device 11 of the IoT device 10 . Restoration and booting of the IoT device 10 are performed through the restoration device 15 . The restoration program 16 of the restoration device 15 functions as an emergency restoration program for restoration of the primary storage device 11 .

이 때, 복원 기기(15)는 원격 전원(17)을 구비하며, 이를 토대로 복원 관리 서버(100)는 IoT 기기(10)의 복원이 필요할 때만 해당 복원 기기(15)를 작동시킬 수 있다. 즉, 복원 기기(15)는 IoT 기기(10)의 랜섬웨어 피해를 복원하고자 하는 경우에만 원격 전원(17)을 통해 선택적으로 활성화될 수 있다.At this time, the restoration device 15 is provided with a remote power source 17 , and based on this, the restoration management server 100 may operate the restoration device 15 only when restoration of the IoT device 10 is required. That is, the restoration device 15 may be selectively activated through the remote power supply 17 only when it is desired to restore the ransomware damage of the IoT device 10 .

위에서 설명한 바와 같이, 본 실시예에 따른 디스크 복원 장치에 채용할 수 있는 시스템 환경은 다음과 같다. 복원 관리 서버가 연결되는 네트워크 내에 동일한 시스템 소프트웨어 등을 가진 동종 IoT 기기들이 존재하며, 이러한 IoT 기기들은 시스템의 핵심적인 기능을 수행하고, 그 기능은 별도로 존재하는 복원 관리 서버와 상호작용한다.As described above, the system environment that can be employed in the disk restoration apparatus according to the present embodiment is as follows. Homogeneous IoT devices having the same system software, etc. exist in the network to which the restoration management server is connected, and these IoT devices perform a core function of the system, and the function interacts with the restoration management server that exists separately.

그리고 IoT 기기가 랜섬웨어에 감염되면 해당 IoT 기기는 부팅이 불가능하며 사용할 수 없게 된다. IoT 기기가 본래의 기능을 수행하도록 복원하기 위해서는 해당 IoT 기기의 시스템 소프트웨어의 복원이 필수적이다. 이러한 환경에서 랜섬웨어에 감염된 IoT 기기의 복원을 위하여 본 실시예에 따른 디스크 복원 장치의 복원 기기는 대응되는 한 개의 대상 IoT 기기와 연결되어 있으며, 대상 IoT 기기를 복원하기 위한 복원 프로그램을 구비한다.And if an IoT device is infected with ransomware, the IoT device becomes unbootable and unusable. In order to restore the IoT device to perform its original function, it is essential to restore the system software of the corresponding IoT device. In order to restore an IoT device infected with ransomware in such an environment, the restoration device of the disk restoration device according to the present embodiment is connected to one corresponding target IoT device, and includes a restoration program for restoring the target IoT device.

복원 프로그램은 대상 IoT 기기의 주저장장치의 복원을 위한 긴급 복구 기능을 수행한다. 복원 기기는 원격 전원을 통해 복원이 필요할 때만 작동할 수 있다. 복원 기기에는 대상 IoT 기기의 기능 유지를 위한 프로그램과 데이터 복원을 위한 로그 프로그램, 독립 저장 장치가 구비될 수 있다.The restoration program performs an emergency recovery function for restoration of the primary storage device of the target IoT device. Restoration devices can only be operated when restoration is required via remote power. The restoration device may include a program for maintaining the function of the target IoT device, a log program for data restoration, and an independent storage device.

복원 관리 서버는 IoT 기기 및 복원 기기와 각각 통신하며, 복원 기능을 지원한다. 랜섬웨어에 감염된 IoT 기기는 작동이 불가능하므로, 감염됨 IoT 기기를 작동하기 위해 복원 관리 서버는 랜섬웨어에 감염된 IoT 기기에 연결되고 복원 소프트웨어를 탑재한 복원 기기를 활성화시킨다. 복원 기기는 랜섬웨어의 감염 전에 IoT 기기에 물리적으로 연결되어 있는 상태일 수 있다. 복원 기기는 감염된 IoT 기기의 피해 디스크에 접근할 수 있도록 설치되어 있으므로, 감염되지 않은 다른 IoT 기기의 디스크 내용을 복제하여 감염된 IoT 기기의 디스크에 저장하도록 동작할 수 있다. 이와 같이, 본 실시예에 의하면, 감염 디스크의 피해를 복원하고 올바른 동작을 재개할 수 있다.The restoration management server communicates with the IoT device and the restoration device, respectively, and supports the restoration function. Since IoT devices infected with ransomware cannot be operated, the restoration management server is connected to the IoT devices infected with ransomware and activates the restoration devices equipped with restoration software to operate the infected IoT devices. The restoration device may be physically connected to the IoT device before the ransomware infection. Since the restoration device is installed to access the damaged disk of the infected IoT device, it can operate to copy the disk contents of other uninfected IoT devices and save them to the disk of the infected IoT device. In this way, according to the present embodiment, damage to the infected disk can be restored and correct operation can be resumed.

만약 복제의 원천이 되는 IoT 기기가 작동할 때 해당 IoT 기기의 디스크 내용을 수정하는 시스템이라면, 복제 원천이 되는 IoT 기기를 종료하고 감염 디스크의 피해를 복원할 수 있다.If the system that modifies the disk contents of the IoT device when the IoT device that is the source of replication is operating, the IoT device that is the source of replication can be shut down and the damage to the infected disk can be restored.

이 때 복원 기기를 이용하여 사물인터넷, 스마트 팩토리에서 끊어지면 안되는 IoT 기기의 본래 기능을 수행할 수 있다. 이를 위해, 디스크 복원 장치는 데이터의 로그(log) 및 복원을 이용하여 랜섬웨어 피해를 복원할 때 시스템 소프트웨어나 필수 어플리케이션뿐만 아니라 이러한 프로그램으로 인해 생성된 데이터들도 복원하도록 구현될 수 있다.In this case, the restoration device can be used to perform the original functions of IoT devices that should not be disconnected in the Internet of Things and Smart Factory. To this end, the disk restoration apparatus may be implemented to restore data generated by such a program as well as system software or essential applications when restoring ransomware damage using a log and restoration of data.

