KR20010029480A - 데이터베이스 서버 및 메일 서버에 사용되는 앤티바이러스 에이 - Google Patents

Abstract

본 발명은 e-메일 메세지의 첨부에 위치하는 컴퓨터 바이러스를 검출하고 제거하기 위한 소프트웨어 에이전트(110)에 관한 것이다. 클라이언트-서버 컴퓨터 네트워크는 서버 컴퓨터 및 복수 개의 클라이언트 컴퓨터를 포함한다. 서버 컴퓨터에 위치한 메세지 시스템(130)은 e-메일 메세지의 전달을 제어한다. 서버 컴퓨터에 위치한 앤티-바이러스 모듈(120)은 바이러스를 찾기 위해서 파일을 스캔한다. 에이전트(110)는 서버 컴퓨터에 위치하며, 앤티바이러스 모듈(120)과 메세지 시스템(130)간의 인터페이스를 제공한다. 에이전트는 실시간 베이스 및 미리 설정된 시간 주기로 동작할 수 있다. 네트워크 내에서 내부적으로 전송되는 e-메일 메세지, 예컨대 인터넷 e-메일 메세지는 스캔될 수 있다. 또한, 인터넷을 통하여 수신되는 e-메일 메세지도 스캔될 수 있다.

Description

데이터베이스 서버 및 메일 서버에 사용되는 앤티바이러스 에이전트{ANTI-VIRUS AGENT FOR USE WITH DATABASES AND MAIL SERVERS}

컴퓨터 바이러스는 권한 없이, 컴퓨터가 동작하는 방식을 변경하도록 작성된 컴퓨터 프로그램이다.

생물학적인 바이러스와 유사하게, 컴퓨터 바이러스는 다른 파일에 부착하여 그 자신을 재생할 수 있다.

컴퓨터 바이러스가 되기 위해서는, 프로그램은 단지 다음의 두 가지의 기준을 만족시키기만 하면 된다. 첫째로, 실행 가능하여야 하는 것으로서, 그 자신의 일부 코드 버젼을 다른 프로그램의 실행 경로에 둔다. 종종, 컴퓨터 바이러스는 그 자신이 직접 실행된다. 둘째로, 그 자신을 복제한다. 예컨대, 바이러스 프로그램은 그 자신을 다른 실행 파일에 복제하거나 또는 사용자가 액세스하는 디스크에 복제할 수 있다. 다수의 컴퓨터 바이러스는 그 자신을 기타 실행 파일에 부착한다.

바이러스는 감염된 파일이 복제되거나 다운로드되거나 또는 사용될 경우 전염되게 된다. 바이러스는 (데스크톱 컴퓨터 및 랩톱 컴퓨터를 포함하는) 워크스테이션 및 네트워크 서버 등을 공격할 수 있다.

대부분의 바이러스는, 실행될 경우 감염된 컴퓨터 또는 네트워크 서버에 손상을 끼치게 된다. 일부 바이러스는 프로그램을 손상시키고, 파일을 삭제하거나 또는 하드 디스크를 재포맷팅시킴으로써 컴퓨터에 손상을 주도록 프로그램된다. 바이러스가 손상을 가하는 경우, 컴퓨터를 감염시킨 특정한 바이러스에 따라서 손상은 다양할 수 있다. 일반적으로, 바이러스는 다음과 같은 손상을 컴퓨터에 끼칠 수 있다. 즉, 컴퓨터의 동작을 중지시키고, 파일을 삭제하며, 하드 디스크 상에 저장된 데이터를 스크램블시키고, 파일 할당 테이블(File Allocation Table: FAT)를 공격하며, 파티션 테이블(partition table)을 공격하고, 하드디스크를 포맷하는 것이다.

기타 바이러스는 그 자신을 계속해서 재생하거나 또는 텍스트, 비디오 또는 오디오 메세지를 출력하는 등의 사용자를 귀찮게 한다. 그러나, 이러한 심각하지 않은 바이러스도 대개 정상적인 프로그램에 의해 사용되는 컴퓨터 메모리를 차지하기 때문에 컴퓨터 사용자에게 문제를 일으킬 수 있다. 그 결과, 이들 바이러스는 시스템에 오류를 일으켜서 시스템을 고장나게 하는 원인이 된다. 또한, 대부분의 바이러스에는 버그가 포함되어 있기 때문에, 이들 버그는 시스템 고장을 일으키고 데이터 손상을 일으킨다.

개인용 컴퓨터 바이러스는 바이러스가 전염되는 방식과 컴퓨터를 감염시키는 방식에 따라서 분류될 수 있다. 부트 섹터 바이러스(boot sector virus)는 플로피 디스크 및 하드 디스크 상의 부트 레코드라고 하는 디스크의 시스템 영역을 감염시킨다. (데이터만을 포함하고 있는 디스크를 포함한) 모든 플로피 디스크 및 하드 디스크는 컴퓨터가 시동될 때 실행되는 조그만 프로그램을 부트 레코드에 가지고 있다. 부트 섹터 바이러스는 그 자신을 디스크의 이 부분에 부착하여, 사용자가 감염된 디스크로부터 시동하고자 할 때 활성화된다. 따라서, 부트 섹터 바이러스는 자신의 코드로 디스크의 원래의 부트 섹터를 오버라이트(overwrite)하여, 다른 어떠한 프로그램보다 먼저 바이러스가 메모리 내에 로드되도록 한다. 메모리에 상주되면, 바이러스는 시동 디스크를 사용할 수 없게 만들거나 또는 다른 디스크에 전염시킬 수 있다. 마스터 부트 섹터 바이러스는 하드 디스크 상의 제1 섹터인 디스크의 마스터 부트 영역(파티션 테이블)을 오버라이트한다. 파일 바이러스는 감염된 프로그램이 실행될 때, 다른 프로그램을 감염시킨다. 파일 바이러스가 활성화되기 위해서는 실행되어야 한다. 이들 파일 바이러스는 메모리에 상주하지 않기 때문에, 시스템을 감염시키지는 않는다. 파일 바이러스는 (확장자가 .COM, .EXE, .OVL, .DLL, .DRV, .SYS, .BIN 및 .BAT 등인 실행 파일 등의) 실행 파일에 그 자신을 부착한다. 이들 바이러스는 종종 파일 속성 정보 및 파일 크기, 시간 및 데이터 정보를 변경시킨다. 메모리 상주 바이러스는 그 자신을 메모리에 로드하여 운영 체제의 제어를 넘겨 받는다. 파일 바이러스와 같은 메모리 상주 바이러스는 그 자신을 실행 파일에 부착한다. 여러 부분으로 된 바이러스는 메모리 상주 특성, 파일 및 부트 섹터 바이러스를 조합한다.

바이러스의 최근 형태인 매크로 바이러스(macro virus)는 워드 프로세서 또는 스프레드쉬트와 같은 특정 컴퓨터 프로그램의 매크로 언어로 작성되고 있다. 따라서, 매크로 바이어스는 문서 내에 상주할 수 있다. 매크로 바이러스는 파일을 감염시키고, 실행될 때 메모리에 상주할 수 있게 된다. 이들 매크로 바이러스는 특정 키를 치거나 특정 메뉴를 선택하는 것과 같이 사용자의 특정 동작에 의해 프로그램 문서가 개시되거나 또는 액세스될 때 실행될 수 있다. 매크로 바이러스는 임의의 확장자로서 파일에 저장될 수 있으며, 심지어는 e-메일과 같은 파일 전송을 통하여 전염된다. 종래의 문서가 전술한 형태의 바이러스에 의해 감염된 바가 없다고 하더라도, 자동적으로 실행되는 매크로를 지원하는 어떠한 애플리케이션도 매크로 바이러스에 감염될 가능성이 있다. 현재, 문서가 네트워크를 통하거나 인터넷을 통하여 공유되고 있기 때문에, 종래에 디스켓을 공유하는 것과 마찬가지로 문서 기반형 바이러스는 더 유행될 가능성이 있다.

바이러스를 생성하는 일이 고의적인 행위라 하더라도, 모르고 있는 사용자가 감염된 파일을 컴퓨터 또는 네트워크에 복제하거나 또는 다운로드할 때 바이러스는 통상적으로 도입되게 되며, 부주의하게 네트워크에 유입되게 된다.

통상적인 앤티바이러스 소프트웨어는 컴퓨터 바이러스를 찾아내어 제거하도록 설계되고 있다. 바이러스는 하드 디스크 전체를 스캐닝하거나 각 파일이 액세스될 때 실시간으로 동작하는 두 가지의 기본적인 방법으로 앤티바이러스 소프트웨어에 의해 검출된다. 대부분의 앤티바이러스 소프트웨어는 이들 두 가지의 기능을 모두 제공한다. 또한, 앤티바이러스 프로그램은 하나 이상의 사용자 선택 파일 또는 파일 디렉토리를 스캐닝하도록 지시될 수 있다.

전술한 하드 디스크 전체를 스캐닝하는 방법과 실시간 스캐닝 방법은 어떤 프로그램을 바이러스로서 식별하는 (바이러스 지문과 같은) 표시 코드를 사용하여 기지의 바이러스를 찾아낸다. 또한, 일부 앤티바이러스 소프트웨어는 [다형성 검출(polymorphic detection)과 같은] 진보된 기법을 사용하여 잠재적인 바이러스를 식별하고 바이러스를 찾기 위해서 메모리 및 시스템 파일을 검사한다.

