KR20170096699A - 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템 및 방법 - Google Patents

화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템 및 방법 Download PDF

Info

Publication number
KR20170096699A
KR20170096699A KR1020160018241A KR20160018241A KR20170096699A KR 20170096699 A KR20170096699 A KR 20170096699A KR 1020160018241 A KR1020160018241 A KR 1020160018241A KR 20160018241 A KR20160018241 A KR 20160018241A KR 20170096699 A KR20170096699 A KR 20170096699A
Authority
KR
South Korea
Prior art keywords
file
list
access
module
whitelist
Prior art date
Application number
KR1020160018241A
Other languages
English (en)
Other versions
KR101780891B1 (ko
Inventor
박영춘
박혜미
Original Assignee
박영춘
박혜미
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 박영춘, 박혜미 filed Critical 박영춘
Priority to KR1020160018241A priority Critical patent/KR101780891B1/ko
Publication of KR20170096699A publication Critical patent/KR20170096699A/ko
Application granted granted Critical
Publication of KR101780891B1 publication Critical patent/KR101780891B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템 및 방법이 개시된다. 사용자 단말에서 보호하고자 하는 파일 포맷의 파일에 대한 액세스를 허용하는 프로세스 목록으로 구성된 화이트 리스트 및 상기 사용자 단말에서 보호하고자 하는 파일 포맷의 파일에 대한 액세스를 차단하는 프로세스 목록으로 구성된 블랙 리스트를 미리 저장하는 리스트 저장 모듈과, 상기 사용자 단말의 소정 파일에 대한 액세스를 요청하는 이벤트를 탐지하는 이벤트 탐지 모듈과, 상기 액세스가 요청된 파일의 파일 포맷이 상기 화이트리스트 또는 상기 블랙리스트에 해당되는지 판단하고, 상기 탐지된 이벤트의 액세스가 상기 화이트리스트 또는 블랙리스트의 액세스에 해당하는지 판단하고, 판단 결과 상기 파일 포맷 및 해당 파일에 대한 액세스가 화이트리스트에 해당되면 상기 파일에 대한 액세스를 허용하고 상기 파일 포맷 및 해당 파일에 대한 액세스가 블랙리스트에 해당되면 상기 파일에 대한 액세스를 차단하는 랜섬웨어 차단 모듈; 상기 화이트리스트 및 블랙리스트를 생성하여 업로드하거나 다운로드하여 상기 리스트 저장 모듈에 갱신하는 리스트 갱신 모듈을 포함하는 사용자 단말; 상기 리스트 갱신 모듈에 의해 업로드되는 화이트리스트 및 블랙리스트를 취합하여 화이트리스트 및 블랙리스트에 관한 패치 파일을 생성하여 배포하는 리스트 패치 서버를 구성한다.