도 5 및 도 6은 본 발명의 다른 실시예에 따른 디스크 복원 장치에 대한 작동 원리를 설명하기 위한 구성도들이다. 그리고 도 7a 및 도 7b는 도 5의 디스크 복원 장치에 대한 작동 원리를 설명하기 위한 흐름도이다.5 and 6 are configuration diagrams for explaining the operating principle of the disk restoration apparatus according to another embodiment of the present invention. 7A and 7B are flowcharts for explaining the operating principle of the disk restoration apparatus of FIG. 5 .

도 5 내지 도 7a 및 도 7b를 참조하면, 본 실시예에 따른 디스크 복원 방법에 있어서, 복원 관리 서버(100)는 IoT 센서나 관리자 입력 등에 의해 제1 IoT 기기(10)의 랜섬웨어 피해를 감지할 수 있다(S71). 제1 IoT 기기(10)에 대한 랜섬웨어 피해가 발생하면, 복원 관리 서버(100)는 제1 트리거 신호나 제1 제어 신호를 전송하여 제1 IoT 기기(10)에 연결되어 있는 제1 복원 기기(15a)를 작동시킨다(S72). 제1 복원 기기(15a)는 제1 제어 신호에 응하여 복원 프로그램을 작동시킬 수 있다(S72a).5 to 7A and 7B , in the disk restoration method according to the present embodiment, the restoration management server 100 detects ransomware damage of the first IoT device 10 by an IoT sensor or a manager input, etc. It can be done (S71). When ransomware damage to the first IoT device 10 occurs, the restoration management server 100 transmits a first trigger signal or a first control signal to the first restoration device connected to the first IoT device 10 . (15a) is operated (S72). The first restoration device 15a may operate the restoration program in response to the first control signal (S72a).

다음, 제1 복원 기기(15a)는 제1 제어 신호에 응하여 복원 프로그램(16)을 통해 IoT 환경이나 산업제어시스템 환경 내에 랜섬웨어의 피해 없이 온전하게 작동 중인 동종의 IoT 기기에 대한 탐색을 복원 관리 서버(100)에 요청한다(S73). 그리고 제1 복원 기기(15a)는 제1 제어 신호에 응하여 미리 저장된 제어 모듈을 통해 제1 IoT 기기(10)의 시스템 소프트웨어의 기능을 수행한다(S76c 참조).Next, the first restoration device 15a restores and manages the search for the same type of IoT device in full operation without damage from ransomware in the IoT environment or the industrial control system environment through the restoration program 16 in response to the first control signal. A request is made to the server 100 (S73). And the first restoration device 15a performs the function of the system software of the first IoT device 10 through the control module stored in advance in response to the first control signal (see S76c).

다음, 복원 관리 서버(100)는 동종 IoT 기기 탐색에 대한 제1 요청 메시지에 포함된 특정 종류의 IoT 기기가 현재 연결된 네트워크인 IoT 환경이나 산업제어시스템 환경 내에 존재하는지를 탐색한다(S74). 탐색은 네트워크로 연결되어 있는 IoT 기기들에 소정의 핑(ping) 신호 등의 미리 설정된 동작 체크 신호를 전송하고 그에 대한 피드백을 받음으로써 수행될 수 있다.Next, the restoration management server 100 discovers whether a specific type of IoT device included in the first request message for discovery of the same type of IoT device exists in the IoT environment or the industrial control system environment, which is the currently connected network (S74). The discovery may be performed by transmitting a preset operation check signal, such as a predetermined ping signal, to IoT devices connected through a network and receiving feedback thereon.

다음, 제2 IoT 기기(20)가 정상 작동 중인 동종 IoT 기기로 탐색되면, 복원 관리 서버(100)는 제2 트리거 신호나 제2 제어 신호를 통해 탐색된 제2 IoT 기기(20)의 제2 복원 기기(15b)를 작동시킨다(S75).Next, when the second IoT device 20 is discovered as the same type of IoT device in normal operation, the restoration management server 100 controls the second IoT device 20 discovered through the second trigger signal or the second control signal. The restoration device 15b is operated (S75).

이 때, 제2 복원 기기(15b)의 작동이 제2 IoT 기기(20)의 주저장장치(11)에 저장된 시스템 소프트웨어(12)를 변경하도록 설정되어 있는 경우, 제2 트리거 신호나 제2 제어 신호는 제2 IoT 기기(20)를 우선 종료하도록 하는 메시지나 명령을 포함할 수 있다. 물론 변형예에서, 복원 관리 서버(100)는 탐색된 제2 IoT 기기(20)의 작동을 중지시키는 별도의 신호나 명령을 전달하여 먼저 제2 IoT 기기(20)의 시스템 소프트웨어(12)를 종료시킬 수 있다. 그런 다음, 제2 IoT 기기(20)는 제2 복원 기기(15b)의 활성화 상태에서 다시 부틱되어 정상 동작할 수 있다.At this time, when the operation of the second restoration device 15b is set to change the system software 12 stored in the primary storage device 11 of the second IoT device 20, the second trigger signal or the second control The signal may include a message or a command to first terminate the second IoT device 20 . Of course, in a modified example, the restoration management server 100 first terminates the system software 12 of the second IoT device 20 by transmitting a separate signal or command to stop the operation of the discovered second IoT device 20 . can do it Then, the second IoT device 20 may boot again in the activated state of the second restoration device 15b and operate normally.

다음, 제2 복원 기기(15b)는 제2 제어 신호에 응하여 제2 IoT 기기(20)에 미리 설정된 제3 제어 신호나 그에 대응하는 명령을 전달(S76a)함으로써 제2 IoT 기기(20)가 주저장장치(11)에 저장된 내용을 미리 설정된 네트워크 경로(30)를 통해 제1 IoT 기기(10)으로 전송(S76b)하도록 기능한다. 이때, 제1 복원 기기(15a)의 복원 프로그램은 제1 IoT 기기(10)의 제어 모듈로서 제2 IoT 기기(20)의 주저장장치(11)의 내용을 수신하고, 수신한 내용을 제1 IoT 기기(10)의 주저장장치(11)에 덮어쓰기 하도록 기능한다(S76c).Next, the second restoration device 15b transmits a preset third control signal or a command corresponding thereto to the second IoT device 20 in response to the second control signal (S76a) so that the second IoT device 20 is the main It functions to transmit (S76b) the contents stored in the storage device 11 to the first IoT device 10 through a preset network path 30 . At this time, the restoration program of the first restoration device 15a receives the contents of the main storage device 11 of the second IoT device 20 as a control module of the first IoT device 10 , and transmits the received contents to the first It functions to overwrite the main storage device 11 of the IoT device 10 (S76c).