기존의 앤티바이러스 제품은 데이터를 컴퓨터 메모리에 입력하는 주요한 장치로서 플로피 디스크가 사용되는 경우 매우 양호하게 동작한다. 그러나, 최근, 전자적인 형태의 데이터를 교환하는 데에 전자적인 전송이 통상적인 방법으로 되고 있다. 놀랍지 않게도, 전자적인 전송이 바이러스의 주 위협 대상이 역시 되고 있다. 기존의 앤티바이러스 기술은 바이러스가 컴퓨터 네트워크에 도입되고 확산되는 것을 방지하는 안전 장치를 제공하고 있지를 못한다.

다수의 회사들은 메세지를 교환하는 데에 컴퓨터 네트워크가 프로그램 및 데이터를 공유하도록 하고 있다. 네트워킹을 사용하여, (예컨대, 클라이언트-서버 네트워크, 피어-투-피어 네트워크, 국부 통신망 및 광역 통신망을 사용하여) 기업 컴퓨팅 환경 및 조직 내부의 통신이 증가함에 따라서, 조직내의 컴퓨터 시스템을 통하여 바이러스가 용이하게 유포되어 여러 컴퓨터들을 감염시킬 수 있다. 이들에 대한 해결책으로써 사용하는 데에 데이터 교환이 매우 합리적이므로, 기업내의 하나의 컴퓨터 상에서의 바이러스는 수 년전에 그래왔듯이 다른 컴퓨터와 통신하여 더 잘 감염시킬 수 있다. 더욱이, 다수의 기업 내부 네트워크는 (인터넷, 전용 온라인 서비스 및 불리틴 보드와 같은) 외부 컴퓨터 네트워크에 대하여 전자적인 링크를 가지고 있다. 이들 링크는 (컴퓨터 바이러스가 감염되었을 수도 있는 것을 포함하는) 전자적인 데이터 및 컴퓨터 프로그램이 조직내의 네트워크내로 도입되도록 한다. [국립 컴퓨터 보안 위원회(NCSA)에 따르면, 70% 이사의 기업 네트워크가 바이러스에 감염되었다고 보고되고 있음]. 네트워크 노드로부터 노드로의 바이러스 전송에 노출됨으로써, 기업의 데이터 무결성 뿐만 아니라 생산성을 위협하는 요인이 되고 있다.

컴퓨터 바이러스의 유포에 관련된 특별한 관심 사항중 하나는 전자 우편(electronic mail: e-메일)이다. (예컨대, 국부 통신망을 사용하는) 조직내에서의 통신 및 (예컨대, 원격지에 위치한 컴퓨터 사용자와의 인터넷을 통한) 외부와의 통신에 e-메일을 사용하는 것이 증가하고 있다. e-메일 메세지는, 예컨대 실행 프로그램, 포맷팅된 문서, 사운드, 비디오 등을 포함하는 첨부된 파일을 포함할 수 있다. e-메일 메세지에의 첨부는 컴퓨터 바이러스가 감염된 파일을 포함할 수 있다는 것으로 보아야 한다. 따라서, 예컨대 인터넷을 통하여 수신된 e-메일 메세지는 첨부로서 Word Macro 바이러스가 감염된 Microsoft Word 문서를 포함할 수 있으며, 프로젝트 관리자에 의해 국부 통신망을 통해 다수의 팀원에게 방송된 e-메일 메세지는 바이러스가 감염된 첨부를 역시 포함할 수 있다.

어떠한 형식의 파일도 e-메일에 첨부될 수 있기 때문에, 첨부를 취급하는 방식을 결정하는 것이 바이러스 보호 소프트웨어에서 종종 난해한 일이다. 또한, 통상적인 e-메일 시스템은 모든 e-메일 메세지를, 첨부된 파일의 포맷에 상관 없이 전용의 파일 포맷으로 메일 서버에 저장한다. 사용자에 의해 수신된 모든 메세지는, 예컨대 "inbox.msg"라는 단일의 파일로서 중앙 메일 서버 상에 저장될 수 있다. 또한, 일부 e-메일 프로그램은 전용의 암호화를 사용한다. LAN 내부로부터 e-메일 첨부를 스캐닝하는 것은 매우 난해한 일인데, 이는 프라이버시 때문에 cc:mail, Microsoft Exchange 및 Davinci와 같은 e-메일 프로그램이 e-메일을 암호화하기 때문이라고 한다. 따라서, e-메일 프로그램에 의해 사용되는 포맷, 알고리즘 및 데이터 구조는 e-메일 첨부에서 바이러스가 확산되는 것을 방지하는 앤티바이러스 프로그램 개발을 난해하게 한다.

손상이 가해지기 전 또는 바이러스가 배포되어 다른 컴퓨터를 감염시키기 전에 가능한 한 빨리 바이러스를 찾아내는 것이 앤티바이러스 프로그램의 중요한 목표이다. 다수의 바이러스 검출 프로그램은, 예컨대 바이러스를 찾기 위해서 외부로 전송되는 e-메일을 스캐닝하지 않기 때문에, 다른 컴퓨터로의 바이어스의 잠재적인 유포를 가능하게 하는 결과가 된다. 통상적으로 사용되는 앤티바이러스 프로그램은, 작성되었지만 송신되지는 않은(즉, 작성되어 나중의 편집 및/또는 송신을 위해 저장된 e-메일 메세지) 드래프트 e-메일 메세지를 스캔하지 않는다. e-메일에 대한 바이러스 검출 소프트웨어는 특정의 정해진 이벤트가 발생할 때에만 특정 e-메일 첨부를 스캐닝한다. 따라서, e-메일 시스템 내부에 바이러스가 들어오거나 확산될 가능성이 있는 때 마다 항상 바이러스를 검출할 필요가 있다.

첨부된 e-메일 파일내에서 바이러스를 스캐닝하는 데 여러 가지의 제품이 있다. 예컨대, 트렌드 마이크로사(Trend Micro Incorporated)에 의해 제공되는 "ScanMail for cc:Mail"은 인터넷을 통하여 전송 받은 e-메일 첨부를 스캐닝할 수 있다. 이 프로그램은 프락시 형식의 소프트웨어인데, 이는 원래의 포스트 오피스(post office)를 자신의 프락시 포스트 오피스(여기서 바이러스 검사가 행해짐)로 대체하고, 바이러스 검사가 끝난 후 바이러스 치료가 완료된 e-메일을 원래의 e-메일 포스트 오피스로 라우팅한다. 따라서, 네트워크의 외부로부터 수신된 e-메일은 시스템 포스트 오피스에 진입하기 전에 먼저 스캐닝된다. (ScanMail은 바이러스가 워크스테이션에 도달하기 전에 cc:Mail 포스트 오피스에서 바이러스를 가로채어 제거함으로써 내부 LAN을 보호한다). 그러나, 이러한 구조로는 인트라넷(Intranet) e-메일 메세지를 스캐닝하는 것이 불가능하다. 내부적으로 송신되고 수신되는 메세지들은 프락시 포스트 오피스를 거치지 않기 때문에 스캔닝할 수가 없다. 따라서, 사용자는 e-메일을 통하여 조직내에 내부적으로 바이러스를 유포시킬 수 있다. ScanMail은 LAN 내에서 발생되고 LAN 내에 머물게 되는 e-메일 첨부내의 바이러스를 검출할 수가 없다.

e-메일 첨부를 스캐닝하는 것을 목표로 하는 또 하나의 제품은 트렌드 마이크로 디바이스사(Trend Micro Devices, Inc.)에서 공급하는 Interscan VirusWall이 있다. UNIX 인터넷 게이트웨이에 설치되면, InterScan VirusWall은 e-메일 첨부, FTP 전송, 월드 와이드 웹 다운로드 및 업로드, 및 내부의 PC 또는 LAN과 외부 세계와의 데이터 전송을 가로채어 스캐닝한다. InterScan VirusWall은 게이트웨이 트래픽을 위한 FTP 프락시 서버 및 e-메일을 위한 Simple Mail Transfer Protocol(SMTP) 프락시 서버로 구성되어 있다. ScanMail 애플리케이션에서와 같이, InterScan VirusWall 프로그램은 인터넷 게이트웨이를 통과하는 e-메일 첨부만을 스캐닝할 수 있으며, LAN 내에서 내부적으로 전송되는 e-메일 첨부를 스캐닝할 수는 없다. 더욱이, InterScan 애플리케이션은 게이트웨이 상에서 실행되고 개별 패킷을 스캐닝하므로, 다형성(polymorphic)의 바이러스 또는 파일이 네트워크 상에서 하나의 패킷 크기보다 더 클 경우 압축된 파일을 검출하는 데에는 충분히 효과적이지 못하다.