Description

화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템 및 방법{SYSTEM AND METHOD OF BLOCKING RANSOMWARE BASED ON WHITE LIST AND BLACK LIST}
본 발명은 랜섬웨어(ransomware) 차단 시스템 및 방법에 관한 것으로서, 구체적으로는 화이트 리스트(white list) 및 블랙리스트(black list)에 기반한 랜섬웨어 차단 시스템 및 방법에 관한 것이다.
랜섬웨어(ransomware)는 악성코드의 일종으로서 타인의 컴퓨터의 문서 파일을 암호화하고 이를 풀어주는 대가로 돈을 요구하는 해킹(hacking) 수법이다.
랜섬웨어는 문서 파일은 물론 다양한 형식의 파일을 무작위로 암호화하거나 다양한 방식으로 사용하지 못하도록 하기 때문에 업무상 상당한 피해를 입히고 때로는 회사의 존립에도 영향을 미치기도 한다.
대개의 악성코드는 파일을 무용지물로 만들거나 시스템에 치명적인 오류를 야기하지만, 랜섬웨어는 정상적인 파일을 별도로 보관하거나 다시 복원하여 대가를 수취하기 때문에 이를 기반으로 하는 공격 패턴을 보이고 있다.
대표적인 예로는, 파일을 열어서 암호화하고 암호화 파일을 생성한 후 기존의 파일은 삭제하는 방식이다. 다른 예로는 파일을 열어서 메모리(memory)상에서 암호화를 한 후 원본 파일에 겹쳐쓰기를 하는 방식이다. 또 다른 예로는 파일을 열고 암호화한 후 압축하고 이를 다른 영역에 복사하여 이동시키고 기존 파일을 삭제하는 방식이다.
이와 같은 랜섬웨어의 기본 공격 패턴은 모두 파일을 열어서 암호화하거나 기존 원본 파일에 일반적인 방식으로 액세스를 하지 못하도록 하는 것이다.
기존에는 랜섬웨어의 공격에 대해서 랜섬웨어로 알려진 일반적인 악성코드를 탐지하는 방식(침입 기반 분류 방식, singnature-based detection)을 이용하거나 또는 이와 유사한 코드를 갖는 새로운 랜섬웨어를 새롭게 발견하거나 탐지하는 방식(발견적 식별 방식, heuristic-based detection)이 이용되고 있다.
이러한 방식은 랜섬웨어는 그 패턴이 일정하지 않아 새로운 패턴에 대해서는 효율적으로 대응하는 데 한계가 있다.
컴퓨터 내의 대량의 파일을 일괄적으로 복사하여 다른 영역에 저장하거나 파일을 열어 암호화하거나 하는 등의 패턴은 사용자들이 늘 하는 복사 프로세스나 파일 열기 액세스와 크게 다를 바 없어서 이를 쉽게 탐지하기 어렵다.
등록특허공보 10-1247943는 화이트리스트(white list) 및 블랙리스트(blacklist)를 이용한 방식으로서 기존에 알려진 바이러스 코드를 블랙리스트에 등록하여 그 액세스를 차단하는 방식이다.
앞서 언급한 침입 기반 분류 방식이 이에 해당하지만, 랜섬웨어는 그 특유의 무패턴과 패턴만으로 감지하기 어렵고 다양하게 패턴을 바꾸어 동작 가능하기 때문에 단순히 블랙리스트와 화이트리스트에 기반하여 랜섬웨어를 탐지하는 것은 거의 불가능하다.
10-1247943
본 발명의 목적은 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템을 제공하는 데 있다.
본 발명의 다른 목적은 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 방법을 제공하는 데 있다.
상술한 본 발명의 목적에 따른 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템은, 사용자 단말에서 보호하고자 하는 파일 포맷(file format)의 파일에 대한 액세스(access)을 허용하는 프로세스 목록으로 구성된 화이트 리스트(white list) 및 상기 사용자 단말에서 보호하고자 하는 파일 포맷의 파일에 대한 액세스를 차단하는 프로세스 목록으로 구성된 블랙 리스트(black list)를 미리 저장하는 리스트 저장 모듈과, 상기 사용자 단말의 소정 파일에 대한 액세스를 요청하는 이벤트(event)를 탐지하는 이벤트 탐지 모듈과, 상기 액세스가 요청된 파일의 파일 포맷이 상기 화이트리스트 또는 상기 블랙리스트에 해당되는지 판단하고, 상기 탐지된 이벤트의 액세스가 상기 화이트리스트 또는 블랙리스트의 액세스에 해당하는지 판단하고, 판단 결과 상기 파일 포맷 및 해당 파일에 대한 액세스가 화이트리스트에 해당되면 상기 파일에 대한 액세스를 허용하고 상기 파일 포맷 및 해당 파일에 대한 액세스가 블랙리스트에 해당되면 상기 파일에 대한 액세스를 차단하는 랜섬웨어(ransomware) 차단 모듈; 상기 리스트 저장 모듈에 저장된 화이트리스트 및 블랙리스트를 업로드(upload)하거나 상기 화이트리스트 및 블랙리스트에 관한 패치 파일(patch file)을 다운로드(download)하여 상기 리스트 저장 모듈에 갱신하는 리스트 갱신 모듈을 포함하는 사용자 단말; 상기 리스트 갱신 모듈에 의해 업로드되는 화이트리스트 및 블랙리스트를 취합하여 상기 패치 파일을 생성하여 상기 사용자 단말로 배포하는 리스트 패치 서버를 포함하는 사용자 단말; 상기 리스트 갱신 모듈에 의해 업로드되는 화이트리스트 및 블랙리스트를 취합하여 화이트리스트 및 블랙리스트에 관한 패치(patch) 파일을 생성하여 배포하는 리스트 패치 서버를 포함하도록 구성될 수 있다.