다음, 제1 IoT 기기(10)의 주저장장치(11)에 제2 IoT 기기(20)의 주저장장치(11)의 내용이 모두 덮어씌워지면(S77a), 제1 복원 기기(15a)는 제1 IoT 기기(10)를 재부팅한다(S77b). 이 때, 제1 IoT 기기(10)의 재부팅은 제1 IoT 기기(10)의 복원된 주저장장치(11)을 이용하여 부팅한다.Next, when all the contents of the main storage device 11 of the second IoT device 20 are overwritten on the main storage device 11 of the first IoT device 10 (S77a), the first restoration device 15a is The first IoT device 10 is rebooted (S77b). At this time, the reboot of the first IoT device 10 is booted using the restored main storage device 11 of the first IoT device 10 .

본 실시예에 의하면, 제2 IoT 기기(20)과 제1 IoT 기기(12) 간의 P2P 디스크 복원을 통해 랜섬웨어에 감염된 제1 IoT 기기(10)의 디스크를 복원하여 자체 부팅할 수 있다.According to the present embodiment, the disk of the first IoT device 10 infected with ransomware can be restored and booted by itself through P2P disk restoration between the second IoT device 20 and the first IoT device 12 .

아울러, 제1 복원 기기(15a)는 제1 IoT 기기(10)의 복원된 디스크 내용 중 미리 설정된 일부 데이터 부분을 삭제하도록 설정될 수 있다. 또한, 제1 복원 기기(15a)는 랜섬웨어에 감염되기 전에 제1 IoT 기기(10)로부터 받아 저장하고 있던 일부 데이터를 사용하여 제1 IoT 기기(10)의 복원된 디스크의 내용 일부를 초기화하도록 구현될 수 있다. 그 경우, 제1 복원 기기(15a)는 제1 IoT 기기(10)의 데이터 내용을 별도로 로깅해 두기 위한 데이터 로그 프로그램과 일부 데이터 내용을 저장하는 별도의 독립된 저장 공간을 구비할 수 있다.In addition, the first restoration device 15a may be set to delete a preset partial data part among the restored disk contents of the first IoT device 10 . In addition, the first restoration device 15a initializes a part of the contents of the restored disk of the first IoT device 10 using some data received from the first IoT device 10 and stored before being infected with the ransomware. can be implemented. In this case, the first restoration device 15a may include a data log program for separately logging data contents of the first IoT device 10 and a separate independent storage space for storing some data contents.

다음, 제1 IoT 기기(10)의 재부팅 및 데이터 초기화가 완료되면(S78a), 복원 관리 서버(100)는 작동종료신호 등을 전달(S78b)하여 제1 복원 기기(15a)와 제2 복원 기기(15b)의 작동을 종료할 수 있다(S79a, S79b). 제1 IoT 기기(10)의 재부팅 및 데이터 초기화의 완료는 제1 IoT 기기(10)에서 전달되는 신호나 데이터에 기초하여 복원 관리 서버(100)가 제1 IoT 기기의 정상 동작을 감지하는 것으로 구현될 수 있다.Next, when the reboot and data initialization of the first IoT device 10 are completed (S78a), the restoration management server 100 transmits an operation termination signal, etc. (S78b) to the first restoration device 15a and the second restoration device The operation of (15b) can be ended (S79a, S79b). The reboot of the first IoT device 10 and completion of data initialization are implemented by the restoration management server 100 detecting a normal operation of the first IoT device based on a signal or data transmitted from the first IoT device 10 . can be

도 8은 도 5의 디스크 복원 장치의 복원 기기에 채용할 수 있는 또 다른 제1 구성을 나타낸 블록도이다. 그리고 도 9는 도 5의 디스크 복원 장치의 복원 기기에 채용할 수 있는 또 다른 제2 구성을 나타낸 블록도이다. 8 is a block diagram showing another first configuration that can be employed in the restoration apparatus of the disk restoration apparatus of FIG. 5 . And FIG. 9 is a block diagram showing another second configuration that can be employed in the restoration apparatus of the disk restoration apparatus of FIG. 5 .

도 8을 참조하면, 본 실시예에 따른 디스크 복원 장치의 복원 기기(15)는 복원 프로그램(16), 원격 전원(17) 및 기능 유지 프로그램(18)을 탑재한다.Referring to FIG. 8 , the restoration device 15 of the disk restoration apparatus according to the present embodiment is equipped with a restoration program 16 , a remote power source 17 , and a function maintenance program 18 .

복원 프로그램(16)은 복원 기기의 기본 구성요소로서 대응 IoT 기기가 랜섬웨어에 감염되었을 때 대응 IoT 기기의 디스크를 복원하기 위한 것이다.The restoration program 16 is a basic component of the restoration device to restore the disk of the corresponding IoT device when the corresponding IoT device is infected with ransomware.

원격 전원(17)은 복원 프로그램(16)이 대응 IoT 기기의 랜섬웨어 감염 상황에서 복원 기기(15)의 선택적 부팅에 사용하기 위한 것이다. 즉, 원격 전원(17)은 복원 프로그램(16)이 파일 시스템으로 포맷되어야 할 때 대응 IoT 기기의 랜섬웨어 감염시 복원 기기(15)도 랜섬웨어의 피해에 노출되지 않도록 필요한 경우에만 복원 기기(15)나 복원 프로그램(16)을 선택적으로 기동시켜 사용할 수 있도록 기능한다.The remote power source 17 is used by the restoration program 16 to selectively boot the restoration device 15 in a ransomware infection situation of the corresponding IoT device. That is, the remote power source 17 only needs the restoration device 15 so that the restoration device 15 is not exposed to the damage of the ransomware when the corresponding IoT device is infected with ransomware when the restoration program 16 needs to be formatted as a file system. ) or the restoration program 16 is selectively activated and used.

