KR20070073361A

KR20070073361A - 듀얼엔진에서의 악성트래픽 스캐닝

Info

Publication number: KR20070073361A
Application number: KR1020060001143A
Authority: KR
Inventors: 김현태
Original assignee: 주식회사 코드젠
Priority date: 2006-01-05
Filing date: 2006-01-05
Publication date: 2007-07-10

Abstract

본 기술은 인터넷 트래픽계층과 시스템 응용계층에서 2종류의 바이러스 데이터베이스가 이중으로 작동하여 바이러스를 진단하는 듀얼엔진(Dual Engine) 기술이다. 듀얼엔진(Dual Engine)은 주엔진(제1바이러스 데이터베이스)과 부엔진(제2바이러스 데이터베이스)으로 구성되어, 주엔진과 부엔진을 모두 사용하여 동시에 바이러스 검사를 수행하는 방식이다. 듀얼엔진을 사용하면 주엔진만으로 검색할 수 없는 바이러스를 부엔진을 사용하여 한번 더 검사함으로 더욱 안전한 시스템을 만드는데 도움이 된다.

이를 위해서 CodeZen Dual Engine(이하 CDE이라 한다.)이라는 개념을 도입하였다.

CDE 기술을 설명하기 위해서 일반적인 인터넷 응용 프로그램의 데이터 처리 흐름을 살펴보면 다음과 같은 순서를 따른다.

[도 1]

윈속(Winsock)은 윈도우 운영체계 내에서 인터넷 응용 프로그램들의 입출력 요청을 처리하는 프로그래밍 인터페이스 및 지원 프로그램이다.

모든 인터넷 데이터들은 윈속을 통과하게 되어 있다.

CDE 기술은 윈속(Winsock) 위에 제1바이러스 데이타베이스를 만들어 모든 인터넷 트래픽이 이곳을 통과하도록 한다. 인터넷 데이터가 이 층을 통과할 때 바이러스를 탐지하고 그에 따른 조치를 1차적으로 방지하고 응용 프로그램에 도달 후 시스템에 저장될 때 새로운 제2바이러스 데이터베이스가 동작하여 한번 더 스캐닝 함으로써 확실한 인터넷 바이러스 방역프로그램이 될 수 있다.

기존의 안티바이러스 제품이 모두 바이러스가 시스템에 저장되거나 실행된 이후에 바이러스를 진단하고 치료하는 것에 비하면 2가지의 바이러스 데이터베이스로 응용프로그램에 도달 전에 한번 도달 후에 또 한번하는 혁신적인 기술이다.

CDE 기술이 적용된 경우의 인터넷 데이터의 흐름을 나타내면 아래와 같다.

[도 2]

즉 응용 프로그램과 윈속 사이에 주엔진(제1바이러스 데이터베이스)이 위치하여 동작하고 응용 프로그램에서 부엔진(제2바이러스 데이터베이스)이 동작하는 것이다.

CDE 주엔진은 윈속과 응용 프로그램 사이에 위치하기 때문에 모든 인터넷 트래픽을 스캐닝 하며, CDE 부엔진은 응용프로그램에서 실행하므로 모든 인터넷 데이터를 스캐닝하여 주엔진에서 찾지 못한 바이러스를 찾아 진단 치료한다.

CodeZen Dual Engine

Description

듀얼엔진에서의 악성트래픽 스캐닝{Traffic Scanning Anti-Virus Dual Engine}

도 1은 일반적인 백신프로그램의 처리 흐름 순서도이다.

도 2는 CDE 기술이 적용된 경우의 백신프로그램을 나타내는 순서도 이다.

듀얼엔진에서의 악성트래픽 스캐닝Traffic Scanning Anti-Virus Dual Engine 기술은 응용 프로그램과 윈속 사이에 주엔진(제1바이러스 데이터베이스) 라는 새로운 층을 만들어 모든 인터넷 트래픽이 이곳을 통과하도록 한 다음 데이터가 이곳을 통과할 때 1차적으로 바이러스를 진단하며, 시스템 응용계층에서 부엔진(제2바이러스 데이터베이스)을 스캐닝시키는 기술이다.

기존의 백신 제품이 바이러스가 시스템에 도달한 후 바이러스 진단이 가능한 반면에 이 기술을 이용하면 바이러스가 시스템에 도달하기 전,후로 이중으로 진단하고 방역할 수 있다.

CDE 기술의 가장 큰 특성은 주엔진에서 인터넷 트래픽을 검사(scan)하는 것이다.

기존의 바이러스 백신들이 파일에 대한 검사만을 하기 때문에 요즈음과 같은 인터넷 이용이 많은 환경에 적절히 대응하지 못하고 있다. 웜이나 트로이목마 같은 인터넷이나 메일을 이용하여 유포되는 바이러스에서 알 수 있듯이 파일 중심의 바이러스 진단 방법은 일정한 한계가 있을 수밖에 없다.

CDE는 실시간으로 인터넷 트래픽을 검사한다. 현재에도 많은 백신 프로그램들이 실시간 감시 기능을 제공하고 있지만 바이러스 파일을 인터넷으로부터 다운로드 받을 경우 실시간으로 이를 진단하고 치료하지 못하고 있다. 그러나 CDE 기술을 이용하면 인터넷 트래픽을 검사하기 때문에 압축된 바이러스 파일을 다운로드 받는 경우에도 바이러스 진단과 차단이 가능하다.

본 기술은 바이러스 차단에만 적용되지 않는다. 요즈음의 인터넷 환경에서는 바이러스 외의 다양한 악성 코드들이 존재한다. CDE 기술을 이용하면 바이러스, 웜, 해킹프로그램등 이러한 모든 것에 대한 대응이 가능하다.

듀얼엔진에서의 악성트래픽 스캐닝Traffic Scanning Anti-Virus Dual Engine 기술은 Internet Application 및 시스템 응용프로그램등 모든 분야에 다양하게 적용하여, 기존의 문제점(바이러스, 해킹프로그램)으로부터 사용자 컴퓨터의 보호 및 정 보 유출 방지를 그 목적으로 한다.

본 기술은 1차적으로 백신 소프트웨어에 적용이 가능하다. 특히 요즈음과 같이 인터넷을 통한 자료 교환이 빈번하고 인터넷을 통한 바이러스 유포가 활발한 현 시점에서는 무엇보다도 안티 바이러스 제품으로 유용하게 쓰일 수 있을 것이다.

또한 오늘날의 기업 환경은 바이러스에 대한 방역뿐만 아니라 웹사이트 해킹 보안 기능까지도 요구하고 있다. 특히 지난 해의 경우 많은 해킹프로그램에 의해 기업의 내부 문서들이 무차별적으로 외부로 유출된 경험이 있다. 이러한 경우에 CDE의 웹사이트 해킹 보안 기능을 이용하면 기업 내의 비밀 자료나 중요 문서의 보안을 유지할 수 있다.

본 기술은 보안 분야뿐만 아니라 다양한 분야로 활용이 가능하다. 예를 들면 e-mail에 첨부된 압축 파일에 대한 자동적인 압축 해제, 인터넷 트래픽의 다이나믹한 압축과 해제를 통한 인터넷 대역폭의 효율적 이용, 데이터의 실시간 암호화와 복호화등 다양한 분야로의 활용이 가능하다.

1. 데스크탑용 안티 바이러스 소프트웨어

가장 먼저 적용 가능한 분야가 안티 바이러스 소프트웨어이다.

현재 많은 안티 바이러스 제품이 출시되어 있지만 지금까지 볼 수 없었던 새로운 기술로 무장하고 자동 업데이트 기능과 중앙 집중식 관리 등 인터페이스에 만전을 기한다면 충분히 기존 제품들과 경쟁해 볼 만하다.

현재까지 테스트 결과, 성능에 있어서는 기존의 어느 제품보다도 뛰어나다고 자신할 수 있다. 그러나 제품이 성능만 뛰어나다고 성공하는 것이 아니기 때문에 디자인이나 사용자 인터페이스, 편리한 관리 기능 등 모든 면에서 앞설 수 있도록 노력할 것이다.

현재 백신 프로그램의 단점들을 살펴보면, 바이러스 정의 파일이 자동으로 업데이트 되지 않고, 수동으로 사용자가 업데이트해야 하는 불편함이 있다. 또한 e-mail 첨부 파일에 대한 바이러스 체크가 실시간으로 이루어지지 않고 메일 클라이언트를 실행한 이후에 바이러스 체크가 이루어진다. 그리고 메일 내용에 대한 보안 기능을 갖추고 있는 백신 소프트웨어는 없다.

위와 같은 점을 감안하여 사용자에게 편리한 인터페이스만 제공한다면 충분히 경쟁력을 가질 수 있다고 생각된다. 앞으로도 안티 바이러스 시장은 계속 성장하고 있고 인터넷 사용이 일상화되고 있는 만큼 안티 바이러스 제품에 대한 수요는 계속 증가할 것이다.

2. 기업용 서버 보안 소프트웨어

두 번째로 CDE 기술을 적용할 수 있는 분야는 기업의 메일 서버나 파일 서버 등 서 버 분야의 보안 제품이다.

앞으로 기업 보안 시장은 보안의 중요성에 대한 인식이 확산되면서 높은 성장세를 보일 것이다. 특히 기업 시장에 있어서는 무엇보다도 성능이 중요하고 기업에 중요한 컨텐트 보안 및 e-mail 검사 기능에 강점이 있는 만큼 시장에서 충분히 경쟁력을 갖출 것으로 기대된다.

메일 게이트웨이에 CDE 기술을 탑재한 소프트웨어를 설치하면 기업에서 들어오고 나가는 모든 트래픽에 대한 감시가 가능하여 실시간으로 트래픽을 체크한 다음 바이러스나 해킹프로그램이 발견되면 기업 내부에 들어올 수 없도록 미리 차단할 수 있다. 또한 기업 내부에서 외부로 발송되는 메일에 대한 내용 체크도 이루어 져서 기업에 중요한 자료가 외부로 누출되는 것을 방지할 수 있다.

3. 기타 적용 분야

CDE 기술을 이용하면 실시간으로 인터넷 트래픽에 대한 처리가 가능하기 때문에 실시간 압축과 해제를 이용하여 인터넷 대역폭을 효율적으로 사용할 수 있다. 즉 데이터를 전송할 때 압축해서 전송하고 사용자가 데이터를 받을 경우에는 그것을 해제한다면 네트워크의 대역폭 사용을 줄일 수 있는 것이다. 이러한 과정이 사용자의 개입 없이 이루어질 수 있기 때문에 사용자에게는 별다른 불편함을 초래하지 않는다.

압축, 해제뿐만 아니라 암호화와 복호화도 실시간 처리가 가능하다.

현재 많은 데이터들이 평문으로 전송되고 있기 때문에 해킹의 위험에 노출되어 있다. 특히 기업의 보안이 요구되는 기밀 자료들의 경우에는 암호화하여 전송하는 것이 필요한데 이러한 경우에도 CDE 기술을 이용하면 사용자의 별다른 개입 없이 실시간으로 암호화와 복호화를 할 수 있다.

이밖에도 인터넷 트래픽을 실시간으로 처리하는 다양한 분야에 이 기술을 이용할 수 있다.

CDE기술은 윈속에 기반하여 개발된 기술로서 윈속을 이용하는 많은 응용 프로그램에 적용할 수 있는 기술이다. 윈도우 기반의 인터넷 관련 프로그램들이 대부분 윈속을 이용하고 있기 때문에 그만큼 활용 범위가 넓다고 할 수 있다.

위에서 언급한 바와 같이 인터넷 트래픽의 실시간 처리가 필요한 경우에 많이 활용할 수 있는 기술인 것이다.

예를 들면 실시간으로 데이터의 압축과 해제를 이용한 네트워크 대역폭을 효율적으로 이용하는 것이라든지 실시간으로 데이터를 암호화, 복호화 하여 데이터 보안에 활용하는 것이 그 예가 된다.

또한 기업의 게이트웨이에 이 기술을 이용한 서버를 구축함으로써 훌륭한 FireWall 로서 활용할 수도 있다.

CDE 기술을 번역에 활용하면 클라이언트 관계없이 서버에서 문서를 번역함으로써 다중 언어의 웹 사이트나 다중 언어 프로그램 등 다양한 다중 언어 제품에 활용할 수 있을 것이다.

Claims

Computer Anti-Virus Dual Engine Scan