시바리(Sybari)에 의해 제공되는 Antigen이라고 하는 제품은 바이러스를 검출하기 위하여 e-메일 첨부를 제3자(third party) 바이러스 스캐너로 전송한다. 그러나, Antigen은 바이러스가 발견되어 치료된 경우, e-메일 첨부를 다시 e-메일 메세지에 재첨부하지를 못한다. Antigen 소프트웨어가 e-메일 첨부를 사용하여 제3자 소프트웨어를 제공하지만, 제3자 소프트웨어가 e-메일 첨부내의 바이러스를 치유하도록 제3자 소프트웨어와 Antigen 소프트웨어 사이에 통합이 없기 때문에 시스템 내부의 첨부는 감염된 상태로 있게 된다.

e-메일 프로그램에 사용되는 일부 바이러스 검출 프로그램은 클라이언트측에서 동작하고, 사용자가 자신의 메일 박스를 열어 보는 순간 마다 사용자에게 전송되는 e-메일 메세지를 스캐닝한다. 이러한 시스템은 다음과 같은 다수의 비효율적인 문제점을 안고 있다. 바이러스 검출 프로그램은 각 클라이언트 컴퓨터 상에 로드되어야 하기 때문에, 250 개의 워크스테이션이 있는 경우에는 상기 바이러스 검출 프로그램은 250 번 로드되어야 한다는 문제점이 있다. 하나의 워크스테이션이 잘못된 경우, 바이러스는 검출되지 않을 수 있다. 더욱이, 스캐닝은 사용자가 메일 박스를 열어 볼 때, 즉 지연 기반(deferred basis)으로 발생한다. 사용자가 가끔 e-메일을 사용하는 경우, 메일 박스를 여는 순간 다수의 메세지가 스캐닝되어야 한다. 감염된 e-메일 메세지가 오랜 기간 동안 열람하지 않은 상태로 메일 박스에 상주할 수 있으므로, 특정 특성을 만족하는 수신된 e-메일을 자동적으로 발송하는 자동화된 규칙에 따라 다른 사용자에게 확산될 가능성이 있다.

따라서, 외부 e-메일 시스템으로부터 수신되거나 이 시스템을 통하여 전송되거나 또는 전송되지 않고 e-메일 서버에 드래프트되어 저장되어 있는 시스템 내(예컨대, 동일한 메일 서버상의 사용자들 간)의 내부 e-메일 메세지를 포함하는 모든 e-메일 시스템에 대해서, e-메일 메세지 첨부에 손상을 가함이 없이 e-메일 첨부에서 컴퓨터 바이러스를 스캐닝하여 제거하는 컴퓨터 프로그램의 필요성이 있어 왔다.

또한, 네트워크내의 모든 워크스테이션 상에 앤티바이러스 소프트웨어를 로드함이 없이,바이러스를 찾기 위하여 e-메일 메세지를 스캐닝하는 집중화된 시스템이 필요하게 되었다.

본 발명은 컴퓨터 바이러스를 검출하고 제거하기 위한 소프트웨어 프로그램 및 인터페이스에 관한 것으로, 특히 데이터베이스 파일 및 e-메일 첨부 내에 있는 바이러스를 검출하여 제거하는 시스템 및 방법에 관한 것이다.

[저작권 표시]

본 출원의 개시의 상당 부분은 저작권 보호에 관련되어 있는 내용을 포함하고 있다. 저작권자는 특허청의 파일 또는 기록물에 나타나 있는 그대로를 어떠한 자라도 팩시밀리 복제를 하는 것에 대해서는 이의를 제기하지 않겠으며, 그렇지 않은 경우에는 어떠한 경우에도 저작권을 보유한다.

도 1은 본 발명이 동작할 수 있는 네트워크 구조의 블록도.

도 2는 본 발명과 e-메일 시스템간의 통신을 모듈로 나타낸 도면.

도 3은 본 발명의 동작을 상세히 설명하는 플로우 차트.

대표적인 실시예에 있어서, 본 발명은 e-메일 첨부에 존재할 수 있는 컴퓨터 바이러스를 검출하여 제거하기 위하여 앤티바이러스 소프트웨어와 함께 사용되는 소프트웨어 프로그램(본 명세서에서는 에이전트라함)이다.

본 발명의 에이전트 컴퓨터 프로그램은 e-메일 메세지로부터 e-메일 첨부를 분리하여 컴퓨터 바이러스가 있는지를 스캐닝하도록 하고(필요한 경우, 임의의 검출된 컴퓨터 바이러스를 제거함), 상기 첨부를 다시 e-메일 메세지에 재첨부한다. 본 발명은 (a) 시스템내에서의 내부 e-메일 메세지(본 명세서에서는 인트라넷 e-메일이라고 함), (b) 외부 e-메일 시스템으로부터 수신하거나 이 시스템을 통하여 전송되는 e-메일 시스템(본 명세서에서는 인터넷 e-메일이라고 함) 및 (c) e-메일 시스템내에서 드래프트되고/또는 저장되어 있으며 아직 전송되지 않은 e-메일 메세지를 포함하는 모든 e-메일 메세지에 대해서 정확히 동작한다.

본 발명의 에이전트는 방화벽(firewall) 또는 프락시 포스트 오피스로 동작하기 보다는 메일 시스템내에서 동작하여 인트라넷 e-메일 첨부가 스캐닝되도록 한다.

따라서, 본 발명은 내부 e-메일 시스템을 보호하도록 모든 e-메일 메세지가 스캐닝되도록 한다.

더욱이, 첨부로부터 바이러스가 검출되고 제거되면, 첨부는 여전히 e-메일 메세지의 유용한 일부가 되어 e-메일 시스템에 의해 정상적으로 취급될 수 있다.

본 발명은 클라이언트측에서 동작하기 보다는 서버측에서 동작하는 것이 유리하다. 따라서, 에이전트는 네트워크의 각 워크스테이션 또는 PC에 로드될 필요가 없이 각 메일 서버에 한 번만 로드되기만 하면 된다. 더욱이, e-메일 메세지는 사용자의 e-메일 사용의 여부에 불문하고 스캐닝되고 치료될 수 있다. 따라서, 사용자가 휴가중이거나 일부가 바이러스에 감염된 다수의 e-메일 메세지를 수신하면, 사용자가 반송할 때 메일 박스가 바이러스가 없는 e-메일 메세지만을 포함하도록 이들 메세지들을 스캐닝하여 치료한다.

이러한 방법의 효율성은 실제 세계의 우편 배달과 비교할 경우 알 수 있을 것이다. 즉, 폭탄을 배달하는 우편물을 찾기 위하여 모든 우편물을 스캐닝하고자 하는 경우, 우편물이 배달되는 날마다 이들 우편물을 스캐닝하기 위하여 가정집에 스캐닝 기계를 비치하는 것보다는, 이들 우편물이 분류될 때 모든 우편물을 연속적으로 스캐닝하는 스캐닝 기계를 우체국에 설치하는 것이 더욱 효과적이다.

대표적인 실시예에 있어서, 에이전트는 클라이언트 네트워크내에서 생성되거나 외부 네트워크로부터 수신된 e-메일 메세지의 임의의 첨부를 브라우즈(browse)하여, 데이터베이스 또는 메일 박스로부터 임의의 이러한 첨부를 분리하여 이들 첨부를 통합된, 즉 독립형 앤티바이러스 애플리케이션에 전송한다. 상기 에이전트는 앤티바이러스 애플리케이션에 의해 처치가 끝난 후, 첨부를 e-메일 메세지에 재첨부할 수 있다.

또한, 본 발명의 에이전트는 서버 레벨에서 동작할 수 있기 때문에 바이러스 검출 동작을 집중화할 수 있다. 사용자가 네트워크에 로그인할 필요가 없이 사용자에 대한 e-메일은 바이러스를 찾기 위하여 스캐닝될 수 있다. 더욱이, e-메일 첨부를 스캐닝하는 일은 e-메일 메세지를 전송하고, 수신하거나 판독할 때에만 일어나는 것이 아니라, 정기적인 주기 기반으로 일어날 수 있다.

본 발명은 집중 관리되는 서버에 접속되는 매 워크스테이션마다 설치될 필요가 없고, 네트워크 서버로부터 집중 관리될 수 있는 애플리케이션 프로그램 인터페이스를 제공한다.

대표적인 실시예의 에이전트는 다수의 e-메일 시스템 및 데이터베이스 시스템에 일반적이고 호환성있게 설계된다.

주기적인 기반으로 스캐닝하는 것에 부가하여, 본 발명은 새로운 e-메일 메세지가 도달할 때 바이러스를 찾기 위해서 e-메일 첨부를 스캐닝할 수 있는 실시간 스캐닝 능력을 포함한다.

본 발명의 이러한 장점 및 기타의 장점 및 특징은 이하의 상세한 설명 및 첨부 도면을 참조할 경우, 당업자에게는 자명할 것이다.

도 1을 참조하면, 본 발명의 에이전트 프로그램(110)이 실행되도록 구성된 국부 통신망(LAN)(100)인 컴퓨터 네트워크가 도시되어 있다.

본 명세서에서 기술하는 바와 같이, 본 발명은 클라이언트/서버 구조를 가지는 국부 통신망에서 동작한다. 그러나, 본 발명은 이러한 네트워크 또는 구조에만 한정되는 것이 아니라, 예컨대 피어-투-피어 네트워크 또는 광역 통신망에서도 동작하도록 용이하게 적응될 수 있다. 또한, 에이전트 프로그램은 네트워크 운영 체제, e-메일 프로그램 및/또는 바이러스 검출 프로그램과 같은 기타 프로그램의 일부로서 생성되거나 이들 프로그램에 통합될 수 있다.

네트워크(100)는 서버(20), 복수 개의 개인용 컴퓨터(10)와 워크스테이션(30) 및 인터넷 게이트웨이(40)를 포함하고 있는데, 이들 모두는 통신선(15)을 통하여 접속된다. 전술한 바와 같이, 이 네트워크 구성은 본 발명의 에이전트를 동작시킬 수 있는 네트워크 구조의 하나의 형태를 예시하기 위한 것이다. 서버(20) 및 개인용 컴퓨터(10)는 Lotus Notes 프로그램 또는 Microsoft Exchange 프로그램과 같은 특정 데이터베이스 프로그램 또는 e-메일 프로그램을 실행하도록 프로그램될 수 있다. 각 개인용 컴퓨터는 통상 입력 장치(16)(예컨대, 키보드, 마우스 등), 출력 장치(12)(예컨대, 모니터), 프로세서(13) 및 메모리(14)를 포함하며, 마찬가지로 워크스테이션(30)도 출력 장치(32), 입력 장치(16), 프로세서(35) 및 메모리(34)를 포함하고 있다.