기능 유지 프로그램(18)은 복원 기기(15)의 복원 프로그램(16) 내부에 탑재된다. 기능 유지 프로그램(18)은 스마트 팩토리 등의 IoT 기기와 같이 IoT 기기의 지속적인 작동을 필요로 하는 경우에 대응 IoT 기기가 부팅되는 시간 동안 대응 IoT 기기의 필수적인 기능을 수행할 수 있다. 필수적인 기능은 예를 들어 센서 측정, 네트워크 통신, 로봇 팔의 동작 등을 포함할 수 있다.The function maintenance program 18 is mounted inside the restoration program 16 of the restoration device 15 . The function maintenance program 18 may perform essential functions of the corresponding IoT device while the corresponding IoT device is booted when continuous operation of the IoT device is required, such as an IoT device such as a smart factory. Essential functions may include, for example, sensor measurement, network communication, operation of a robotic arm, and the like.

한편, 기능 유지 프로그램(18)은 도 9에 도시한 바와 같이 복원 기기(15)의 복원 프로그램(16) 내부에 탑재되지 않고 별도의 소프트웨어(16a)에 복원 프로그램(16)과 함께 탑재될 수 있다.On the other hand, the function maintenance program 18 is not mounted inside the restoration program 16 of the restoration device 15 as shown in FIG. 9 , but may be loaded together with the restoration program 16 in a separate software 16a. .

이러한 기능 유지 프로그램(18)은 랜섬웨어에 감염된 IoT 기기나 감염됨 IoT 기기에 디스크 내용을 복사하여 전달하는 정상 동작 IoT 기기에 모두 사용될 수 있다.The function maintenance program 18 may be used for both an IoT device infected with ransomware or a normally operating IoT device that copies and delivers the disk contents to the infected IoT device.

예를 들어, 실제 동작하고 있고 IoT 기기의 디스크를 복사의 소스(source)로 사용할 때, IoT 기기의 작동이 시스템 소프트웨어 영역을 덮어쓰는 경우와 단순 복사하는 경우가 존재할 수 있다.For example, when the disk of the IoT device is actually operated and the disk of the IoT device is used as a copy source, there may be a case where the operation of the IoT device overwrites the system software area or a case where a simple copy is made.

시스템 소프트웨어 영역을 덮어쓰는 경우, 본 실시예에서는 해당 IoT 기기를 종료하여 덮어쓰기가 발생하지 못하게 하고, 복원 기기를 통해 디스크 복사를 수행하도록 구현된다.In the case of overwriting the system software area, in the present embodiment, the corresponding IoT device is terminated to prevent overwriting from occurring, and the disk copy is performed through the restoration device.

그리고, 디스크 복사 과정에서 IoT 기기의 종료가 필요한 이유는 디스크 복사 도중에 즉, 복사의 시작 시점과 복사의 종료 시점에 소스 디크스의 내용이 동일하게 유지되도록, 다시 말해서 소스 디스크의 내용 특히 시스템 소프트웨어의 변동사항이 없도록 하기 위함이다. 디스크 내용 복사는 IoT 기기의 성능과 통신의 성능에 따라 소요 시간이 다르며, 그러한 이유로 복사 도중에 시스템 소프트웨어 부분이 변경된다면, 변경된 부분의 무결성(integrity)가 손상되고, 그에 의해 복사된 시스템 소프트웨어가 해당 IoT 기기에서 정상 기능을 제공하지 않을 수 있다. 따라서, 이러한 문제를 방지하기 위해 시스템 소프트웨어를 포함한 디스크 복사 시에 IoT 기기의 종료를 선택할 수 있다.And, the reason that the IoT device needs to be terminated in the disk copy process is that the contents of the source disk remain the same during the disk copy, that is, at the start point of the copy and the end point of the copy, that is, the contents of the source disk, especially the system software. This is to ensure that there are no changes. The time required for copying disk contents varies depending on the performance of the IoT device and the performance of communication. The device may not provide normal functions. Therefore, in order to prevent such a problem, it is possible to select the termination of the IoT device when copying the disk including the system software.

도 10은 도 5의 디스크 복원 장치의 복원 기기에 채용할 수 있는 또 다른 제3 구성을 나타낸 블록도이다.FIG. 10 is a block diagram showing another third configuration that can be employed in the restoration apparatus of the disk restoration apparatus of FIG. 5 .

도 10을 참조하면, 본 실시예에 따른 디스크 복원 장치의 복원 기기(15)는 복원 프로그램(16), 원격 전원(17), 기능 유지 프로그램(18), 데이터 로그 프로그램(19a) 및 저장 공간(19b)을 구비한다. 복원 프로그램(16), 기능 유지 프로그램(18) 및 데이터 로그 프로그램(19a)은 별도의 소프트웨어(16b)에 함께 탑재될 수 있다.Referring to FIG. 10 , the restoration device 15 of the disk restoration apparatus according to the present embodiment includes a restoration program 16 , a remote power supply 17 , a function maintenance program 18 , a data log program 19a and a storage space ( 19b) is provided. The restoration program 16, the function maintenance program 18, and the data log program 19a may be loaded together in a separate software 16b.

데이터 로그 프로그램(19a)은 IoT 기기의 데이터 부분 내용이 수정될 때, 해당 수정 오퍼레이션에 대한 내용을 로그(log)로 남길 수 있다. 이러한 로그는 복원 기기(15) 내부의 별도의 저장 공간(19b)에 저장된다. 즉, 본 실시예에서 로그는 하드웨어 레벨로 저장된다. 그리고 저장된 로그는 복원 기기(15)의 독립된 저장 공간(19b)에 저장되므로 IoT 기기에서는 볼 수 없게 된다.When the content of the data part of the IoT device is modified, the data log program 19a may leave the contents of the corresponding modification operation as a log. These logs are stored in a separate storage space 19b inside the restoration device 15 . That is, in the present embodiment, the log is stored at the hardware level. And since the stored log is stored in the independent storage space 19b of the restoration device 15, it cannot be viewed in the IoT device.

이와 같이, 본 실시예에서는 데이터 로그 프로그램(19a)을 지원함으로써 복원 대상이 되는 IoT 기기의 데이터까지 복원할 수 있다.As described above, in the present embodiment, by supporting the data log program 19a, even data of an IoT device to be restored can be restored.