여기서, 상기 소정의 액세스는, 파일의 열기(open), 삭제(delete), 쓰기(write) 및 변경(modify) 중 어느 하나로 구성될 수 있다.
상술한 본 발명의 다른 목적에 따른 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 방법은, 이벤트 탐지 모듈이 사용자 단말에 의한 소정 파일에 대한 상기 액세스를 요청하는 이벤트(event)를 탐지하는 단계; 랜섬웨어(ransomware) 차단 모듈이 상기 액세스가 요청된 파일의 파일 포맷이 리스트 저장 모듈에 미리 저장된 화이트리스트 또는 블랙리스트에 해당되는지 판단하고, 상기 탐지된 이벤트의 액세스가 상기 화이트리스트 또는 블랙리스트에 해당하는지 판단하는 단계; 상기 판단 결과 상기 파일 포맷 및 해당 파일에 대한 액세스가 화이트리스트에 해당되면, 상기 랜섬웨어 차단 모듈이 상기 파일에 대한 액세스를 허용하고, 상기 판단 결과 상기 파일 포맷 및 해당 파일에 대한 액세스가 블랙리스트에 해당되면, 상기 랜섬웨어 차단 모듈이 상기 파일에 대한 액세스를 차단하는 단계; 리스트 갱신 모듈이 상기 화이트리스트 및 블랙리스트를 생성하여 리스트 패치 서버로 업로드(upload)하거나 상기 리스트 패치 서버로부터 화이트리스트 및 블랙리스트에 관한 패치 파일을 다운로드하여 상기 리스트 저장 모듈에 갱신 저장하는 단계를 포함하도록 구성될 수 있다.
이때, 상기 랜섬웨어(ransomware) 차단 모듈이 상기 액세스가 요청된 파일의 파일 포맷이 리스트 저장 모듈에 미리 저장된 화이트리스트 또는 블랙리스트에 해당되는지 판단하고, 상기 탐지된 이벤트의 액세스가 상기 화이트리스트 또는 블랙리스트의 액세스에 해당하는지 판단하는 단계에서, 상기 액세스는 상기 파일의 열기(open), 삭제(delete), 쓰기(write) 및 변경(modify) 중 어느 하나로 구성될 수 있다.
상술한 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템 및 방법에 의하면, 특정 포맷의 파일을 액세스하고자 하는 이벤트를 탐지하여 이러한 액세스를 미연에 차단하도록 구성됨으로써, 특정 패턴을 보이지 않고 감지가 어려운 랜섬웨어를 철저히 차단하고 사용자 단말을 보호할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템의 블록 구성도이다.
도 2는 본 발명의 일 실시예에 따른 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 방법의 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 발명을 실시하기 위한 구체적인 내용에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템의 블록 구성도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템(이하, '랜섬웨어 차단 시스템'이라 함)(100)은 사용자 단말(110) 및 리스트 패치 서버(120)를 포함하도록 구성될 수 있다.
랜섬웨어 차단 시스템(100)은 사용자 단말(110) 내 중요한 파일에 대해서는 해당 파일 포맷과 포맷에 대하여 액세스 가능한 프로세스 목록을 화이트리스트에 미리 등록하여 화이트리스트에 포함되지 않은 프로세스에 의해 액세스(access)하는 것을 방지하도록 구성된다.
이하, 세부적인 구성에 대하여 설명한다.
사용자 단말(110)은 리스트 저장 모듈(111), 이벤트 탐지 모듈(112), 랜섬웨어 차단 모듈(113) 및 리스트 갱신 모듈(114)을 포함하도록 구성될 수 있다.
사용자 단말(110)은 사용자의 스마트 폰, 컴퓨터 등이 될 수 있으며, 네트워킹(networking)이 가능한 단말이 될 수 있다. 사용자 단말(110)에는 외부 저장 매체가 연결될 수 있으며, 액세스의 대상 파일은 사용자 단말(110)에 저장된 파일은 물론 사용자 단말(110)에 연결된 외부 저장 매체의 파일을 모두 포함한다.
리스트 저장 모듈(111)은 화이트리스트(white list) 및 블랙리스트(black list)를 미리 저장하도록 구성될 수 있다.
여기서, 화이트리스트는 사용자 단말(110)에서 보호하고자 하는 파일 포맷(file format)과 해당 파일 포맷의 파일에 대한 액세스(access)을 허용하는 프로세스 목록으로 구성될 수 있다.
그리고 블랙리스트는 사용자 단말(110)에서 보호하고자 하는 파일 포맷과 해당 파일 포맷의 파일에 대한 액세스을 차단하는 프로세스 목록으로 구성될 수 있다.
블랙리스트와 화이트리스트는 사용자에 의해 설정될 수 있으며, 사용자는 파일 포맷이나 파일 포맷에 대한 액세스를 개별적으로 지정하거나 설정하도록 구성될 수 있다.
여기서, 액세스는 랜섬웨어 공격에 기본적으로 요구되는 액세스들로 구성될 수 있으며, 예를 들어 파일의 열기(open), 삭제(delete), 쓰기(write) 및 변경(modify) 중 어느 하나로 구성될 수 있다. 이러한 액세스에 의해 파일을 암호화하거나 다른 영역으로 이동시키거나 삭제 등을 할 수 있기 때문이다.
이벤트 탐지 모듈(112)은 사용자 단말(110)의 소정 파일에 대한 액세스를 요청하는 이벤트를 탐지하도록 구성될 수 있다.
한편, 이벤트 탐지 모듈(112)은 암호화라는 특정 프로세스에 대한 이벤트를 탐지하도록 구성될 수도 있다. 이는 외부 단말(10)에 의해 열기(open) 액세스가 이루어진 상태에서 해당 파일상에서 암호화 프로세스 이벤트가 발생하는 경우 이를 실시간 탐지하도록 구성될 수 있다. 이러한 경우, 해당 파일의 종류에 따른 암호화 프로세스 이벤트를 미리 등록하여 저장해 놓고 이러한 암호화 프로세스 이벤트가 발생하는지 판단하도록 구성될 수 있다. 파일의 종류별로 해당 어플리케이션(application) 예를 들어 MS 워드, MS 엑셀 등의 암호화 프로세스 이벤트를 모두 감지 가능하도록 구성되어야 한다. 이러한 경우에는 암호화에 의한 공격 패턴을 집중적으로 방어할 수 있게 된다.
랜섬웨어 차단 모듈(113)은 이벤트 탐지 모듈(112)에서 탐지된 이벤트의 액세스가 요청된 파일의 파일 포맷이 화이트리스트 또는 블랙리스트에 해당되는지 판단하도록 구성될 수 있다. 아울러 랜섬웨어 차단 모듈(113)은 이벤트 탐지 모듈(112)에서 탐지된 이벤트의 액세스가 화이트리스트 또는 블랙리스트의 액세스에 해당하는지 판단하도록 구성될 수 있다.
여기서, 미리 정해진 액세스는 파일의 열기(open), 삭제(delete), 쓰기(write) 및 변경(modify) 중 어느 하나로 구성될 수 있다. 이러한 액세스는 사용자의 의해 수동으로 선택적으로 설정되도록 구성될 수 있다.
위 판단 결과 액세스가 요청된 파일의 파일 포맷이 블랙리스트에 해당되고 또한 해당 이벤트의 액세스가 블랙리스트에 해당되는 경우, 랜섬웨어 차단 모듈(113)은 해당 액세스를 차단하여 파일을 보호하도록 구성될 수 있다.
만약 액세스가 요청된 파일의 파일 포맷이 화이트리스트에 해당되고 또한 해당 이벤트의 액세스가 화이트리스트에 해당되는 경우, 랜섬웨어 차단 모듈(113)은 위 파일에 대한 해당 액세스를 허용하도록 구성될 수 있다.
여기서 위 판단 결과 파일이 블랙리스트와 화이트리스트 모두 해당되지 않는 경우, 랜섬웨어 차단 모듈(113)은 사용자에게 해당 파일에 대한 액세스를 허용할지 또는 차단할지 여부를 실시간으로 문의하여 허용하거나 차단하도록 구성될 수 있다.
리스트 갱신 모듈(114)은 리스트 저장 모듈(111)에 저장된 화이트리스트 및 블랙리스트를 리스트 패치 서버(120)에 업로드(upload)하거나 또는 리스트 패치 서버(120)로부터 화이트리스트 및 블랙리스트에 관한 패치 파일(patch file)을 다운로드(download)하여 리스트 저장 모듈(111)에 갱신 저장하도록 구성될 수 있다.
여기서, 리스트 갱신 모듈(114)은 랜섬웨어 차단 모듈(113)이 사용자에게 파일의 액세스를 허용할지 여부를 실시간으로 문의하여 허용하거나 차단하는 경우 해당 파일을 블랙리스트에 등록할지 또는 화이트리스트에 등록하지 여부를 문의하도록 구성될 수 있다. 리스트 갱신 모듈(114)은 사용자의 선택에 따라 해당 파일을 블랙리스트 또는 화이트리스트에 추가 등록하도록 구성될 수 있다.
한편, 리스트 갱신 모듈(114)은 랜섬웨어 차단 모듈(113)이 파일에 대한 액세스를 차단한 경우 해당 파일을 압축하여 또는 무압축으로 리스트 패치 서버(120)의 사용자 개인 저장 공간에 업로드하여 백업하도록 구성될 수 있다. 랜섬웨어 공격에 의한 파일을 백업하여 만일의 위험에 대비하기 위함이다.
여기서, 이벤트 탐지 모듈(111)은 외부 단말(10)에서 화이트리스트 또는 블랙리스트의 파일에 대한 파일명 변경을 요청하는 이벤트를 탐지하고, 랜섬웨어 차단 모듈(113)은 이러한 이벤트에 따라 파일명 변경을 차단하도록 구성될 수도 있다.
다른 한편, 리스트 갱신 모듈(114)은 화이트리스트에 해당되는 파일의 해쉬(hash) 데이터를 생성하도록 구성될 수 있다. 리스트 갱신 모듈(114)은 파일의 해쉬 데이터를 해당 화이트리스트와 함께 리스트 저장 모듈(111)에 저장하고 리스트 패치 서버(120)에 백업 저장하도록 구성될 수 있다.
해쉬 함수(hash function)는 임의의 길이의 데이터를 고정된 길이의 데이터로 매핑하는 알고리즘으로서, 해쉬 함수는 파일마다 해쉬 데이터를 다른 값으로 생성하기 때문에 파일의 진위 여부를 판단하는데 활용될 수 있다.
이는 사용자 단말(110)이나 외부 단말(10)에서 바이러스 코드(virus code)에 의해 화이트리스트를 미리 확인하고, 화이트리스트 내의 등록된 프로세스와 동일한 이름으로 변경하여 침투하는 등의 다양한 우회 침투 패턴을 미연에 방지하기 위함이다.
이러한 경우, 랜섬웨어 차단 모듈(113)은 단지 화이트리스트와 블랙리스트만을 이용하여 액세스 파일을 확인하는 것이 아니라 액세스 파일의 해쉬 데이터를 이용하여 사용자가 미리 등록한 파일과 액세스 파일이 일치하는지 대비하여 판단하도록 구성될 수 있다.
한편, 랜섬웨어 차단 모듈(113)은 사용자 단말(110)의 특정 폴더에 대해 중요 파일의 백업 폴더로 사용 가능하도록 지원할 수 있다.
예를 들어, 랜섬웨어 차단 모듈(113)은 쉴드 폴더(shilefolder) 라는 폴더를 생성하고, 해당 폴더에는 1회 쓰기(write) 내지는 저장은 가능하나 삭제(delete)나 수정, 변경(modify)이 불가하도록 제한하고, 읽기(read)는 언제든지 가능하도록 설정할 수 있다. 랜섬웨어 차단 모듈(113)은 파일의 경로가 쉴드 폴더로 되어 있는지 판단하고 그러한 경우 해당 파일에 대한 이벤트를 파악하여 위와 같은 제한을 가할 수 있다.
이러한 경우, 사용자는 중요 파일을 랜섬웨어 차단 모듈(113)에서 기 생성한 쉴드 폴더에 저장하여 보호할 수 있다. 해당 파일의 삭제는 트레이(tray)에서만 가능하도록 구성될 수 있다.
랜섬웨어 차단 모듈(113)은 쉴드 폴더를 쉴드 락(shield lock) 폴더, 쉴드 리드(shiled read) 폴더, 쉴드 히든(shield hidden) 폴더 등으로 세분화하여 생성할 수 있다.
여기서, 쉴드 락 폴더에서는 폴더명과 파일 리스트만 보여주고 읽기도 불가하도록 제한할 수 있으며, 쉴드 리드 폴더에서는 파일의 읽기는 가능하나 수정, 쓰기, 삭제가 불가하도록 제한할 수 있으며, 쉴드 히든 폴더에서는 폴더 자체를 숨기도록 설정할 수 있다.
또 다른 한편, 랜섬웨어 차단 모듈(113)은 침입 기반 분류 방식(singnature-based detection)에 기반하여 이미 알려진 특정 랜섬웨어를 차단하도록 구성될 수도 있다. 앞서 언급한 바와 같이 랜섬웨어 공격에서는 이러한 침입 기반 분류 방식이 다소 효율적이지 못할 수 있지만 이러한 차단 방식을 모두 겸비할 수 있다.
리스트 패치 서버(120)는 리스트 갱신 모듈(114)에 의해 업로드되는 화이트리스트 및 블랙리스트를 백업(backup) 저장하도록 구성될 수 있다. 리스트 패치 서버(120)는 여러 사용자의 사용자 단말(110)로부터 각각 화이트리스트 및 블랙리스트를 수신하여 취합하고, 이를 이용하여 화이트리스트 및 블랙리스트의 패치 파일을 생성하도록 구성될 수 있다. 이러한 패치 파일은 리스트 패치 서버(120)가 여러 사용자 단말(110)로 배포하도록 구성될 수 있다.
이때, 화이트리스트 및 블랙리스트에 각각 등록된 파일의 해쉬 데이터도 함께 백업 저장되도록 구성될 수 있다.
도 2는 본 발명의 일 실시예에 따른 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 방법의 흐름도이다.
도 2를 참조하면, 먼저 이벤트 탐지 모듈(112)이 사용자 단말(110)의 소정 파일에 대한 액세스를 요청하는 이벤트(event)를 탐지한다(S101).
다음으로, 랜섬웨어(ransomware) 차단 모듈(113)이 액세스가 요청된 파일의 파일 포맷이 리스트 저장 모듈(111)에 미리 저장된 화이트리스트 또는 블랙리스트에 해당되는지 판단하고, 아울러 탐지된 이벤트의 액세스가 화이트리스트 또는 블랙리스트에 해당하는지 판단한다(S102).
여기서, 위 액세스는 파일의 열기(open), 삭제(delete), 쓰기(write) 및 변경(modify) 중 어느 하나로 구성될 수 있다.
한편, 위 판단 결과 파일 포맷 및 해당 파일에 대한 액세스가 화이트리스트에 해당되면, 랜섬웨어 차단 모듈(113)이 파일에 대한 액세스를 허용하고, 판단 결과 파일 포맷 및 해당 파일에 대한 액세스가 블랙리스트에 해당되면, 랜섬웨어 차단 모듈(113)이 파일에 대한 액세스를 차단한다(S103).
만약, 블랙리스트나 화이트리스트 어디에도 해당되지 않는 경우, 랜섬웨어 차단 모듈(130)은 사용자에게 질의하여 사용자의 선택에 따라 파일에 대한 액세스를 허용하거나 차단한다(S104).
이와 같이, 사용자의 선택에 의해 파일에 대한 액세스를 허용하거나 차단하는 경우, 리스트 갱신 모듈(114)이 화이트리스트 및 블랙리스트를 생성하여 리스트 패치 서버(120)로 업로드(upload)하고, 화이트리스트 및 블랙리스트에 관해 여러 사용자 단말(110)로부터 취합되어 생성된 패치 파일을 리스트 패치 서버(120)로부터 다운로드하여 리스트 저장 모듈(110)에 갱신 저장한다(S105).
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
110: 사용자 단말
111: 리스트 저장 모듈
112: 이벤트 탐지 모듈
113: 랜섬웨어 차단 모듈
114: 리스트 갱신 모듈
120: 리스트 패치 서버

Claims (4)

  1. 사용자 단말에서 보호하고자 하는 파일 포맷(file format)의 파일에 대한 액세스(access)를 허용하는 프로세스 목록으로 구성된 화이트 리스트(white list) 및 상기 사용자 단말에서 보호하고자 하는 파일 포맷의 파일에 대한 액세스를 차단하는 프로세스 목록으로 구성된 블랙 리스트(black list)를 미리 저장하는 리스트 저장 모듈과, 상기 사용자 단말의 소정 파일에 대한 액세스를 요청하는 이벤트(event)를 탐지하는 이벤트 탐지 모듈과, 상기 액세스가 요청된 파일의 파일 포맷이 상기 화이트리스트 또는 상기 블랙리스트에 해당되는지 판단하고, 상기 탐지된 이벤트의 액세스가 상기 화이트리스트 또는 블랙리스트에 해당하는지 판단하고, 판단 결과 상기 파일 포맷 및 해당 파일에 대한 액세스가 화이트리스트에 해당되면 상기 파일에 대한 액세스를 허용하고 상기 파일 포맷 및 해당 파일에 대한 액세스가 블랙리스트에 해당되면 상기 파일에 대한 액세스를 차단하는 랜섬웨어(ransomware) 차단 모듈; 상기 리스트 저장 모듈에 저장된 화이트리스트 및 블랙리스트를 업로드(upload)하거나 상기 화이트리스트 및 블랙리스트에 관한 패치 파일(patch file)을 다운로드(download)하여 상기 리스트 저장 모듈에 갱신하는 리스트 갱신 모듈을 포함하는 사용자 단말;
    상기 리스트 갱신 모듈에 의해 업로드되는 화이트리스트 및 블랙리스트를 취합하여 상기 패치 파일을 생성하여 상기 사용자 단말로 배포하는 리스트 패치 서버를 포함하는 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템.
  2. 제1항에 있어서, 상기 소정의 액세스는,
    파일의 열기(open), 삭제(delete), 쓰기(write) 및 변경(modify) 중 어느 하나로 구성되는 것을 특징으로 하는 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템.
  3. 이벤트 탐지 모듈이 사용자 단말의 소정 파일에 대한 액세스를 요청하는 이벤트(event)를 탐지하는 단계;
    랜섬웨어(ransomware) 차단 모듈이 상기 액세스가 요청된 파일의 파일 포맷이 리스트 저장 모듈에 미리 저장된 화이트리스트 또는 블랙리스트에 해당되는지 판단하고, 상기 탐지된 이벤트의 액세스가 상기 화이트리스트 또는 블랙리스트에 해당하는지 판단하는 단계;
    상기 판단 결과 상기 파일 포맷 및 해당 파일에 대한 액세스가 화이트리스트에 해당되면, 상기 랜섬웨어 차단 모듈이 상기 파일에 대한 액세스를 허용하고, 상기 판단 결과 상기 파일 포맷 및 해당 파일에 대한 액세스가 블랙리스트에 해당되면, 상기 랜섬웨어 차단 모듈이 상기 파일에 대한 액세스를 차단하는 단계;
    리스트 갱신 모듈이 상기 화이트리스트 및 블랙리스트를 생성하여 리스트 패치 서버로 업로드(upload)하거나 상기 리스트 패치 서버로부터 화이트리스트 및 블랙리스트에 관한 패치 파일을 다운로드하여 상기 리스트 저장 모듈에 갱신 저장하는 단계를 포함하는 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 방법.
  4. 제3항에 있어서, 상기 랜섬웨어(ransomware) 차단 모듈이 상기 액세스가 요청된 파일의 파일 포맷이 리스트 저장 모듈에 미리 저장된 화이트리스트 또는 블랙리스트에 해당되는지 판단하고, 상기 탐지된 이벤트의 액세스가 상기 화이트리스트 또는 블랙리스트의 액세스에 해당하는지 판단하는 단계에서,
    상기 액세스는 상기 파일의 열기(open), 삭제(delete), 쓰기(write) 및 변경(modify) 중 어느 하나로 구성되는 것을 특징으로 하는 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 방법.
KR1020160018241A 2016-02-17 2016-02-17 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템 및 방법 KR101780891B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160018241A KR101780891B1 (ko) 2016-02-17 2016-02-17 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160018241A KR101780891B1 (ko) 2016-02-17 2016-02-17 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20170096699A true KR20170096699A (ko) 2017-08-25
KR101780891B1 KR101780891B1 (ko) 2017-09-21

Family

ID=59761495

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160018241A KR101780891B1 (ko) 2016-02-17 2016-02-17 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101780891B1 (ko)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101889841B1 (ko) 2018-02-20 2018-08-21 (주)지란지교시큐리티 멀티미디어 파일 보안용 컨텐트 방화벽, 컨텐트 보안 시스템 및 기록매체
KR101954976B1 (ko) * 2018-10-02 2019-03-06 이현욱 데이터 백업 관리 시스템 및 그 방법
KR101956725B1 (ko) * 2018-12-06 2019-03-11 주식회사 아신아이 인가된 실행 파일 및 동적 라이브러리 파일 기반 서버 접근 통제 시스템
KR101967170B1 (ko) * 2018-09-13 2019-04-09 (주) 인프론티브 I/o 제어에 의한 컴퓨터 스토리지 매니지먼트 시스템
KR101970993B1 (ko) * 2017-11-29 2019-04-23 주식회사 더볼터 랜섬웨어에 대한 데이터 손실이 없는 ssd 내부 방어 방법 및 랜섬웨어 탐지 시스템
KR102067630B1 (ko) * 2019-02-01 2020-01-17 배용대 접근 제어 기반 데이터 분산 저장 시스템 및 방법
KR20210027730A (ko) 2019-09-03 2021-03-11 (주)지란지교시큐리티 멀티미디어 파일 보안 시스템 및 방법과 컴퓨터로 읽을 수 있는 기록매체
KR20210045140A (ko) * 2019-10-16 2021-04-26 국민대학교산학협력단 회피형 랜섬웨어 탐지를 위한 피처 가공 장치 및 방법
KR102262680B1 (ko) 2020-10-29 2021-06-09 (주)지란지교시큐리티 멀티미디어 파일 보안 방법 및 기록매체
KR102262688B1 (ko) 2020-10-29 2021-06-09 (주)지란지교시큐리티 멀티미디어 파일 보안을 위한 기록매체
KR102303930B1 (ko) 2020-11-26 2021-09-24 (주)지란지교시큐리티 멀티미디어 파일 보안 시스템, 멀티미디어 보안방법 및 기록매체
KR102320387B1 (ko) 2020-11-16 2021-11-03 (주)지란지교시큐리티 멀티미디어 파일 보안용 컴퓨팅 장치, 멀티미디어 보안방법 및 기록매체
KR102412298B1 (ko) 2021-12-28 2022-06-23 (주)지란지교시큐리티 멀티미디어 파일 보안 시스템, 그 작동 방법과 기록매체

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101967663B1 (ko) 2018-07-20 2019-04-11 주식회사 아신아이 인가된 프로세스의 역할 기반 접근 통제 시스템
KR102321497B1 (ko) 2020-01-02 2021-11-03 주식회사 스텔스솔루션 악성코드 감염 차단 시스템 및 방법

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101970993B1 (ko) * 2017-11-29 2019-04-23 주식회사 더볼터 랜섬웨어에 대한 데이터 손실이 없는 ssd 내부 방어 방법 및 랜섬웨어 탐지 시스템
WO2019107609A1 (ko) * 2017-11-29 2019-06-06 주식회사 더볼터 랜섬웨어에 대한 데이터 손실이 없는 ssd 내부 방어 방법 및 랜섬웨어 탐지 시스템
KR101889841B1 (ko) 2018-02-20 2018-08-21 (주)지란지교시큐리티 멀티미디어 파일 보안용 컨텐트 방화벽, 컨텐트 보안 시스템 및 기록매체
KR101967170B1 (ko) * 2018-09-13 2019-04-09 (주) 인프론티브 I/o 제어에 의한 컴퓨터 스토리지 매니지먼트 시스템
KR101954976B1 (ko) * 2018-10-02 2019-03-06 이현욱 데이터 백업 관리 시스템 및 그 방법
KR101956725B1 (ko) * 2018-12-06 2019-03-11 주식회사 아신아이 인가된 실행 파일 및 동적 라이브러리 파일 기반 서버 접근 통제 시스템
KR102067630B1 (ko) * 2019-02-01 2020-01-17 배용대 접근 제어 기반 데이터 분산 저장 시스템 및 방법
KR20210027730A (ko) 2019-09-03 2021-03-11 (주)지란지교시큐리티 멀티미디어 파일 보안 시스템 및 방법과 컴퓨터로 읽을 수 있는 기록매체
KR20210045140A (ko) * 2019-10-16 2021-04-26 국민대학교산학협력단 회피형 랜섬웨어 탐지를 위한 피처 가공 장치 및 방법
KR102262680B1 (ko) 2020-10-29 2021-06-09 (주)지란지교시큐리티 멀티미디어 파일 보안 방법 및 기록매체
KR102262688B1 (ko) 2020-10-29 2021-06-09 (주)지란지교시큐리티 멀티미디어 파일 보안을 위한 기록매체
KR102320387B1 (ko) 2020-11-16 2021-11-03 (주)지란지교시큐리티 멀티미디어 파일 보안용 컴퓨팅 장치, 멀티미디어 보안방법 및 기록매체
KR102303930B1 (ko) 2020-11-26 2021-09-24 (주)지란지교시큐리티 멀티미디어 파일 보안 시스템, 멀티미디어 보안방법 및 기록매체
KR102412298B1 (ko) 2021-12-28 2022-06-23 (주)지란지교시큐리티 멀티미디어 파일 보안 시스템, 그 작동 방법과 기록매체

Also Published As

Publication number Publication date
KR101780891B1 (ko) 2017-09-21

Similar Documents

Publication Publication Date Title
KR101780891B1 (ko) 화이트리스트 및 블랙리스트에 기반한 랜섬웨어 차단 시스템 및 방법
EP3028489B1 (en) Centralized selective application approval for mobile devices
US8612398B2 (en) Clean store for operating system and software recovery
KR101373986B1 (ko) 모델을 사용하여 실행가능 프로그램을 조사하는 방법 및 장치
US8286253B1 (en) Data leakage prevention for resource limited device
US9785425B2 (en) Managed clone applications
JP4828199B2 (ja) アンチウィルスソフトウェアアプリケーションの知識基盤を統合するシステムおよび方法
US20160359859A1 (en) System For Secure File Access
EP2455882A2 (en) Memory protection systems and methods for writable memory
US20060218637A1 (en) System and method of selectively scanning a file on a computing device for malware
US20100082679A1 (en) Method, apparatus and computer program product for providing object privilege modification
US11928206B2 (en) Selective import/export address table filtering
US9740865B2 (en) System and method for configuring antivirus scans
US8108935B1 (en) Methods and systems for protecting active copies of data
CN108038380B (zh) 用于计算机安全的接种器和抗体
US20220292195A1 (en) Ransomware prevention
CN105653932A (zh) 软件升级验证的方法和装置
CN116415240A (zh) 一种勒索病毒检测方法以及相关系统
JP2008234539A (ja) 情報処理装置及びファイル処理方法並びにプログラム
JP6253333B2 (ja) 情報処理装置、情報処理システムおよび情報処理方法
CN107688732B (zh) 一种资源权限的配置、获取方法及装置
KR101588533B1 (ko) 안드로이드 시스템에서 응용 프로그램의 보안을 강화하는 방법 및 장치
US12001555B1 (en) System, method, and apparatus for preventing ransomware
US11714907B2 (en) System, method, and apparatus for preventing ransomware
KR101832731B1 (ko) 인증서 저장 및 관리 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right