또한, 게이트웨이(40)는 네트워크(100)가, 예컨대 인터넷(42)과 같은 외부 컴퓨터 네트워크에 액세스할 수 있도록 해준다. 본 발명의 에이전트(110)는 서버(20)에 제공되어진 e-메일 및 데이터베이스 애플리케이션 양자 모두에 적용되도록 구성된다.

설명을 간단히 하기 위하여, 본 명세서에서 사용하는 실시예에서는, 본 발명의 대표적인 실시예의 에이전트(110)는 Lotus Notes 프로그램에 의해 수신되거나 또는 이 프로그램에 송신되는 메세지 및 파일 첨부를 스캐닝한다. 편의상, "e-메일 메세지"라는 용어는 첨부를 허용하는, 예컨대 데이터베이스 프로그램 또는 Lotus Notes 프로그램과 같은 메일 서버에 의해 수신되거나 또는 이 서버에 송신되는 모든 형식의 파일, 메세지, 방송 및 통신을 포함하는 개념으로 사용한다. 본 발명의 에이전트(110)는, 예컨대 Microsoft사의 Exchange 프로그램, Lotus사의 cc:mail 및 Beyondmail과 같은 e-메일 메세지 첨부를 허용하는 데이터베이스 프로그램 및 기타 네트워크 메일 프로그램에서도 역시 동작할 수 있다. 또한, 에이전트(110)는 공개 폴더(public folder) 및 공개 포럼(public forum)(예컨대, 한 명의 사용자가 메세지를 게재하고, 기타 모든 사용자들은 이 메세지를 볼 수 있는 영역)과 함께 동작할 수 있다.

도 2는 서버(20)에 의해 실행되는, 대표적인 실시예의 소프트웨어 요소를 도시하고 있다. 서버(20)에 의해 실행되는, 도면에 도시된 대표적인 애플리케이션은 Lotus Notes 프로그램이다. Lotus Notes 서버 프로그램(130)은 인터넷 게이트웨이(40)를 포함하는 LAN(100) 내의 여러 기타의 노드에 e-메일 메세지 및 파일을 송신하거나 또는 이들 노드로부터 e-메일 메세지 및 파일을 수신하기 위하여 서버(20) 내에 구성되어 있다. 하나 이상의 데이터베이스(140)[도면에는 Lotus Notes 데이터베이스(140)로 표시됨]는 수신되고, 송신되거나, 드래프트 또는 저장된 e-메일 메세지를 저장한다. (Lotus Notes에서는, 매 데이터베이스는 파일로 취급됨). e-메일 메세지 첨부는 이러한 메세지와 함께 Lotus Notes 데이터베이스(140)에 저장된다. 메일 서버(130) 및 데이터베이스(140)는 함께 메세지 시스템으로서 볼 수 있다. 네트워크의 노드(예컨대, 10, 30)는, 메일 서버(130)와 상호 동작(interact)하며 사용자로 하여금 e-메일 메세지를 생성, 판독, 저장 편집하도록 하는 클라이언트측 메일 프로그램을 포함한다.

앤티바이러스 애플리케이션(120)은 바이러스를 찾기 위하여 파일을 스캔하여 임의의 감염된 파일로부터 바이러스를 제거할 수 있다. 대표적인 실시예에 있어서, 앤티바이러스 애플리케이션(120)은 뉴욕주의 로슬린 하이트에 소재하는 체옌 소프트웨어(Cheyenne Software)사로부터 구입할 수 있는 InocuLAN 프로그램이다. 상기 InocuLAN 프로그램은 로컬 스캐너 모듈 및 작업 서비스 모듈이라고 하는 두 개의 서브 모듈(submodule)을 포함하는 것으로 볼 수 있다. 상기 InocuLAN 프로그램은, 예컨대 스캔이 일어나는 시간을 설정하고 스캔의 결과를 보고하기 위하여 에이전트(110)에 대한 사용자 인터페이스로서 사용된다.

에이전트(110)는 임의의 e-메일 메세지 첨부를 분리하고 이 첨부를 앤티바이러스 소프트웨어 애플리케이션(120)으로 보낸다.

도 3은 앤티바이러스 소프트웨어 애플리케이션(120)과 관련된 본 발명의 에이전트(110)의 동작을 설명하는 플로우 다이어그램이다. 본 발명의 에이전트(110)가 데이터베이스 시스템 및 e-메일 시스템 양자에 대해서 일반적인 것이지만, 이하에서는 설명의 간편을 위하여 e-메일 메세지의 스캐닝에 대해서만 설명할 것이다. 또한, 모든 e-메일 메세지(즉, 모든 데이터베이스 및 e-메일 박스에 대한 모든 첨부 파일)를 완전히 스캐닝하는 것으로 가정한다. 단계 200에서, 에이전트(110)는 e-메일 메세지에 첨부가 있는지를 판단한다. 첨부가 없으면, 단계 240에서 에이전트는 전체 메일 시스템이 스캐닝되었는지를 판단한다. 전체 메일 시스템(140)이 스캐닝되었으면, 에이전트(110)는 동작을 끝낸다. 그러나, 전체 메일 시스템(140)이 스캐닝되지 않았으면, 에이전트(110)는 단계 235에서 다음의 e-메일 메세지로 진행한다. e-메일 메세지에 첨부가 존재하면, 에이전트(110)는 단계 205에서 첨부를 분리하여 단계 210에서 앤티바이러스 애플리케이션(120)으로 송신한다. 앤티바이러스 애플리케이션(120)이 첨부내에서 바이러스의 존재를 검출하지 못하면(단계 215), 에이전트(110)는 단계 220에서 첨부를 원래의 e-메일 메세지에 재첨부한다.

그러나, 앤티바이러스 애플리케이션(120)이 첨부내에서 바이러스의 존재를 검출하면, 단계 245에서 경보 메세지를 생성한다. 이 경보 메세지는 여러 가지 방법으로 구성될 수 있다. 예컨대, 상기 경보 메세지는 LAN(100)내의 모든 PC(10) 또는 워크스테이션(30) 또는 네트워크 관리자에게 전송되는 시스템 전체 텍스트 메세지를 포함하거나, 또는 그 대신 상기 경보 메세지는 감염된 첨부를 발신하거나 수신한 네트워크 노드에 전달되는 메세지를 포함할 수 있다. 이러한 경보 메세지가 생성된 후, 앤티바이러스 애플리케이션(120)은 (그렇게 구성되어 있는 경우) 감염된 첨부를 삭제한다(단계 250). 그러한 경우, 첨부는 단계 255에서 삭제된다. 단계 255 이후에, 에이전트(110)는 전체 메일 시스템이 스캐닝되었는지를 판단한다(단계 260). 그러한 경우, 처리는 단계 230에서 종료된다. 전체 메일 시스템(140)이 스캐닝되지 않았으면, 에이전트는 다음의 e-메일 메세지로 진행한다(단계 235).

감염된 첨부가 단계 250에서 삭제되지 않으면, 앤티바이러스 애플리케이션(120)은 가능하다면 감염된 첨부를 치료한다(단계 270). 치유된 경우, 첨부는 재첨부되고(단계 220), 에이전트(110)는 다음의 e-메일 메세지가 있는 경우 다음의 e-메일 메세지로 진행한다. 에이전트(110)는 (인트라넷 e-메일 메세지를 포함하는) LAN(100)내에서 발생된 e-메일 메세지를 처리할 수 있으며, 게이트웨이(40)를 통하여 인터넷으로부터 LAN(100)으로 진입하는 e-메일 메세지(인터넷 e-메일 메세지)도 처리할 수 있다.

InocuLAN 프로그램(120)은 e-메일 시스템 또는 체옌 소프트웨어사의 Alert Generic Notification 시스템을 통하여 특정 사용자에게 경고하여, 사용자가 바이러스를 유포하지 않도록 할 수 있다. InocuLAN Local Scanner 및 Job Service는 에이전트(110)와 함께 동작하여 메세지 시스템내의 바이러스를 스캐닝하고 치유하여 바이러스가 없는 환경이 되도록 한다.

이하에서는, 본 발명의 에이전트(110)를 구현하는 데 사용될 수 있는 API 라이브러리의 의사 코드(pseudo code)에 대해서 설명한다. 에이전트(110)는 API의 하이 레벨(high level), 일반적인 라이브러리(generic library)로 볼 수 있다. 대표적인 실시예의 에이전트(110)는 Lotus Notes 및 Microsoft Exchange 프로그램 둘 모두와 함께 사용될 수 있다. 에이전트(110)는, 예컨대 e-메일 첨부를 브라우즈하고, 분리하며 재첨부하는 기능을 지원하는 Lotus Notes API 세트, Microsoft Exchange API 세트, MAPI를 사용한다. 이들 Lotus 및 Microsoft API는 공개되어 있으며, 당업자는 이들 API 들이 에이전트(110)와 상호 동작하도록 어떻게 구성되어 있는지를 이해할 수 있을 것이다. 따라서, 에이전트(110)는 메일 서버 프로그램(130)과 통신하기 위하여 앤티바이러스 애플리케이션(120)에 의해 사용될 수 있는 API 세트이다.

이하의 의사 코드에 있어서, "MDA"라는 용어는 메일 데이터베이스 에이전트를 의미하는 용어이다. "UID"는 e-메일 메세지를 식별하는 데 사용되는 유일한 또는 공통적인 식별자이다. 이 예제에서는, LAN이 Windows NT 네트워크 운영 체제를 사용하는 것으로 가정한다.

MDAConnectAgent(): Messaging Agent에 접속. 입력 변수로서 ＜agent_id＞를

요구하는 어떠한 MDA API 호출보다 먼저 호출됨.

입력:

Windows NT 서버 이름.

Messaging Agent 이름.

사용자의 Windows NT 로그인 이름.

로그인에 사용되는 프로파일 이름 (Exchange Sever인 경우에만).

상기 user_id와 userProfile로 로그인하는 데에 사용되는 패스워드.

출력:

＜agent_id＞; 현재 접속 순간을 트레이스하는 나중의 API 호출에서

사용될 수 있는 복귀 connectionID

MDADisconnectAgent(): Messaging Agent에 대한 현재 접속을 끊음. 각각의

MDA 세션 다음에 호출되며, 자원을 해제함.

입력:

＜agent_id＞

MDAGetAgentInfo(): Agent로부터 Messaging 시스템 밴더(vendor) 정보를

가져옴. MDAConnectAgent()와 DMADisconnectAgent() 중 어느 때라도 호출될

수 있음.

입력:

＜agent_id＞

＜vendor＞에 의해 지정된 버퍼의 크기.

출력:

＜vendor＞; Agent가 통화하는 Messaging 시스템에 관한 정보.

MDAOpenDatabase(): Lotus Notes 데이터베이스 또는 Exchange Information

Store를 오픈한다. 맨 먼저 호출되어 유효 dbhandle을 가져옴. dbhandle를

요구하는 다른 모든 MDA API 호출은 그 다음에 사용될 수 있음.

MDAScanAllFindFirst() 또는 MDAScanDatabaseFindFirst()는 Information

Store를 잠재적으로(implicitly) 오픈한다.

입력:

＜agent_id＞

＜dbname＞; 오픈된 입력 Lotus Notes 데이터베이스 이름으로서,

Microsoft Exchange에 대해서는 널(null)로 설정됨.

＜istoreUID＞; 오픈될 Exchange Information Store의 UID로서, Lotus

Notes에 대해서는 널로 설정됨.

출력:

＜dbhandle＞

MDACloseDatabase(): 오픈된 Lotus Notes Database 또는 Exchange

Information Store를 닫음. 호출되면, 할당된 자원을 해방시킴.

입력:

＜agent_id＞

＜dbhandle＞

MDAEnumObjects(): 컨테이너 내부의 서브젝트를 열거함. Exchange와 Lotus

Notes에 대해서는, Agent, Mailbox/Public IStore, Messages로 이루어진

3개의 오브젝트 층이 있음. ＜input_object_type＞이 MDA_OBJECT_AGENT인

경우, Mailboxes와 Public Istores 목록을 복귀시킴. MDAConnectAgent()와

MDADisconnectAgent() 사이의 어느 때에도 호출될 수 있음.

입력:

＜agent_id＞

＜input_object_type＞; 열거할 input_object의 유형으로서,

MDA_OBJECT_AGENT, MDA_OBJECT_MAILBOX, MDA_OBJECT_INFORMATIONSTORE

를 값으로 가질 수 있음.

input_object의 디스플레이 이름.

input_object의 UID (Exchange인 경우에만).

버퍼의 크기.

출력:

복귀된 오브젝트의 유형.

이중 NULL에 의해 종료되는 sub_object의 디스플레이 이름의 목록을

포함하는 버퍼.

상기 버퍼에서 반송된 바이트의 개수.

sub_object의 UID 목록을 포함하는 버퍼.

상기 버퍼에서 반송된 바이트의 개수

MDAGetAllMsgUids(): openedMailbox 또는 Information Store에 있는 모든

메세지에 대한 메세지 UID의 목록을 가져옴.

입력:

＜agent_id＞

＜dbhnadle＞

UID 버퍼의 크기

출력:

메일박스 또는 Information Store 내에 있는 메세지의 UID 메세지

목록를 포함하는 버퍼.

상기 버퍼에서 복귀되는 바이트의 개수.

MDAGetObjectProperty(): 특정된 오브젝트의 원하는 성질을 가져옴.

MDAScanAllFindFirst(): 전체 메세지 시스템을 스캔하고 ＜start_time＞에

의해 지정된 시간 스탬프 이후에 수신된 시스템에 저장된 모든 첨부 파일

목록을 반송함. 만약, ＜start_time＞가 '0'이면, 전체가 스캔됨. Public

Information Store를 먼저 스캔한 다음 Private Information Store를

스캔함. 이러한 API에 의해, 첫번째 Information Store가 오픈되고

dbhandle는 AFILE에서 복귀됨. MDAConnectAgent()와 MDADisconnectAgent()

사이의 어느 때에도 호출될 수 있으나, 다른 스캔 시퀀스가 활성일 때에는

호출되지 않음. 이러한 API 호출은 활성 dbhandle가 존재하는 동안에는

일어나지 않음. 스캔 세션을 종료하기 위해서는 MDACloaseFindHandle()를

호출하여야만 됨.

입력:

＜agent_id＞

＜start_time＞ ; 스캔 시작 시간

출력:

＜handle＞ ; 전체 스캔 시퀀스를 추적할 목적으로 현재 스캔의

호출자로 검색 핸들이 복귀됨.

＜afile＞ ; 시스템에서 발견된 첫번째 첨부 정보.

MDAScanAllFindNect(): 현재 스캔의 다음 첨부 정보를 가져옴. MDAScan

세션 이내에서 호출이 일어남. 이러한 API 호출은 Information Store가

닫히도록 하고, 다른 Information Store는 오픈되도록 함.

입력:

＜agent_id＞

＜handle＞

출력:

＜afile＞ ; 시스템에서 그 다음에 발견된 첨부 정보.

MDACloseFindHandle(): 현재 검색 핸들을 닫음. 즉, 현재 스캔을

종료함. 활성 핸들로 호출됨. MDAScanAllFindFirst(),

MDAScanAllFIndNext(), MDAScanDatabaseFindFirst() 또는

MDAScanDatabaseFindNext() 다음에 호출될 수 있음.

입력:

＜agent_id＞

＜handle＞

MDAScanDatabaseFindFirst(): 특정 Information Store를 스캔하고, 여기에

저장된 모든 첨부 파일 목록을 복귀시킴. MDAConnectAgent()와

MDADisconnectAgent() 사이의 어느 때에도 호출되지만, 다른 스캔 시퀀스가

활성일 때에는 호출되지 않음.

입력:

＜agent_id＞

＜path＞ ; 스캔될 Lotus Notes 데이터베이스의 경로 이름으로서, Lotus

Notes에 대해서만 사용되고 나머지 경우에는 NULL로 세트됨.

＜istorUID＞ ; 스캔될 Information Store의 UID로서 Exchange에

대해서만 사용되고 나머지 경우에는 NULL로 세트됨.

＜start_time＞

출력:

＜handle＞

＜afile＞ ; Store에서 발견된 첫번째 첨부.

MDAScanDatabaseFindNext(): 현재 스캔의 다음 첨부 정보 구조를 가져옴.

이 API 호출은 MDAScan 세션 내에서 이루어짐. MDAConnectAgent()와

MDADisconnectAgent() 사이의 어느 때에도 호출됨.

입력:

＜agent_id＞

＜handle＞

출력:

＜afile＞ ; 시스템에서 그 다음에 발견되는 첨부.

MDADeleteFile(): 첨부를 분리하기 위해 생성된 임시 파일을 삭제하고, 첨부를 클리어함. filePath가 NULL이 아니면, 그것에 의해 지정된 파일을 삭제함. afile이나 attachInfor가 NULL이 아니면, 메세지로 가서 이것으로부터 첨부를 제거함. MDAConnectAgent()와 MDADisconnectAgent() 사이의 어느 때에도 호출됨.

입력:

＜agent_id＞

＜afile＞ ; 첨부 정보와, 현재 information store의 dbhandle를

포함함.

＜filePath＞ ; 임시 파일의 경로.

MDAExtractFile(): 첨부의 내용을 임시 파일로 추출함. MDAConnectAgent()와 MDADisconnectAgent() 사이의 어느 때에도 호출됨.

입력:

＜agent_id＞

＜afile＞

출력:

＜filePath＞

MDAAttachFile(): 현존하는 첨부에 파일을 첨부함. MDAConnectAgent()와

MDADisconnectAgent() 사이의 어느 때에도 호출됨.

입력:

＜agent_id＞

＜afile＞

＜filePath＞

MDAGetMailInfoFromAFile(): 파일을 상기 첨부에 첨부함.

MDAConnectAgent()와 MDADisconnectAgent() 사이의 어느 때에도 호출됨.

입력:

＜agent_id＞

＜afile＞

출력:

＜mail＞ ; 상기 첨부를 포함하고 있는 메세지에 대한 정보. 한묶음의

포인터는 실제 데이터가 존재하는 버퍼를 지정함.

＜buffer＞ ; 출력 정보를 포함함.

상기 버퍼의 크기.

MDAGetAttFileCountFromMessage(): messageID에 의해 특정된 메세지의 첨부

파일 목록을 가져옴. MDAConnectAgent()와 MDADisconnectAgent() 사이의

어느 때에도 호출됨.

입력:

＜agent_id＞

＜dbhandle＞

＜messageUID＞ ; 메세지의 UID.

출력:

상기 메세지에서 첨부 파일 이름의 목록.

상기 목록의 크기.

MDASendMail(): MDAConnectAgent()와 MDADisconnectAgent() 사이의 어느

때에도 호출됨.

입력:

＜agent_id＞

＜dbhandle＞

Message UID.

오픈할 메일박스의 이름.

메세지의 수신자.

메세지의 송신자.

메세지의 주제.

메세지의 본문.

MDAGetError(): 에이전트로부터 에러 정보를 가져옴. MDAConnectAgent()와

MDADisconnectAgent() 사이의 어느 때에도 호출됨.

MDAGetMsgTime(): 특정 메세지의 배달 시간 스탬프를 가져옴.

MDAConnectAgent()와 MDADisconnectAgent() 사이의 어느 때에도 호출됨.

입력:

＜agent_id＞

＜dbhandle＞

＜msgUID＞ ; 메일 박스에서 메세지를 찾기 위해 Exchange에 의해

사용됨.

출력:

시간 스탬프.

MDAGetOwnerName(): 특정 첨부 파일의 소유자 이름을 가져옴.

MDAConnectAgent()와 MDADisconnectAgent() 사이의 어느 때에도 호출됨.

입력:

＜agent_id＞

＜afile＞

출력:

상기 소유자의 이름.

MDAEstimateAttFiles(): 서버에서 ＜start_time＞보다 더 늦은 시간 스탬프로

첨부 파일의 크기와 개수를 추정함. MDAConnectAgent()와

MDADisconnectAgent() 사이의 어느 때에도 호출됨.

입력:

＜agent_id＞

＜start_time＞

출력:

첨부 파일의 총 개수.

모든 첨부 파일의 크기의 합.

MDASetDetachedDir(): 임시 디렉토리가 분리된 디렉토리가 되도록 설정함.

MDAConnectAgent()와 MDADisconnectAgent() 사이의 어느 때에도 호출됨.

입력:

＜agent_id＞

생성될 분리 디렉토리 경로.

MDAFreeResource(): 특정 UID에 대해 할당된 자원을 해제함.

현재, Exchange만 지원함.

입력:

＜agent_id＞

＜uid＞

복귀:

성공과 시스템 에러에 대한 플래그.

e-메일 첨부의 스캐닝은 일정표 기반으로 행해질 수도 있고, 실시간으로 행해질 수도 있다. 바이러스 스캐닝을 일정표 기반으로 행하는 경우에는, 사용자는 앤티바이러스 애플리케이션을 활용하여 스캐닝을 할 시간 간격, 예컨대 10분마다, 매시간 마다 등등의 시간 간격을 지정한다. 메일 서버 시스템(130)에서 상기 시간 간격내에 수신된 e-메일은 스캐닝된다. 새로운 우편물이 수신되지 않았다면, 스캐닝을 일어나지 않는다. 따라서, 스캐닝은 앤티바이러스 애플리케이션(120)의 통제에 따라 행해진다.

실시간 스캐닝에서는, 사용자가 메일 서버 프로그램(130)에 연결되어 있는지 또는 사용자가 e-메일에 접근하거나 이것을 읽었는지에 관계 없이, 사용자가 e-메일을 수신할 때마다 스캐닝이 일어난다. 만약 e-메일이 수신되지 않았다면 스캐닝은 일어나지 않는다.

따라서, PC(10) 또는 워크스테이션(30)에 접근한 사용자는 본 발명에 따른 에이전트(110)의 동작을 트리거할 필요가 전혀 없다.

본 발명의 대표적인 실시예로서, Microsoft의 Exchange 서버 프로그램에 대한 실시간 스캐닝 기능에 대해 구현된 실시예를 이하에 설명한다. 본 발명의 실시예에 따르면, Exchange 서버에 실시간 스캐닝 기능을 부여한다. 즉, 일단 e-메일 메세지가 메일 박스에 배달되면, 에이전트(110)는 이를 즉시 인보크(invoke)한다. 그 다음, 에이전트(110)는 첨부 파일이 있는 경우 이것을 분리하여 앤티바이러스 애플리케이션(120)에 보내 스캐닝한다. 만일, 바이러스가 검출되면, 이 바이러스를 치유하고 에이전트(110)를 호출하여 상기 첨부 파일을 재첨부하도록 한다.

실시간 API(이하에 설명됨)는 "콜백(call-back)" 기능을 가지고 있다. 앤티바이러스 애플리케이션(120)에 의해 에이전트(110)는 콜백 기능을 가지게 된다. 앤티바이러스 애플리케이션(12)이 관심을 가질만한 무엇(이 경우, 첨부가 있는 e-메일)을 에이전트(110)가 발견한 경우에는, 에이전트(110)는 이를 앤티바이러스 애플리케이션(120)에게 통지하는데, 본 발명의 상기 대표적 실시예의 경우, 에이전트는 첨부를 분리하고 첨부의 파일 이름을 앤티바이러스 애플리케이션(120)에게 보내서 첨부의 스캐닝을 인에이블한다.

아래의 의사 코드는 Microsoft의 Exchange 프로그램과 관련된 본 발명의 실시간 동작을 위한 API를 설명하고 있다.

함수

RTConnectAgent();

RTDisconnectAgent();

RTGetError();

RTSetDetachedDir();

RTSetCallbackFunction();

RTStartupNotification();

RTShutdownNotification();

RTSetExcludeFileExtension();

RTConnectAgent(): Real-time Messaging Agent에 대한 접속을 함. 입력

변수로서 ＜agent_id＞를 요구하는 어떠한 MDA API보다 먼저 호출됨.

입력:

＜server_name＞ ; Windows NT 서버 이름.

＜agent_name＞ ; Messaging Agent의 이름.

＜user_id＞ ; 사용자의 Windows NT 로그인 이름.

＜userProfile＞ ; 로그인에 사용되는 프로파일의 이름.

＜password＞ ; 상기 user_id와 userProfile로 로그인하는 데에

사용되는 패스워드.

출력:

＜agnet_id＞ ; 현재 접속 순간을 트레이스하기 위해 나중 API 호출에서

사용된 복귀된 connectionID를 사용할 수 있음.

RTDisconnectAgent(): Messaging Agent에 대한 현재 접속을 끊음. 각각의

DA 세션 다음에 호출되어 자원을 해제함.

입력:

＜agent_id＞ ; 현재 접속의 ConnectionID.

RTSetExcludeFileExtension(): inocuLan 콜백 기능의 어드레스를 세트함.

입력:

＜agent_id＞ ; 현재 접속의 ConnectionID.

＜excludeFlag＞ ; ALLfiles | all exclude | list only

＜extCount＞ ; extString에 있는 확장자의 카운트.

＜extString＞ ; 확장자 스트링의 목록.

RTSetCallbackFunction(): inocuLan 콜백 기능의 어드레스를 세트함.

입력:

＜agentID＞ ; 현재 접속의 ConnectionID.

＜cbFunction＞ ; 콜백 기능의 어드레스.

RTStartupNotification(): 실시간 통지의 개시.

입력:

＜agentID＞ ; 현재 접속의 ConnectionID.

RTShutdownNotification(): 실시간 통지의 종료.

입력:

＜agentID＞ ; 현재 접속의 ConnectionID.

RTGetError(): 에이전트로부터 에러 정보를 가져옴.

입력:

＜agent_id＞ ; 현재 접속된 에이전트의 ConnectionID.

＜errcode＞ ; 에이전트로부터의 에러 복귀 코드.

출력:

＜err_buff＞ ; 에러 정보를 갖는 버퍼.

＜buffer_size＞

RTSetDetachedDir(): 임시 디렉토로를 분리된 디렉토리로 설정함.

입력:

＜agent_id＞ ; 현재 접속된 에이전트의 ConnectionID.

＜detached_dir＞ ; 생성된 분리 디렉토리의 경로.

물론, 위에서 얘기한 실시간 스캐닝 기능을 마이크로소프트 Exchange 서버 이외의 메일 서버에 대해 구현하는 것도 가능하다. 예컨대, Lotus Notes 데이터베이스의 경우 모든 데이터베이스는 파일인데, 이 파일은 새로운 메세지가 상기 파일에 놓여질 때마다 오픈되어야 한다. 따라서, 운영 체제 수준의 후크를 이용하면, 에이전트(110)는 새로운 e-메일 메세지가 수신되었을 때 앤티바이러스 애플리케이션(120)에게 이를 통지할 수 있다.

본 발명은 Windows NT WIN32 API, Lotus Notes API, Microsoft Exchange API 및 MAPI를 사용하여 구축되는 최초의 서버 기반 앤티바이러스 에이전트이다. 클라이언트는 이러한 앤티바이러스 개체의 존재에 대해 투명(transparent)하다.

또한, 본 발명에 따른 에이전트(110)는 어떠한 앤티바이러스 서버 프로그램과도 인터페이스할 수 있는 범용 에이전트이다.

본 발명의 대표적인 실시예에 따른 에이전트(110)는 컴퓨터가 읽을 수 있는 명령을 포함하는 컴퓨터 메모리[예컨대, 서버(20)측의 메모리 소자]나 논리 회로를 이용하여 구현될 수 있다. 논리 회로나 컴퓨터 메모리의 기능은 앞에서 설명한 바와 같다. 컴퓨터 프로그램은 예컨대, 하드 디스크, CD-ROM 또는 플로피 디스크에 저장될 수 있다.

Claims (36)

1. 클라이언트-서버 구조와 메세지 시스템을 갖는 컴퓨터 네트워크에 사용되며, e-메일 메세지의 첨부에 존재하는 컴퓨터 바이러스를 검출하고 제거하는 서버 기반형 방법에 있어서,

   스캔 기간을 제공하는 단계와,

   상기 서버측에서, 상기 메세지 시스템을 검색하여 상기 스캔 기간 이내에서 상기 메세지 시스템에서 수신한 e-메일 메세지의 첨부 목록을 얻는 메세지 시스템 검색 단계와,

   상기 서버측에서, 컴퓨터 바이러스를 스캐닝하기 위하여 앤티바이러스 검출 모듈에게 상기 첨부 목록에 있는 각각의 첨부를 전달하는 단계와,

   상기 앤티바이러스 검출 모듈측에서, 상기 첨부 목록에 있는 각각의 첨부에서 기지의 컴퓨터 바이러스를 검출하고 제거하는 단계와,

   상기 서버 측에서, 각각의 첨부를 상기 e-메일 메세지에 재첨부하는 단계

   를 포함하는 것을 특징으로 하는 컴퓨터 바이러스 검출 및 제거 방법.
2. 제1항에 있어서, 각각의 스캔 기간에 대해서 상기 방법을 반복하는 단계를 더 포함하는 것인 컴퓨터 바이러스 검출 및 제거 방법.
3. 제1항에 있어서, 상기 e-메일 메세지에는 상기 메세지 시스템이 위치하는 상기 클라이언트-서버 네트워크 상의 워크스테이션 사용자로부터 수신한 e-메일 메세지가 포함되는 것인 컴퓨터 바이러스 검출 및 제거 방법.
4. 제3항에 있어서, 상기 e-메일 메세지에는 외부 메세지 시스템으로부터 수신한 e-메일 메세지가 포함되는 것인 컴퓨터 바이러스 검출 및 제거 방법.
5. 제1항에 있어서, 상기 e-메일 메세지는 인터넷을 통해 수신된 e-메일 메세지를 포함하는 것인 컴퓨터 바이러스 검출 및 제거 방법.
6. 메일 서버를 갖는 클라이언트-서버 컴퓨터 네트워크에 사용되며, e-메일 메세지의 첨부에 존재하는 컴퓨터 바이러스를 검출하고 제거하는 방법에 있어서,

   A) 스캔 기간을 설정하는 단계와,

   B) 상기 서버측에서, 상기 메일 서버를 검색하여 과거의 스캔 기간 내에 상기 메일 서버에 입력된 e-메일 메세지의 첨부 목록을 얻는 메일 서버 검색 단계와,

   C) 상기 서버측에서, 상기 첨부 목록에 있는 각각의 첨부에서 기지의 컴퓨터 바이러스를 검출하고 제거하는 단계와,

   D) 상기 서버측에서, 상기 메일 서버에 있는 e-메일 메세지에 각각의 첨부를 재첨부하는 단계

   를 포함하는 것을 특징으로 하는 컴퓨터 바이러스 검출 및 제거 방법.
7. 제6항에 있어서, 각각의 스캔 기간에 대해서 상기 단계 B) 내지 D)를 반복하는 단계를 더 포함하는 것인 컴퓨터 바이러스 검출 및 제거 방법.
8. 제6항에 있어서, 상기 단계 C)는 컴퓨터 바이러스 스캐닝을 위한 앤티바이러스 검출 모듈에 상기 첨부 목록에 있는 각각의 첨부를 전달하는 단계를 더 포함하는 것인 컴퓨터 바이러스 검출 및 제거 방법.
9. 메일 서버를 갖는 클라이언트-서버 컴퓨터 네트워크에 사용되며, e-메일 메세지의 첨부에 존재하는 컴퓨터 바이러스를 검출하고 제거하는 방법에 있어서,

   A) 스캔 기간을 설정하는 단계와,

   B) 상기 메일 서버를 검색하여, 과거의 스캔 기간 내에 상기 메일 서버에 입력되었던 e-메일 메세지의 첨부 목록을 생성하는 메일 서버 검색 단계와,

   C) 상기 첨부 목록에 있는 각각의 첨부를 컴퓨터 바이러스 스캐닝을 위한 앤티바이러스 검출 모듈에게 보내는 단계와,

   D) 상기 앤티바이러스 검출 모듈에서 기지의 컴퓨터 바이러스를 스캐닝하고 제거한 다음 상기 메일 서버에 있는 e-메일 메세지에 각각의 첨부를 재첨부하는 단계와,

   E) 각각의 스캔 기간에 대하여 상기 단계 B) 내지 D)를 반복하는 단계

   를 포함하는 것을 특징으로 하는 컴퓨터 바이러스 검출 및 제거 방법.
10. 메세지 시스템을 포함하는 서버와 복수 개의 워크스테이션을 갖는 클라이언트-서버 컴퓨터 네트워크에 사용되며, e-메일 메세지의 첨부에 존재하는 컴퓨터 바이러스를 검출하고 제거하는 서버 기반형 방법에 있어서,

    메세지 시스템에서 e-메일 메세시를 수신하는 단계와,

    e-메일 메세지가 수신된 경우, 상기 e-메일 메세지가 첨부를 포함하고 있는지 판단하는 단계와,

    e-메일 메세지가 첨부를 포함하고 있는 경우에는, 상기 첨부를 컴퓨터 바이러스 스캐닝을 위한 앤티바이러스 검출 모듈에 보내는 단계와,

    상기 앤티바이러스 검출 모듈측에서, 상기 첨부에 있는 기지의 컴퓨터 바이러스를 검출하고 제거하는 단계와,

    각각의 첨부를 e-메일 메세지에 재첨부하는 단계

    를 포함하는 것을 특징으로 하는 컴퓨터 바이러스 검출 및 제거 방법.
11. 제10항에 있어서, 상기 e-메일 메세지 수신 단계는 외부 컴퓨터 네트워크로부터 e-메일 메세지를 수신하는 단계를 포함하는 것인 컴퓨터 바이러스 검출 및 제거 방법.
12. 제10항에 있어서, 상기 e-메일 메세지 수신 단계는 워크스테이션으로부터 e-메일 메세지를 수신하는 단계를 포함하는 것인 컴퓨터 바이러스 검출 및 제거 방법.
13. 복수 개의 노드 사이에서 복수 개의 e-메일 메세지를 전송하고 수신하는 e-메일 시스템을 동작시키도록 구성되며 상기 복수 개의 노드를 갖는 제1 컴퓨터 네트워크에서, 복수 개의 e-메일 메세지로 이루어진 서브 세트는 상기 e-메일 메세지와 관련된 최소한 하나의 첨부를 가지고, 상기 복수 개의 e-메일 메세지의 첨부로부터 컴퓨터 바이러스를 검출하고 제거하는 방법에 있어서,

    복수 개의 e-메일 메세지 서브 세트 각각으로부터 최소한 하나의 첨부를 분리하는 단계와,

    상기 최소한 하나의 첨부를 앤티바이러스 애플리케이션으로 전송하는 단계와,

    상기 앤티바이러스 애플리케이션에 따라 최소한 하나의 컴퓨터 바이러스에 대하여 상기 최소한 하나의 첨부를 스캐닝하는 단계와,

    상기 최소한 하나의 첨부에서 상기 최소한 하나의 컴퓨터 바이러스를 제거하는 단계와,

    상기 최소한 하나의 첨부를 복수 개의 e-메일 메세지 중 해당하는 메세지에 재첨부하는 단계

    를 포함하는 것을 특징으로 하는 컴퓨터 바이러스 검출 및 제거 방법.
14. 제13항에 있어서, 상기 복수 개의 e-메일 메세지 중 최소한 하나의 메세지는 상기 제1 컴퓨터 네트워크와 통신하고 있는 제2 컴퓨터 네트워크에서 발생된 메세지인 것인 컴퓨터 바이러스 검출 및 제거 방법.
15. 제13항에 있어서, 상기 e-메일 메세지 중 최소한 하나의 메세지는 상기 제1 컴퓨터 네트워크에서 발생된 메세지인 것인 컴퓨터 바이러스 검출 및 제거 방법.
16. 제13항에 있어서, 상기 첨부는 이것을 사용자가 열었거나 보았는지에 관계 없이 스캐닝되는 것인 컴퓨터 바이러스 검출 및 제거 방법.
17. 제13항에 있어서, 상기 첨부는 사용자의 개입 없이 스캐닝되는 것인 컴퓨터 바이러스 검출 및 제거 방법.
18. 제17항에 있어서, 상기 복수 개의 e-메일 메세지 중 최소한 하나의 메세지는 상기 제1 컴퓨터 네트워크와 통신하고 있는 제2 컴퓨터 네트워크에서 발생된 메세지인 것인 컴퓨터 바이러스 검출 및 제거 방법.
19. 복수 개의 노드 사이에서 복수 개의 e-메일 메세지를 전송하고 수신하는 e-메일 시스템을 동작시키도록 구성되며 상기 복수 개의 노드를 갖는 제1 컴퓨터 네트워크에서, 복수 개의 e-메일 메세지로 이루어진 서브 세트는 상기 e-메일 메세지와 관련된 최소한 하나의 첨부를 가지고, 상기 최소한 하나의 첨부로부터 최소한 하나의 컴퓨터 바이러스를 검출하고 제거하는 방법에 있어서,

    상기 복수 개의 e-메일 메시지 각각으로부터 상기 최소한 하나의 첨부를 분리하는 단계와,

    상기 최소한 하나의 첨부가 상기 최소한 하나의 바이러스에 감염되었는지를 판단하는 단계와,

    상기 최소한 하나의 첨부로부터 상기 최소한 하나의 바이러스를 제거하는 단계와,

    상기 최소한 하나의 첨부를 상기 복수 개의 e-메일 메세지 중 해당하는 메세지에 재첨부하는 단계를 포함하는 것을 특징으로 하는 최소한 하나의 컴퓨터 바이러스 검출 및 제거 방법.
20. e-메일 메세지의 첨부에 존재하는 컴퓨터 바이러스를 검출하고 제거하는 시스템에 있어서,

    서버 컴퓨터와 복수 개의 클라이언트 컴퓨터를 포함하는 클라이언트-서버 컴퓨터 네트워크와,

    상기 서버 컴퓨터에 위치하며 e-메일 메세지의 전달을 제어하는 메세지 시스템과,

    상기 서버 컴퓨터에 위치하며 바이러스를 찾기 위하여 파일을 스캐닝하는 앤티바이러스 모듈과,

    상기 서버 컴퓨터에 위치하며 상기 앤티바이러스 모듈과 상기 메세지 시스템을 인터페이스하는 에이전트를 포함하며,

    상기 에이전트는, 1) 스캔 기간 수신 수단, 2) 상기 메세지 시스템을 검색하여 과거의 스캔 기간내에 상기 메세지 시스템이 수신한 e-메일 메세지의 첨부 목록을 얻는 검색 수단, 3) 상기 첨부 목록을 상기 앤티바이러스 모듈에 전달하는 수단, 4) 각각의 첨부를 상기 e-메일 메세지에 재첨부하는 수단을 포함하는 것을 특징으로 하는 컴퓨터 바이러스 검출 및 제거 시스템.
21. 제20항에 있어서, 상기 e-메일 메세지는 컴퓨터 네트워크 상의 클라이언트 컴퓨터로부터 수신된 메세지인 것인 컴퓨터 바이러스 검출 및 제거 시스템.
22. 제21항에 있어서, 상기 메세지 시스템은 외부 게이트웨이를 포함하고, 상기 e-메일 메세지는 외부 메세지 시스템으로부터 수신된 e-메일 메세지를 포함하는 것인 컴퓨터 바이러스 검출 및 제거 시스템.
23. 제20항에 있어서, 상기 e-메일 메세지는 인터넷을 통해 수신된 e-메일 메세지를 포함하는 것인 컴퓨터 바이러스 검출 및 제거 시스템.
24. 서버 컴퓨터와 복수 개의 클라이언트 컴퓨터를 갖는 클라이언트-서버 컴퓨터 네트워크에 사용되는 앤티바이러스 에이전트에 있어서, 이 앤티바이러스 에이전트는 e-메일 메세지의 첨부에 존재하는 컴퓨터 바이러스를 검출하는 것을 보조하며,

    e-메일 메세지를 포함하는 메일 서버와,

    스캔 기간을 설정하는 수단과,

    상기 서버 컴퓨터측에 위치하며, 상기 메일 서버를 검색하여 과거 스캔 기간 내에 상기 메일 서버가 수신한 e-메일 첨부 목록을 얻는 검색 수단과,

    상기 첨부 목록에 있는 각각의 첨부에서 기지의 컴퓨터 바이러스를 검출하고 제거하는 수단과,

    상기 서버 컴퓨터에 위치하며, 각각의 첨부를 상기 메일 서버에 있는 e-메일 메세지에 재첨부하는 수단

    을 포함하는 것을 특징으로 하는 앤티바이러스 에이전트.
25. 제24항에 있어서, 상기 검색 수단은 상기 첨부 목록을 컴퓨터 바이러스 스캐닝을 위한 앤티바이러스 검출 모듈에 전달하는 수단을 더 포함하는 것인 앤티바이러스 에이전트.
26. 복수 개의 노드 사이에서 복수 개의 e-메일 메세지를 전송하고 수신하도록 구성되며 상기 복수 개의 노드를 포함하는 제1 컴퓨터 네트워크에서, 복수 개의 e-메일 메세지로 이루어진 서브 세트는 이와 관련된 최소한 하나의 첨부를 가지고, 상기 복수 개의 e-메일 메세지의 첨부로부터 최소한 하나의 컴퓨터 바이러스를 검출하고 제거하는 시스템에 있어서,

    상기 복수 개의 e-메일 메세지의 서브 세트로부터 상기 최소한 하나의 첨부를 분리하는 수단과,

    상기 최소한 하나의 첨부를 앤티바이러스 애플리케이션으로 전송하는 수단과,

    상기 앤티바이러스 애플리케이션에 따라 상기 최소한 하나의 컴퓨터 바이러스를 찾기 위해 상기 최소한 하나의 첨부를 스캐닝하는 수단과,

    상기 최소한 하나의 첨부로부터 상기 최소한 하나의 컴퓨터 바이러스를 제거하는 수단과,

    상기 최소한 하나의 첨부를 상기 복수 개의 e-메일 메세지 중 해당하는 메세지에 재첨부하는 수단

    을 포함하는 것을 특징으로 하는 컴퓨터 바이러스 검출 및 제거 시스템.
27. 제26항에 있어서, 상기 복수 개의 e-메일 메세지 중 최소한 하나의 메세지는 상기 제1 컴퓨터 네트워크와 통신하는 제2 컴퓨터 네트워크로부터 발생한 메세지인 것인 컴퓨터 바이러스 검출 및 제거 시스템.
28. 제26항에 있어서, 상기 e-메일 메세지 중 최소한 하나의 메세지는 상기 제1 컴퓨터 네트워크 내에서 발생한 메세지인 것인 컴퓨터 바이러스 검출 및 제거 시스템.
29. 복수 개의 노드 사이에서 복수 개의 e-메일 메세지를 전송하고 수신하도록 구성되며 상기 복수 개의 노드를 포함하는 제1 컴퓨터 네트워크에서, 복수 개의 e-메일 메세지로 이루어진 서브 세트는 이와 관련된 최소한 하나의 첨부를 가지고, 상기 복수 개의 e-메일 메세지의 첨부로부터 컴퓨터 바이러스를 검출하고 제거하는 시스템에 있어서,

    상기 복수 개의 e-메일 메세지 각각으로부터 상기 최소한 하나의 첨부를 분리하는 수단과,

    상기 최소한 하나의 첨부가 최소한 하나의 컴퓨터 바이러스에 감염되었는지를 판단하는 수단과,

    상기 최소한 하나의 컴퓨터 바이러스를 상기 최소한 하나의 첨부로부터 제거하는 수단과,

    상기 최소한 하나의 첨부를 상기 복수 개의 e-메일 메세지 중 해당하는 메세지에 재첨부하는 수단

    을 포함하는 것을 특징으로 하는 컴퓨터 바이러스 검출 및 제거 시스템.
30. e-메일 메세지의 첨부에 존재하는 컴퓨터 바이러스를 검출하고 제거하는 실시간 시스템에 있어서,

    서버 컴퓨터와 복수 개의 클라이언트 컴퓨터를 포함하는 클라이언트-서버 컴퓨터 네트워크와,

    e-메일 메세지의 전달을 제어하고 복수 개의 메일 박스를 포함하며 상기 서버 컴퓨터에 위치하는 메세지 시스템과,

    상기 서버 컴퓨터에 위치하며 바이러스를 찾기 위해 파일을 스캐닝하는 앤티바이러스 모듈과,

    e-메일이 메일 박스에 배달되었을 때 호출되고 상기 앤티바이러스 모듈과 상기 메세지 시스템을 인터페이스하며 상기 서버 시스템에 위치하는 에이전트를 포함하며,

    상기 에이전트는 1) e-메일 메세지에 첨부가 포함되어 있는지를 판단하는 수단, 2) 상기 첨부를 상기 e-메일 메세지로부터 분리하는 수단, 3) 상기 앤티바이러스 모듈을 활성화시켜 컴퓨터 바이러스를 찾기 위해 상기 첨부를 스캐닝하는 활성화 수단, 4) 각각의 첨부를 상기 e-메일 메세지에 재첨부하는 수단을 포함하는 것을 특징으로 하는 컴퓨터 바이러스 검출 및 제거 실시간 시스템.
31. 제30항에 있어서, 상기 분리 수단은 상기 첨부를 파일 형태로 저장하는 수단을 더 포함하는 것인 컴퓨터 바이러스 검출 및 제거 실시간 시스템.
32. 제31항에 있어서, 상기 활성화 수단은 첨부가 저장되어 있는 파일의 어드레스를 상기 앤티바이러스 모듈에 통지하는 수단을 더 포함하는 것인 컴퓨터 바이러스 검출 및 제거 실시간 시스템.
33. 제30항에 있어서, 상기 활성화 수단은 콜백(call-back) 기능을 갖는 것인 컴퓨터 바이러스 검출 및 제거 실시간 시스템.
34. 제30항에 있어서, 상기 e-메일 메세지는 상기 컴퓨터 네트워크 상의 클라이언트 컴퓨터로부터 수신된 e-메일 메세지를 포함하는 것인 컴퓨터 바이러스 검출 및 제거 실시간 시스템.
35. 제30항에 있어서, 상기 에이전트는 서로 다른 복수 개의 앤티바이러스 모듈과 상기 메세지 시스템을 인터페이스하는 것인 컴퓨터 바이러스 검출 및 제거 실시간 시스템.
36. 제30항에 있어서, 상기 에이전트는 복수 개의 서로 다른 메세지 시스템과 상기 앤티바이러스 모듈을 인터페이스하는 것인 컴퓨터 바이러스 검출 및 제거 실시간 시스템.