또한, IoT 기기의 시스템 소프트웨어 복원 후에, 복원 기기(15)는 독립된 저장 공간(19b)에서 데이터 수정 로그를 불러와 재실행하는 방식으로 IoT 기기의 데이터를 복원할 수 있다.In addition, after restoring the system software of the IoT device, the restoration device 15 may restore the data of the IoT device by calling the data modification log from the independent storage space 19b and re-executing it.

또한, 복원 기기(15)에서 복원 프로그램(16), 기능 유지 프로그램(18), 데이터 로그 프로그램(19a) 등의 다양한 기능을 제공하는 경우, 본 실시예의 복원 관리 서버나 복원 기기를 포함하는 디스크 복원 장치에서는 복원 기기에 탑재된 기능성 프로그램의 실행 유무를 선택적으로 결정하거나 필요시 선택적으로 기동시키도록 구성함으로써 램섬웨어에 의해 복원 프로그램 등의 기능성 프로그램이 감염되는 것을 방지할 수 있다. 예를 들어, IoT 기기의 데이터 부분을 로그(log)로 남길 때, 데이터 로그 프로그램만을 실행하면, IoT 기기에서 복원 프로그램이 보이지 않아 IoT 기기의 랜섬웨어의 감염시에 복원 기기의 프로그램이 함께 감염되는 것을 방지할 수 있다.In addition, when the restoration device 15 provides various functions such as the restoration program 16, the function maintenance program 18, and the data log program 19a, the restoration management server of the present embodiment or disk restoration including the restoration device In the device, it is possible to prevent a functional program such as a restoration program from being infected by ramsomware by selectively determining whether to execute the functional program mounted on the restoration device or selectively starting it when necessary. For example, when the data part of the IoT device is left as a log, if only the data log program is executed, the restoration program is not visible in the IoT device, so when the IoT device is infected with ransomware, the program of the restoration device is also infected. it can be prevented

도 11은 도 5의 디스크 복원 장치의 복원 관리 서버에 채용할 수 있는 구성을 나타낸 블록도이다.11 is a block diagram showing a configuration that can be employed in the restoration management server of the disk restoration apparatus of FIG. 5 .

도 11을 참조하면, 본 실시예에 따른 복원 관리 서버(100)는 감지부(110), 제어신호 생성부(120), 메시지 처리부(130) 및 탐색부(140)를 포함한다.Referring to FIG. 11 , the restoration management server 100 according to the present embodiment includes a sensing unit 110 , a control signal generating unit 120 , a message processing unit 130 , and a search unit 140 .

복원 관리 서버(100)는 감지부(110)에 의해 네트워크 내 제1 IoT 기기가 랜섬웨어 또는 맬웨어에 의해 감염된 것을 감지하고, 감지부(110)에 연결된 제어신호 생성부(120)를 통해 제1 IoT 기기에 연결된 제1 복원 기기에 전송할 제1 제어 신호를 생성한다.The restoration management server 100 detects that the first IoT device in the network is infected by ransomware or malware by the detection unit 110 , and uses the control signal generation unit 120 connected to the detection unit 110 to first A first control signal to be transmitted to the first restoration device connected to the IoT device is generated.

또한, 복원 관리 서버(100)는 메시지 처리부(130)를 통해 제1 복원 기기로부터 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 받고, 탐색 요청에 포함된 제1 IoT 기기의 기기 정보를 추출한다.In addition, the restoration management server 100 receives a discovery request for a second IoT device of the same type as the first IoT device from the first restoration device through the message processing unit 130 , and the device of the first IoT device included in the discovery request. extract information

그리고, 복원 관리 서버(100)는 제1 IoT 기기의 기기 정보에 기초하여 탐색부(140)를 통해 네트워크 내에 존재하는 제2 IoT 기기를 탐색한다.Then, the restoration management server 100 searches for a second IoT device existing in the network through the search unit 140 based on device information of the first IoT device.

제2 IoT 기기가 탐색되면, 복원 관리 서버(100)는 제어신호 생성부(120)를 통해 제2 제어 신호를 생성하고, 제2 제어 신호를 제2 IoT 기기에 연결되어 있는 제2 복원 기기에 전달한다. 이 때, 제2 복원 기기는 제2 제어 신호에 응하여 제2 IoT 기기의 동작을 제어함으로써 제2 IoT 기기가 주저장장치의 내용을 복사하여 제1 IoT 기기의 주저장장치를 덮어쓰기할 수 있도록 한다.When the second IoT device is discovered, the restoration management server 100 generates a second control signal through the control signal generator 120 and sends the second control signal to the second restoration device connected to the second IoT device. transmit At this time, the second restoration device controls the operation of the second IoT device in response to the second control signal so that the second IoT device can overwrite the primary storage device of the first IoT device by copying the contents of the primary storage device. do.

제1 IoT 기기의 주저장장치의 덮어쓰기 및 재부팅에 의해 제1 IoT 기기의 복원이 완료되면, 복원 관리 서버는 네트워크 상에서 제1 IoT 기기의 정상 상태를 감지하고, 그에 따라 제어신호 생성부(120)를 통해 상기 제1 복원 기기 및 상기 제2 복원 기기의 작동을 종료하기 위한 제어신호나 작동종료신호를 생성할 수 있다.When the restoration of the first IoT device is completed by overwriting and rebooting the main storage device of the first IoT device, the restoration management server detects the normal state of the first IoT device on the network, and accordingly the control signal generator 120 ) through which a control signal or an operation end signal for terminating the operation of the first restoration device and the second restoration device may be generated.

전술한 실시예에 의하면, 랜섬웨어, 맬웨어 등으로 인해 사물인터넷이나 산업제어시스템 환경 내의 IoT 기기의 디스크 내용이 손상되었을 때, 실제 작동하고 있는 다른 동종 IoT 기기의 디스크 내용을 복사하여 손상된 디스크 내용을 효과적으로 복원하여 해당 IoT 기기가 신속하게 복구되어 정상작동할 수 있도록 한다.According to the above embodiment, when the disk contents of the IoT device in the Internet of Things or industrial control system environment are damaged due to ransomware, malware, etc. It can be restored effectively so that the IoT device can be quickly restored and operated normally.

한편, 전술한 실시예들을 통해 설명한 랜섬웨어 피해 복원을 위한 P2P 디스크 복원 방법은 다양한 컴퓨터 수단을 통해 수행될 수 있는 모듈이나 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 모듈은 하드웨어, 소프트웨어, 펌웨어(firmware) 또는 이들의 조합을 포함하는 유닛을 의미할 수 있다. 유닛은 예를 들어 로직(logic), 논리 블록(logical block), 부품(component) 또는 회로(circuit) 등으로 지칭될 수 있으며, 본 실시예에 따른 방법을 위한 일련의 동작을 수행하는 ASIC(application-specific integrated circuit) 칩, FPGA(field-programmable gate arrays) 및 프로그램 가능 논리 장치(programmable-logic device) 중 적어도 어느 하나를 포함할 수 있다.On the other hand, the P2P disk restoration method for ransomware damage restoration described through the above-described embodiments may be implemented in the form of a module or program command that can be executed through various computer means and recorded in a computer readable medium. A module may refer to a unit including hardware, software, firmware, or a combination thereof. The unit may be referred to, for example, as a logic, a logical block, a component, or a circuit, and an ASIC (application) that performs a series of operations for the method according to the present embodiment. It may include at least one of a specific integrated circuit (FPGA) chip, field-programmable gate arrays (FPGA), and a programmable-logic device.

컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위해 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용가능한 것일 수 있다.The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the computer readable medium may be specially designed and configured for the present invention, or may be known and available to those skilled in the art of computer software.

또한 컴퓨터 판독 가능 매체의 예에는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함한다. 상술한 하드웨어 장치는 본 실시예에 따른 랜섬웨어 피해 복원을 위한 P2P 디스크 복원 방법의 일련의 동작을 수행하기 위해 적어도 하나의 소프트웨어 모듈로 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of computer-readable media also include hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The above-described hardware device may be configured to operate as at least one software module to perform a series of operations of the P2P disk restoration method for restoring ransomware damage according to the present embodiment, and vice versa.

이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although it has been described with reference to the above embodiments, those skilled in the art will understand that various modifications and changes can be made to the present invention without departing from the spirit and scope of the present invention as set forth in the following claims. will be.

Claims (13)

네트워크에 연결되는 복원 관리 서버에 의해 실행되는, 랜섬웨어나 맬웨어에 의해 감염된 디스크의 복원을 위한 P2P(pear to pear) 디스크 복원 방법으로서,
네트워크 내에서 랜섬웨어나 맬웨어에 감염된 제1 IoT(internet of thing) 기기에 연결되어 있는 제1 복원 기기를 활성화하는 단계;
상기 제1 복원 기기로부터 상기 제1 IoT 기기와 동종의 제2 IoT 기기의 탐색 요청을 받는 단계;
상기 탐색 요청에 포함된 상기 제1 IoT 기기에 대한 기기 정보에 기초하여 상기 네트워크 내 상기 제2 IoT 기기를 탐색하는 단계; 및
상기 제1 IoT 기기의 복원 요청을 탐색된 제2 IoT 기기에 연결된 제2 복원 기기에 전달하는 단계;를 포함하는 P2P 디스크 복원 방법.A P2P (pear to pear) disk restoration method for restoring a disk infected by ransomware or malware, which is executed by a network-connected restoration management server, comprising:
activating a first restoration device connected to a first internet of thing (IoT) device infected with ransomware or malware in a network;
receiving a search request for a second IoT device of the same type as the first IoT device from the first restoration device;
discovering the second IoT device in the network based on device information on the first IoT device included in the discovery request; and
and transmitting the restoration request of the first IoT device to a second restoration device connected to the discovered second IoT device. 청구항 1에 있어서,
상기 제2 복원 기기의 동작 제어에 의해 상기 제2 IoT 기기는 자신의 주저장장치에 저장된 청크 또는 펌웨어를 복사하여 상기 제1 IoT 기기의 주저장장치에 실시간 덮어쓰기하는, P2P 디스크 복원 방법.The method according to claim 1,
The P2P disk restoration method, wherein the second IoT device copies the chunk or firmware stored in its primary storage device and overwrites it in real time in the primary storage device of the first IoT device by controlling the operation of the second restoration device. 청구항 1에 있어서,
상기 네트워크에서 주저장장치의 복원에 의한 상기 제1 IoT 기기의 정상 상태가 감지되면, 상기 제1 복원 기기 및 상기 제2 복원 기기의 작동을 종료하는 단계를 더 포함하는, P2P 디스크 복원 방법.The method according to claim 1,
The P2P disk restoration method further comprising terminating the operation of the first restoration device and the second restoration device when a normal state of the first IoT device is detected by restoration of the primary storage device in the network. 네트워크에 연결되는 복원 기기에 의해 실행되는, 랜섬웨어나 맬웨어에 의해 감염된 디스크의 복원을 위한 P2P(pear to pear) 디스크 복원 방법으로서,
네트워크 내에서 랜섬웨어나 맬웨어에 감염된 제1 IoT(internet of thing) 기기에 연결되고 상기 네트워크에 연결되어 있는 복원 관리 서버로부터 활성화를 위한 제1 제어 신호를 수신하는 단계;
상기 제1 제어 신호에 응하여 상기 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 상기 복원 관리 서버에 전송하는 단계;
상기 제1 제어 신호에 응하여 상기 제1 IoT 기기의 시스템 소프트웨어로서 기능하는 단계;
상기 탐색 요청에 포함된 상기 제1 IoT 기기에 대한 기기 정보에 기초하여 상기 네트워크에 연결된 복원 관리 서버에 의해 탐색된 상기 제2 IoT 기기로부터의 상기 제1 IoT 기기의 주저장장치에 대한 덮어쓰기를 허용하는 단계; 및
상기 덮어쓰기가 완료되면 상기 제1 IoT 기기를 재부팅하는 단계;를 포함하는 P2P 디스크 복원 방법.A P2P (pear to pear) disk restoration method for restoration of a disk infected by ransomware or malware, which is executed by a network-connected restoration device, comprising:
Receiving a first control signal for activation from a restoration management server connected to a first Internet of thing (IoT) device infected with ransomware or malware in a network and connected to the network;
transmitting a search request for a second IoT device of the same type as the first IoT device to the restoration management server in response to the first control signal;
functioning as system software of the first IoT device in response to the first control signal;
Overwriting of the main storage device of the first IoT device from the second IoT device discovered by the restoration management server connected to the network based on the device information on the first IoT device included in the discovery request allowing; and
and rebooting the first IoT device when the overwriting is completed. 청구항 4에 있어서,
상기 제1 제어 신호에 응하여 자체 저장된 기능 유지 프로그램에 의해 상기 제1 IoT 기기의 재부팅이 완료될 때까지 상기 제1 IoT 기기의 본래 기능을 수행하는 단계를 더 포함하는 P2P 디스크 복원 방법.5. The method according to claim 4,
and performing the original function of the first IoT device until the reboot of the first IoT device is completed by a self-stored function maintenance program in response to the first control signal. 청구항 4에 있어서,
상기 제2 IoT 기기에 연결되는 제2 복원 기기는 상기 복원 관리 서버로부터의 제2 제어 신호에 응하여 활성화될 때 상기 덮어쓰기의 동작을 위해 상기 제2 IoT 기기의 주저장장치의 내용이 수정되는 경우, 상기 덮어쓰기의 동작 시간동안 상기 제2 IoT 기기의 특정 기능의 동작을 한시적으로 중지시키는, P2P 디스크 복원 방법.5. The method according to claim 4,
When the second restoration device connected to the second IoT device is activated in response to a second control signal from the restoration management server, when the contents of the main storage device of the second IoT device are modified for the overwrite operation , P2P disk restoration method for temporarily stopping the operation of a specific function of the second IoT device during the operation time of the overwrite. 청구항 4에 있어서,
상기 복원 기기는 자체 저장된 데이터 로그 프로그램에 의해 상기 제1 IoT 기기의 정상 동작 상태에서 상기 제1 IoT 기기의 데이터 부분 내용이 수정될 때 해당 수정 오퍼레이션에 대한 내용을 로그로 별도의 자체 저장 공간에 저장하고, 상기 덮어쓰기의 완료 후에 상기 저장 공간에 저장된 로그에 기초하여 상기 제1 IoT 기기의 데이터를 복구하는, P2P 디스크 복원 방법.5. The method according to claim 4,
When the data part content of the first IoT device is modified in the normal operating state of the first IoT device by the self-stored data log program, the restoration device stores the contents of the corresponding modification operation as a log in a separate self-storage space and recovering the data of the first IoT device based on the log stored in the storage space after the overwriting is completed. 네트워크에 연결되는 복원 관리 서버와 복원 기기를 포함하는, 랜섬웨어나 맬웨어에 의해 감염된 제1 IoT(internet of thing) 기기의 주저장장치의 복원을 위한 P2P(pear to pear) 디스크 복원 장치로서, 상기 복원 기기는,
상기 복원 관리 서버로부터 제1 제어 신호를 수신하고, 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 상기 복원 관리 서버에 전송하고, 상기 제1 제어 신호에 응하여 상기 제1 IoT 기기의 시스템 소프트웨어로서 기능하며, 상기 탐색 요청에 포함된 상기 제1 IoT 기기에 대한 기기 정보에 기초하여 상기 복원 관리 서버에 의해 탐색된 제2 IoT 기기로부터의 상기 제1 IoT 기기의 주저장장치에 대한 덮어쓰기를 허용하고, 상기 덮어쓰기가 완료되면 상기 제1 IoT 기기를 재부팅하는 복원 프로그램; 및
상기 제1 제어 신호 또는 별도의 트리거 신호나 액티베이션 신호에 기초하여 상기 복원 기기에 전원을 공급하여 상기 복원 기기를 활성화하는 원격 전원;
을 포함하는 P2P 디스크 복원 장치.As a P2P (pear to pear) disk restoration device for restoration of a primary storage device of a first IoT (internet of thing) device infected by ransomware or malware, including a restoration management server connected to a network and a restoration device, the above restoration device,
Receives a first control signal from the restoration management server, and transmits a search request for a second IoT device of the same type as the first IoT device to the restoration management server in response to the first control signal, and the first control signal The first IoT from a second IoT device that functions as the system software of the first IoT device in response and is discovered by the restoration management server based on device information about the first IoT device included in the discovery request a restoration program that allows overwriting of the main storage device of the device and reboots the first IoT device when the overwriting is completed; and
a remote power supply for activating the restoration device by supplying power to the restoration device based on the first control signal or a separate trigger signal or activation signal;
A P2P disk restore device comprising a. 청구항 8에 있어서,
상기 제1 제어 신호에 응하여 상기 제1 IoT 기기의 복원 혹은 상기 재부팅이 완료될 때까지 상기 제1 IoT 기기의 본래 기능을 수행하는 기능 유지 프로그램을 더 포함하는 P2P 디스크 복원 장치.9. The method of claim 8,
The P2P disk restoration apparatus further comprising a function maintenance program for performing the original function of the first IoT device until the restoration or the rebooting of the first IoT device is completed in response to the first control signal. 청구항 8에 있어서,
상기 제1 IoT 기기의 정상 동작 상태에서 상기 제1 IoT 기기의 데이터 부분 내용이 수정될 때 해당 수정 오퍼레이션에 대한 내용을 로그로 저장하고, 상기 덮어쓰기의 완료 후에 기저장된 상기 로그에 기초하여 상기 제1 IoT 기기의 데이터를 복구하는 데이터 로그 프로그램; 및
상기 데이터 로그 프로그램에 의해 지정되는 로그를 저장하는 저장 공간;을 더 포함하는 P2P 디스크 복원 장치.9. The method of claim 8,
When the contents of the data part of the first IoT device are modified in the normal operating state of the first IoT device, the contents of the corresponding modification operation are stored as a log, and after the overwriting is completed, the second IoT device is stored based on the previously stored log. 1 Data log program to recover data from IoT devices; and
The P2P disk restoration device further comprising a; storage space for storing the log specified by the data log program. 네트워크에 연결되는 복원 관리 서버와 복원 기기를 포함하는, 랜섬웨어나 맬웨어에 의해 감염된 디스크의 복원을 위한 P2P(pear to pear) 디스크 복원 장치로서, 상기 복원 관리 서버는,
상기 네트워크 내 제1 IoT 기기의 랜섬웨어 또는 맬웨어 피해 감지에 따라 상기 제1 IoT 기기에 연결된 제1 복원 기기에 전송할 제1 제어 신호를 생성하는 제어신호 생성부;
상기 제1 복원 기기로부터 상기 제1 IoT 기기와 동종의 제2 IoT 기기에 대한 탐색 요청을 받고, 상기 탐색 요청에 포함된 상기 제1 IoT 기기의 기기 정보를 추출하는 메시지 처리부; 및
상기 제1 IoT 기기의 기기 정보에 기초하여 상기 네트워크 내에서 상기 제2 IoT 기기를 탐색하는 탐색부;를 포함하는 P2P 디스크 복원 장치.A P2P (pear to pear) disk restoration device for restoring a disk infected by ransomware or malware, comprising a network-connected restoration management server and a restoration device, the restoration management server comprising:
a control signal generator configured to generate a first control signal to be transmitted to a first restoration device connected to the first IoT device according to the detection of ransomware or malware damage of the first IoT device in the network;
a message processing unit receiving a search request for a second IoT device of the same type as the first IoT device from the first restoration device, and extracting device information of the first IoT device included in the discovery request; and
P2P disk restoration apparatus comprising a; a search unit for searching for the second IoT device in the network based on the device information of the first IoT device. 청구항 11에 있어서,
상기 네트워크 내 상기 제1 IoT 기기의 랜섬웨어 또는 맬웨어 피해를 감지하는 감지부를 더 포함하며, 상기 감지부에서 생성된 출력 신호는 상기 제어신호 생성부에 전달되는 P2P 디스크 복원 장치.12. The method of claim 11,
The P2P disk restoration apparatus further comprises a detection unit for detecting ransomware or malware damage of the first IoT device in the network, wherein the output signal generated by the detection unit is transmitted to the control signal generation unit. 청구항 12에 있어서,
상기 제1 IoT 기기의 주저장장치의 복원에 따라 네트워크 상에서 상기 제1 IoT 기기의 정상 상태가 상기 감지부에 감지되면, 상기 감지부의 신호에 따라 상기 제어신호 생성부는 상기 제1 복원 기기 및 상기 제2 IoT 기기에 연결된 제2 복원 기기의 작동을 종료하기 위한 제어신호나 작동종료신호를 생성하는, P2P 디스크 복원 장치.13. The method of claim 12,
When the normal state of the first IoT device on the network is detected by the sensing unit according to the restoration of the main storage device of the first IoT device, the control signal generating unit according to the signal of the sensing unit may include the first restoration device and the second storage device. 2 A P2P disk restoration device that generates a control signal or an operation termination signal for terminating the operation of the second restoration device connected to the IoT device.
KR1020200186971A 2020-12-30 2020-12-30 Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware KR102433435B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200186971A KR102433435B1 (en) 2020-12-30 2020-12-30 Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200186971A KR102433435B1 (en) 2020-12-30 2020-12-30 Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware

Publications (2)

Publication Number Publication Date
KR20220095454A KR20220095454A (en) 2022-07-07
KR102433435B1 true KR102433435B1 (en) 2022-08-18

Family

ID=82398279

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200186971A KR102433435B1 (en) 2020-12-30 2020-12-30 Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware

Country Status (1)

Country Link
KR (1) KR102433435B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101954976B1 (en) 2018-10-02 2019-03-06 이현욱 System for managing data backup and method thereof

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090090801A (en) * 2008-02-22 2009-08-26 삼성전자주식회사 Method and apparatus for updating firmware in portable terminal
JP6303198B2 (en) * 2012-08-29 2018-04-04 インテル・コーポレーション Portable communication device, method and program for recovering operating system on portable communication device
KR101616444B1 (en) * 2014-07-07 2016-04-29 라임아이 주식회사 Remote Managing System for Machine to Machine Device Using Near Field Communication
KR102423084B1 (en) 2016-04-26 2022-07-19 삼성에스디에스 주식회사 Method and apparatus for updating firmware on IoT device using P2P
KR102086375B1 (en) 2018-06-11 2020-03-09 남서울대학교 산학협력단 System and method for real time prevention and post recovery for malicious software

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101954976B1 (en) 2018-10-02 2019-03-06 이현욱 System for managing data backup and method thereof

Also Published As

Publication number Publication date
KR20220095454A (en) 2022-07-07

Similar Documents

Publication Publication Date Title
US10956270B2 (en) System and method for data protection during full data backup
US9569226B2 (en) Baseboard management controller and method of loading firmware
US7454655B2 (en) Autonomic recovery of PPRC errors detected by PPRC peer
US20130138940A1 (en) Computer system and method for updating basic input/output system thereof
CN104156298B (en) Application monitoring method and device
CN111158767B (en) BMC-based server safe starting method and device
CN109471699B (en) Virtual machine incremental backup system based on difference bitmap characteristics of Qcow2 image file
CN105144113A (en) Recovery of application from snapshot
JP2014515858A (en) Method and apparatus for recombining executing instructions
JP6255336B2 (en) Secure data storage method and device
KR102460078B1 (en) Method of making efficient backup space for original file using difference (delta) extraction method in disarming operation and apparatus therefor
CN103034561B (en) Command transfer method and the relevant apparatus of USB
TW201301024A (en) Active server monitoring apparatus and active server monitoring method
KR101024249B1 (en) Real-time data replication system
US10216595B2 (en) Information processing apparatus, control method for the information processing apparatus, and recording medium
US7634625B2 (en) Storage system and method for copying volumes by inspection of data security
KR102433435B1 (en) Method and apparatus for restoring disk in pear to pear for restoring damage from ransomware
WO2018001262A1 (en) Method, apparatus and system for disaster recovery of virtual machine
US9665582B2 (en) Software, systems, and methods for enhanced replication within virtual machine environments
US10353613B2 (en) Computer system and control method therefor for handling path failure
JP5961059B2 (en) Information processing apparatus and activation method thereof
US7822959B2 (en) Method for a SCSI target controller to safely shut down an operating system by the use of a standard SCSI initiator command
CN108108635B (en) Data security processing method, device and system
CN103593612B (en) A kind of method and device of processing rogue program
KR102019483B1 (en) Removable storage device and security method thereof

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant