KR20170119903A - 랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치 - Google Patents

랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치 Download PDF

Info

Publication number
KR20170119903A
KR20170119903A KR1020160048162A KR20160048162A KR20170119903A KR 20170119903 A KR20170119903 A KR 20170119903A KR 1020160048162 A KR1020160048162 A KR 1020160048162A KR 20160048162 A KR20160048162 A KR 20160048162A KR 20170119903 A KR20170119903 A KR 20170119903A
Authority
KR
South Korea
Prior art keywords
client terminal
execution
malware
determining whether
whitelist
Prior art date
Application number
KR1020160048162A
Other languages
English (en)
Inventor
박동훈
구자진
이석진
권종식
권혁재
Original Assignee
닉스테크 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 닉스테크 주식회사 filed Critical 닉스테크 주식회사
Priority to KR1020160048162A priority Critical patent/KR20170119903A/ko
Publication of KR20170119903A publication Critical patent/KR20170119903A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • H04L29/06918
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Abstract

랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치가 개시된다. 개시된 서버와 통신을 수행하는 클라이언트 단말의 멀웨어 제어 방법은 상기 클라이언트 단말에서 실행되는 프로세스가 상기 서버로부터 수신된 화이트리스트에 포함되어 있는지 여부를 판단하고, 상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단하며, 상기 판단 결과들 중 어느 하나에 기초하여, 상기 프로세스의 실행을 허용할지 여부를 결정한다.

Description

랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치{APPARATUS AND METHOD FOR CONTROLLING MALWARE INCLUDING RANSOMWARE}
아래의 설명은 멀웨어 제어 방법 및 멀웨어 제어 장치에 관한 것으로, 보다 구체적으로는 화이트리스트 및 행위 분석에 기반한 멀웨어 제어 방법 및 방법에 관한 것이다.
컴퓨팅 장치의 보안 취약점을 활용하여 그러한 컴퓨팅 장치를 공격하는 멀웨어의 위험이 상존하고 있다. 예를 들어, 컴퓨팅 장치가 웹 브라우저를 통해 악성 웹 사이트를 방문하는 경우, 악성 웹 사이트의 공격 스크립트가 컴퓨팅 장치에 의해 실행된다. 공격 스크립트의 실행은 웹 브라우저에 할당된 메모리의 감염을 비롯한 예외적이고 비정상적인 동작을 유발할 수 있다. 통상적으로, 이와 같이 감염된 컴퓨팅 장치는 해커 서버에 연결되어 멀웨어 파일을 다운로드하는 행위, 다운로드된 멀웨어를 새로운 프로세스로서 실행하는 행위 및 멀웨어의 재실행을 위해 컴퓨팅 장치의 파일 및/또는 레지스트리와 같은 구성을 변경하는 행위를 수행한다.
이러한 멀웨어는 점차 지능적으로 자신의 행위를 숨기는 등 기존의 멀웨어 제어 기법으로는 멀웨어 감지가 어려워지고 있는 실정이다. 따라서, 지능형 멀웨어나 잘 알려지지 않은 멀웨어를 감지하고 제어할 있는 새로운 기법이 필요하다.
엔드포인트에 해당하는 클라이언트 단말에서 멀웨어를 감지하고 제어함으로써, 높은 정확도와 속도로 멀웨어를 감지하고 제어할 수 있다.
화이트리스트 및 행위 분석 기반으로 멀웨어를 제어함으로써, 멀웨어에 대한 대응 속도를 높게 유지하면서도 알려지지 않은 멀웨어나 변형된 멀웨어에 대해서도 효과적으로 대응할 수 있다.
일실시예에 따라 서버와 통신을 수행하는 클라이언트 단말의 멀웨어 제어 방법은 상기 클라이언트 단말에서 실행되는 프로세스가 상기 서버로부터 수신된 화이트리스트에 포함되어 있는지 여부를 판단하는 단계; 상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단하는 단계; 및 상기 판단 결과들 중 어느 하나에 기초하여, 상기 프로세스의 실행을 허용할지 여부를 결정하는 단계를 포함한다.
일실시예에 따른 멀웨어 제어 방법에서 상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단하는 단계는, 상기 프로세스에 기인하여 미리 결정된 기준시간 동안 발생되는 행위의 건수가 상기 임계치를 초과하는지 여부를 판단할 수 있다.
일실시예에 따른 멀웨어 제어 방법에서 상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단하는 단계는, 상기 프로세스에 기인하여 발생하는 행위의 총 건수가 상기 임계치를 초과하는지 여부를 판단할 수 있다.
일실시예에 따른 멀웨어 제어 방법에서 상기 프로세스에 의해 발생되어 상기 임계치와 비교되는 행위에는, 상기 프로세스에 기인하여 발생되는 보호대상 파일에 대한 쓰기, 파일명 변경, 삭제, 암호화, 멀웨어 행위 중 적어도 하나가 포함될 수 있다.
일실시예에 따른 멀웨어 제어 방법에서 상기 임계치와 비교되는 행위에는, 상기 클라이언트 단말을 이용하는 사용자에 의해 발생된 행위가 배제될 수 있다.
일실시예에 따른 멀웨어 제어 방법에서 상기 임계치와 비교되는 행위에는, 상기 프로세스에 기인하여 보호대상 파일의 포멧이 변경되지 않는 행위가 배제될 수 있다.
일실시예에 따른 멀웨어 제어 방법에서 상기 임계치와 비교되는 행위에는, 상기 프로세스에 기인하여 프로세스 UI를 발생시키는 행위가 배제될 수 있다.
일실시예에 따른 멀웨어 제어 방법에서 상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는 것으로 판단된 경우, 상기 프로세스의 실행을 허용할지 여부를 결정하는 단계는, 상기 프로세스의 실행을 중단시키고, 사용자로 상기 프로세스의 중단을 알리는 단계를 포함할 수 있다.
일실시예에 따른 멀웨어 제어 방법에서 상기 프로세스의 실행을 허용할지 여부를 결정하는 단계는, 상기 사용자로부터 상기 프로세스의 실행을 허용할지 여부에 대한 선택을 수신하는 단계; 및 상기 선택에 따라 상기 프로세스의 실행을 허용할지 여부를 결정하는 단계를 더 포함할 수 있다.
일실시예에 따른 멀웨어 제어 방법에서 상기 프로세스가 화이트리스트에 포함되어 있지 않은 경우, 상기 프로세스의 실행을 허용할지 여부를 결정하는 단계는, 상기 프로세스의 실행을 중단시키고, 상기 클라이언트 단말의 사용자로 상기 프로세스의 중단을 알리는 단계를 포함할 수 있다.
일실시예에 따른 멀웨어 제어 방법에서 상기 프로세스가 화이트리스트에 포함되어 있는 경우, 상기 프로세스의 실행을 허용할지 여부를 결정하는 단계는, 상기 프로세스의 실행을 일시적으로 중단시키는 단계; 상기 프로세스가 정상인지 여부를 판단하는 단계; 및 상기 프로세스가 정상인 경우, 상기 프로세스의 실행을 허용하고, 상기 프로세스가 비정상인 경우, 상기 프로세스의 실행을 중단시키고 사용자로 상기 프로세스의 중단을 알리는 단계를 포함할 수 있다.
일실시예에 따른 멀웨어 제어 방법에서 상기 프로세스가 정상인지 여부를 검증하는 단계는, 상기 프로세스의 전자서명 인증서의 회사명, 설치 경로(path), 해시(hash) 중 적어도 하나를 검증함으로써, 상기 프로세스가 정상인지 여부를 판단할 수 있다.
일실시예에 따른 멀웨어 제어 방법에서 상기 화이트리스트 및 임계치에 대한 정보는, 상기 서버로부터 수신될 수 있다.
일실시예에 따라 클라이언트 단말과 통신을 수행하는 서버의 멀웨어 제어 방법은 상기 클라이언트 단말에서 실행되는 프로세스를 제어하기 위한 화이트리스트 및 상기 프로세스에 의해 유발되는 행위에 대한 임계치를 결정하는 단계; 및 상기 클라이언트 단말로 상기 화이트리스트 및 임계치에 대한 정보를 전송하는 단계를 포함하고, 상기 클라이언트 단말은, 상기 클라이언트 단말에서 실행되는 프로세스가 상기 화이트리스트에 포함되어 있는지 여부를 판단하고, 상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단하며, 상기 판단 결과들 중 어느 하나에 기초하여, 상기 프로세스의 실행을 허용할지 여부를 결정한다.
일실시예에 따라 서버와 통신을 수행하는 클라이언트 단말은 멀웨어 제어 방법이 저장된 메모리; 및 상기 멀웨어 제어 방법을 수행하는 제어부를 포함하고, 상기 제어부는, 상기 클라이언트 단말에서 실행되는 프로세스가 상기 서버로부터 수신된 화이트리스트에 포함되어 있는지 여부를 판단하고, 상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단하며, 상기 판단 결과들 중 어느 하나에 기초하여, 상기 프로세스의 실행을 허용할지 여부를 결정한다.
일실시예에 따르면, 엔드포인트에 해당하는 클라이언트 단말에서 멀웨어를 감지하고 제어함으로써, 높은 정확도와 속도로 멀웨어를 감지하고 제어할 수 있다.
일실시예에 따르면, 화이트리스트 및 행위 분석 기반으로 멀웨어를 제어함으로써, 멀웨어에 대한 대응 속도를 높게 유지하면서도 알려지지 않은 멀웨어나 변형된 멀웨어에 대해서도 효과적으로 대응할 수 있다.

도 1은 일실시예에 따른 서버와 클라이언트 단말을 도시한 도면이다.
도 2는 일실시예에 따른 멀웨어 제어 방법을 나타낸 도면이다.
도 3은 일실시예에 따라 화이트리스트에 기반하여 멀웨어를 제어하는 과정을 설명하기 위한 도면이다.
도 4는 일실시예에 따라 행위 분석에 기반하여 멀웨어를 제어하는 과정을 설명하기 위한 도면이다.
도 5는 일실시예에 따른 클라이언트 단말을 도시한 도면이다.
도 6은 일실시예에 따라 서버와 클라이언트 단말의 세부 구성을 도시한 도면이다.
실시예들에 대한 특정한 구조적 또는 기능적 설명들은 단지 예시를 위한 목적으로 개시된 것으로서, 다양한 형태로 변경되어 실시될 수 있다. 따라서, 실시예들은 특정한 개시형태로 한정되는 것이 아니며, 본 명세서의 범위는 기술적 사상에 포함되는 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 해석되어야 한다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설명된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 해당 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
하기에서 설명될 실시예들은 멀웨어를 제어하는데 사용될 수 있다. 실시예들은 퍼스널 컴퓨터, 랩톱 컴퓨터, 태블릿 컴퓨터, 스마트 폰, 스마트 가전 기기, 지능형 자동차, 웨어러블 장치 등 다양한 형태의 제품으로 구현될 수 있다. 예를 들어, 실시예들은 퍼스널 컴퓨터, 랩톱 컴퓨터, 스마트 폰 등에서 멀웨어를 제어하는데 적용될 수 있다. 이하, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
도 1은 일실시예에 따른 서버와 클라이언트 단말을 도시한 도면이다.
도 1을 참조하면, 서버(110) 및 클라이언트 단말(120)이 도시된다.
서버(110)는 클라이언트 단말(120)에서 실행되는 멀웨어(malware)를 제어하기 위한 정보를 결정하고, 결정된 정보를 클라이언트 단말(120)로 제공하는 장치이다. 예를 들어, 서버(110)는 클라이언트 단말(120)에서 실행되는 프로세스를 제어하기 위한 화이트리스트 및 보안 정책을 결정하고, 화이트리스트 및 보안 정책에 대한 정보를 클라이언트 단말(120)로 전송한다.
여기서, 멀웨어는 시스템 사용자의 승인 없이 시스템에 침입하는 악성 소프트웨어로서, 기밀 정보에 접근하거나 원격으로 시스템을 제어하고 핵심적인 서비스들을 방해하는 등의 악의적인 목적으로 설계된다. 일실시예에 따른 멀웨어로는 랜섬웨어(Ransomware)가 있다. 랜섬웨어는 사용자의 동이 없이 무단으로 클라이언트 단말(120)에 설치되어, 해당 클라이언트 단말(120)을 사용하지 못하도록 잠그거나 또는 해당 클라이언트 단말(120) 내의 문서, 스프레트시트, 그림 파일 등의 주요 자료를 암호화하여 인질로 잡고 금품을 요구하는 악성코드이다.
화이트리스트는 문서, 스프레트시트, 그림 파일 등의 주요 자료에 대한 읽기, 쓰기, 삭제 등의 접근 권한이 허용되는 프로세스에 대한 목록으로, 악성 코드 등을 유포하는 엔티티 등을 리스트화한 블랙리스트에 반대되는 개념이다.
보안 정책은 클라이언트 단말(120)에서 실행되는 멀웨어에 대한 정책으로서, 감지된 멀웨어 처리(예컨대, 차단, 삭제 등)에 대한 설정을 포함할 수 있다. 또한, 보안 정책은 클라이언트 단말(120)에서 실행되는 프로세스에 의해 유발되는 행위에 대한 임계치를 포함함으로써, 멀웨어를 감지하기 위한 정보를 포함할 수 있다.
서버(110)는 클라이언트 단말(120)에서 실행되는 멀웨어를 감지하기 위한 화이트리스트를 관리할 수 있다. 서버(110)는 화이트리스트를 추가, 변경 또는 제거할 수 있다. 또한, 서버(110)는 클라이언트 단말(120)로부터 전송되는 로그를 수집하고 처리하여 데이터베이스에 저장할 수 있다. 서버(110)는 저장된 로그를 서버(110)의 관리자가 조회할 수 있는 UI를 제공할 수 있다.
클라이언트 단말(120)은 사용자에 의해 이용되는 엔드포인트(endpoint)로서, 서버(110)로부터 멀웨어를 제어하기 위한 정보를 수신하고, 해당 정보를 이용하여 내부에서 실행되는 멀웨어를 감지하고 제어한다.
도 2는 일실시예에 따른 멀웨어 제어 방법을 나타낸 도면이다.
일실시예에 따른 멀웨어 제어 방법은 클라이언트 단말에 구비된 제어부에 의해 수행될 수 있다.
단계(210)에서, 클라이언트 단말은 실행되는 프로세스가 서버로부터 수신된 화이트리스트에 포함되어 있는지 여부를 판단한다. 예를 들어, 클라이언트 단말은 화이트리스트에 프로세스 이름이 포함되어 있는지 여부를 판단할 수 있다.
단계(220)에서, 클라이언트 단말은 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단한다. 예를 들어, 클라이언트 단말은 프로세스에 기인하여 미리 결정된 기준시간 동안 발생되는 행위의 건수가 임계치를 초과하는지 여부를 판단할 수 있다. 또는, 클라이언트 단말은 프로세스에 기인하여 발생하는 행위의 총 건수가 임계치를 초과하는지 여부를 판단할 수 있다.
클라이언트 단말은 단계(210) 및 단계(220)를 독립적으로 수행할 수 있다.
단계(230)에서, 클라이언트 단말은 판단 결과들 중 어느 하나에 기초하여, 프로세스의 실행을 허용할지 여부를 결정한다. 클라이언트 단말은 단계(210)의 판단 결과 또는 단계(220)의 판단 결과에 기초하여 프로세스의 실행을 허용할지 여부를 결정할 수 있다. 일례로, 단계(210)의 판단 결과 및 단계(220)의 판단 결과 중 적어도 하나가 프로세스의 실행을 허용하지 않는 결과를 나타내는 경우, 클라이언트 단말은 해당 프로세스의 실행을 중단시킬 수 있다. 또는 다른 일례로, 단계(210)의 판단 결과와 단계(220)의 판단 결과가 모두 프로세스의 실행을 허용하지 않는 결과를 나타내는 경우에만, 클라이언트 단말이 해당 프로세스의 실행을 중단시킬 수도 있다.
프로세스의 실행이 중단된 경우, 클라이언트 단말은 프로세스의 중단을 사용자로 알릴 수 있다. 또한, 클라이언트 단말은 프로세스의 중단을 알림과 동시에 사용자로 해당 프로세스의 실행을 허용할지 여부를 선택할 수 있는 인터페이스를 제공할 수 있다. 그리고, 클라이언트 단말은 사용자로부터 프로세스의 실행을 허용할지 여부에 대한 선택을 수신하고, 해당 선택에 따라 프로세스의 실행을 허용할지 여부를 결정할 수 있다.
도 3은 일실시예에 따라 화이트리스트에 기반하여 멀웨어를 제어하는 과정을 설명하기 위한 도면이다.
단계(210)에서, 클라이언트 단말은 실행되는 프로세스가 화이트리스트에 포함되어 있는지 여부를 판단한다. 예를 들어, 클라이언트 단말은 프로세스 이름을 이용하여 해당 프로세스가 화이트리스트에 포함되어 있는지 여부를 판단할 수 있다.
프로세스가 화이트리스트에 포함되어 있지 않은 경우, 단계(310)에서, 클라이언트 단말은 프로세스의 실행을 일시적으로 중단시킬 수 있다. 화이트리스트에 포함된 잘 알려진 프로세스 이름(예컨대, Excel 등)을 사용하는 멀웨어를 누락 없이 감지하기 위해 클라이언트 단말은 해당 프로세스의 실행을 일시적으로 중단시키고, 추가적인 검증 과정을 수행할 수 있다.
단계(320)에서, 클라이언트 단말은 해당 프로세스가 정상인지 여부를 판단할 수 있다. 클라이언트 단말은 EXE Verifier를 이용하여 해당 프로세스가 정상인지 여부를 판단할 수 있다. 구체적으로, 클라이언트 단말은 EXE Verifier를 이용하여 보안 정책에 포함된 FullPath, 해시, 인증서 company name을 검증함으로써, 해당 프로세스가 정상인지 여부를 판단할 수 있다. 예를 들어, 클라이언트 단말은 해당 프로세스가 정상인지 여부를 판단하기 위해, 해당 프로세스의 전자서명 인증서를 체크하여 프로세스의 회사명을 검증할 수 있다. 또한, 클라이언트 단말은 해당 프로세스의 설치 경로(path)를 검증할 수 있다. 또한, 클라이언트 단말은 해당 프로세스의 해시(hash)를 검증할 수 있다.
예를 들어, 클라이언트 단말은 상술된 검증 과정이 모두 만족되는 경우에 해당 프로세스가 정상인 것으로 판단할 수 있다. 또는, 클라이언트 단말은 상술된 검증 과정 중 만족되는 검증 과정이 미리 정해진 개수를 초과하는 경우에, 해당 프로세스가 정상인 것으로 판단할 수도 있다. 또는, 클라이언트 단말은 상술된 검증 과정 중 어느 하나가 만족되기만 하면 해당 프로세스가 정상인 것으로 판단할 수도 있다. 클라이언트 단말은 프로세스의 전자서명 인증서의 회사명, 설치 경로, 해시 중 적어도 하나를 검증함으로써, 해당 프로세스가 정상인지 여부를 판단할 수 있다.
해당 프로세스가 정상인 경우, 단계(330)에서, 클라이언트 단말은 프로세스의 실행을 허용할 수 있다.
만약 해당 프로세스가 비정상인 경우, 단계(340)에서, 클라이언트 단말은 프로세스의 실행을 중단하고, 사용자로 프로세스의 중단을 알릴 수 있다. 클라이언트 단말은 사용자로 프로세스의 실행을 허용할지 여부를 선택할 수 있는 인터페이스를 제공할 수 있다. 그리고, 단계(350)에서, 클라이언트 단말은 사용자로부터 프로세스의 실행을 허용할지 여부에 대한 선택을 수신할 수 있다. 그리고, 단계(360)에서, 클라이언트 단말은 수신된 선택에 따라 프로세스의 실행을 허용할지 여부를 최종적으로 결정할 수 있다. 예를 들어, 사용자로부터 프로세스의 실행을 허용하지 않는 선택이 입력된 경우, 클라이언트 단말은 프로세스의 실행을 중단시키고, 해당 프로세스의 파일을 삭제할 수 있다. 반대로, 사용자로부터 프로세스의 실행을 허용하는 선택이 입력된 경우, 클라이언트 단말은 프로세스의 실행을 허용할 수 있다.
또는, 단계(210)에서 프로세스가 화이트리스트에 포함되지 않은 것으로 판단된 경우, 단계(340)에서, 클라이언트 단말은 프로세스의 실행을 중단하고, 프로세스의 중단을 사용자로 알릴 수 있다. 그리고, 단계(350)에서, 클라이언트 단말은 사용자로부터 프로세스의 실행을 허용할지 여부에 대한 선택을 수신할 수 있다. 그리고, 단계(360)에서, 클라이언트 단말은 수신된 선택에 따라 프로세스의 실행을 허용할지 여부를 최종적으로 결정할 수 있다.
도 4는 일실시예에 따라 행위 분석에 기반하여 멀웨어를 제어하는 과정을 설명하기 위한 도면이다.
단계(220)에서, 클라이언트 단말은 실행되는 프로세스가 임계치를 초과하는 행위를 발생시키는지 여부를 판단한다. 클라이언트 단말은 프로세스에 의해 유발된 행위의 건수를 모니터링함으로써, DLL Injection 등을 이용하여 화이트리스트를 통해 감지되지 않는 멀웨어를 식별할 수 있다.
클라이언트 단말은 프로세스에 기인하여 미리 결정된 기준시간 동안 발생되는 행위의 건수가 임계치를 초과하는지 여부를 판단할 수 있다. 예를 들어, 클라이언트 단말은 해당 프로세스가 1초에 10번 이상 행위를 발생시키는지 여부를 판단할 수 있다.
또는, 클라이언트 단말은 프로세스에 기인하여 발생하는 행위의 총 건수가 임계치를 초과하는지 여부를 판단할 수도 있다. 최근 행위를 발생시키는 속도를 조절하며 보호대상 파일을 암호화, 삭제 등을 수행하는 등 멀웨어가 지능화됨에 따라, 클라이언트 단말은 프로세스에 의해 발생되는 행위의 총 건수를 모니터링함으로써, 지능화된 멀웨어를 식별할 수 있다.
프로세스에 의해 발생되어 임계치와 비교되는 행위에는 프로세스에 기인하여 발생되는 보호대상 파일에 대한 쓰기, 파일명 변경, 삭제, 암호화, CCC 등의 멀웨어 행위 중 적어도 하나가 포함될 수 있다.
여기서, 보호대상 파일은 멀웨어로부터 보호하고자 하는 문서, 스프레트시트, 그림 파일 등의 주요 자료를 의미한다. 일실시예에 따른 멀웨어 제어 방법의 보호 및 검출 대상은 드라이브 문자를 가지는 고정식 디스크, 이동식 디스크, 공유 폴더 및 네트워크 드라이브를 포함하고, MTP(Media Transfer Protocol)을 제외할 수 있다. 다만, 일실시예에 따른 멀웨어 제어 방법의 보호 및 검출 대상은 서버의 관리자 또는 클라이언트 단말의 사용자에 의해 변경되거나 수정될 수 있다. 즉, 서버의 관리자 또는 클라이언트 단말의 사용자는 보호 및 검출 대상에서 제외되는 예외 폴더, 프로세스를 지정할 수 있다.
이 때, 클라이언트 단말은 프로세스에 의해 발생되는 행위들 중 일부 행위를 배제시켜 임계치와 비교함으로써, 행위 분석 기반 멀웨어 감지의 정확도를 향상시킬 수 있다.
예컨대, 임계치와 비교되는 행위에는 클라이언트 단말을 이용하는 사용자에 의해 발생된 행위가 배제될 수 있다. 예를 들어, 탐색기 프로세스 표시 등의 행위는 임계치와 비교되는 행위에서 배제될 수 있다.
또한, 임계치와 비교되는 행위에는 프로세스에 기인하여 보호대상 파일의 포멧이 변경되지 않는 행위가 배제될 수 있다. 다만, 보호대상 파일의 포멧이 변경되지 않더라도, 비정상 프로세스에 의한 내용 수정, 추가, 생성, 삭제 등이 발생하는 경우에는, 해당 행위가 임계치와 비교되는 행위에 포함될 수 있다. 반대로, 프로세스에 기인하여 보호대상의 파일의 포멧이 변경되는 행위는 임계치와 비교되는 행위에 포함될 수 있다.
또한, 임계치와 비교되는 행위에는 프로세스에 기인하여 프로세스 UI를 발생시키는 행위가 배제될 수 있다. 일반적으로, 사용자에 의해 유발된 파일의 복사, 삭제 등의 행위(예컨대, 정상적인 윈도우 탐색기 파일 복사 등)는 프로세스 UI를 발생시킨다. 그래서, 프로세스에 기인하여 프로세스 UI를 발생시키는 행위는 임계치와 비교되는 행위에서 배제될 수 있다. 반대로, 프로세스에 기인하여 프로세스 UI를 발생시키지 않는 행위(예컨대, 백그라운드로 수행되는 행위)는 임계치와 비교되는 행위에 포함될 수 있다. 여기서, 프로세스 UI는 윈도우에서 제공되는 UI를 의미할 수 있다.
프로세스가 임계치를 초과하는 행위를 발생시키지 않는 경우, 단계(410)에서, 클라이언트 단말은 해당 프로세스의 실행을 허용할 수 있다.
반대로, 프로세스가 임계치를 초과하는 행위를 발생시키는 경우, 단계(340)에서, 클라이언트 단말은 프로세스의 실행을 중단하고, 사용자로 프로세스의 중단을 알릴 수 있다. 클라이언트 단말은 사용자로 프로세스의 실행을 허용할지 여부를 선택할 수 있는 인터페이스를 제공할 수 있다. 그리고, 단계(350)에서, 클라이언트 단말은 사용자로부터 프로세스의 실행을 허용할지 여부에 대한 선택을 수신할 수 있다. 그리고, 단계(360)에서, 클라이언트 단말은 수신된 선택에 따라 프로세스의 실행을 허용할지 여부를 최종적으로 결정할 수 있다.
도 5는 일실시예에 따른 클라이언트 단말을 도시한 도면이다.
도 5를 참고하면, 클라이언트 단말(500)은 메모리(510) 및 제어부(520)를 포함한다. 예를 들어, 클라이언트 단말(500)는 멀웨어를 감지하고 제어하는 영역에서 광범위하게 이용될 수 있다. 클라이언트 단말(500)는 데스크톱 컴퓨터, 랩톱 컴퓨터, 스마트 폰, 테블릿 컴퓨터, 스마트 홈 시스템 등 다양한 컴퓨팅 장치 및/또는 시스템에 탑재될 수 있다.
메모리(510)는 멀웨어 제어 방법을 저장한다. 메모리(510)는 제어부(520)로 하여금 멀웨어 제어 방법을 수행하도록 구성되는 인스트럭션들(instructions)을 저장할 수 있다.
제어부(520)는 메모리(510)에 저장된 멀웨어 제어 방법을 수행한다. 제어부(520)는 클라이언트 단말(500)에서 실행되는 프로세스가 서버로부터 수신된 화이트리스트에 포함되어 있는지 여부를 판단하고, 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단하며, 판단 결과들 중 어느 하나에 기초하여, 프로세스의 실행을 허용할지 여부를 결정한다.
제어부(520)는 프로세스에 기인하여 미리 결정된 기준시간 동안 발생되는 행위의 건수가 임계치를 초과하는지 여부를 판단할 수 있다. 또는, 제어부(520)는 프로세스에 기인하여 발생하는 행위의 총 건수가 임계치를 초과하는지 여부를 판단할 수 있다. 만
프로세스가 화이트리스트에 포함되어 있지 않은 경우, 제어부(520)는 프로세스의 실행을 중단시키고, 사용자로 해당 프로세스의 중단을 알릴 수 있다.
프로세스가 화이트리스트에 포함되어 있는 경우, 제어부(520)는 프로세스의 실행을 일시적으로 중단시키고, 프로세스가 정상인지 여부를 검증하며, 프로세스가 정상인 경우 프로세스의 실행을 허용하고, 프로세스가 비정상인 경우 해당 프로세스의 실행을 중단시키고 사용자로 프로세스의 중단을 알릴 수 있다.
도 5에 도시된 세부 구성요소에 대해서는 도 1 내지 도 4를 통해 전술한 내용이 그대로 적용될 수 있으므로 보다 상세한 설명은 생략한다.
도 6은 일실시예에 따라 서버와 클라이언트 단말을 도시한 도면이다.
도 6을 참고하면, 서버(610) 및 클라이언트 단말(620)이 도시된다.
서버(610)는 정책 설정부(611), 로그 처리부(612), 화이트리스트 DB(613)를 포함할 수 있다.
정책 설정부(611)는 멀웨어 제어 기능을 사용할지 여부에 대한 설정을 서버(610)의 관리자로부터 입력 받을 수 있다. 정책 설정부(611)는 화이트리스트 DB(613)에 저장된 화이트리스트를 추가, 변경 또는 제거할 수 있다. 또한, 정책 설정부(611)는 행위 분석 기반 멀웨어 제어를 위해 클라이언트 단말(620)에서 실행되는 프로세스에 의해 유발되는 행위에 대한 임계치를 설정하는 등 클라이언트 단말(120)에서 실행되는 멀웨어에 대한 정책인 보안 정책을 설정할 수 있다.
이 때, 임계치는 행위가 발생하는 시간 대비 발생한 행위의 건수로 설정되거나 또는 행위 발생의 속도를 조절하는 지능화 멀웨어를 대비하기 위해 프로세스 별 총 건수로 설정될 수도 있다.
정책 설정부(611)는 화이트리스트 및 보안 정책을 클라이언트 단말(620)로 전송할 수 있다.
로그 처리부(612)는 클라이언트 단말(620)로부터 수신되는 로그를 수집하고 처리하여 데이터베이스에 저장할 수 있다. 로그 처리부(612)는 로그를 조회할 수 있는 인터페이스를 관리자에게 제공할 수 있다. 로그에는 해당 프로세스 이름, IO 형태, 시간, rename의 경우 새 파일명, 인증서 정보, 해시가 포함될 수 있다.
화이트리스트 DB(613)는 정책 설정부(611)에서 설정된 화이트리스트를 저장할 수 있다. 화이트리스트 DB(613)에 저장된 화이트리스트는 정책 설정부(611)에 의해 추가, 변경 또는 제거될 수 있다.
클라이언트 단말(620)은 관리부(621), 사용자 UI(622), 제어부(623), 필드 드라이버(624)를 포함할 수 있다.
관리부(621)는 서버(610)의 정책 설정부(611)로부터 화이트리스트 및 보안 정책을 수신하고, 수신된 화이트리스트와 보안 정책을 제어부(623)로 전달할 수 있다. 또한, 프로세스의 중단에 대한 알림 메시지 또는 프로세스의 실행을 허용할지 여부를 묻는 메시지를 사용자로 전달할 때, 관리부(621)는 사용자 UI(622)에 해당 메시지를 전달하고 호출할 수 있다. 또한, 관리부(621)는 클라이언트 단말(620)에서 수집된 로그를 서버(610)의 로그 처리부(612)로 전달할 수 있다.
제어부(623)는 관리부(621)로부터 화이트리스트 및 보안 정책을 수신하여 필터 드라이버로 전달할 수 있다. 또한, 제어부(623)는 프로세스의 중단에 대한 차단 로그, 프로세스의 실행을 허용할지 여부에 대한 사용자의 선택 정보를 관리부(620)로 전달할 수 있다. 또한, 제어부(623)는 프로세스에 기인하여 발생한 보호대상 파일에 대한 쓰기, 파일명 변경, 삭제, 암호화, 멀웨어 행위 등에 대한 로그를 필드 드라이버(624)로부터 수신할 수 있다. 또한, 제어부(623)는 TID/Progress Windows 비교, 암호화 여부 판단, 새파일 여부 등을 판단함으로써, 임계치와 비교되는 행위를 감지할 수 있다.
필터 드라이버(624)는 화이트리스트 기반 멀웨어 제어를 수행하고, 화이트리스트 기반 멀웨어 제어를 로깅하는 윈도우의 파일 필터 드라이버를 의미할 수 있다. 또한, 필터 드라이버(624)는 임계치를 초과하는 행위를 발생시키는 프로세스를 중단시키고, 프로세스 중단을 로깅할 수 있다. 필터 드라이버(624)는 파일 시스템을 모니터링함으로써, 멀웨어 감지하고 제어할 수 있다. 또한, 필터 드라이버(624)는 프로세스에 기인하여 발생한 보호대상 파일에 대한 쓰기, 파일명 변경, 삭제, 암호화, 멀웨어 행위 등을 로깅할 수 있다. 필터 드라이버(624)는 수집된 로그를 제어(623)로 전달할 수 있다.
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

Claims (20)

  1. 서버와 통신을 수행하는 클라이언트 단말의 멀웨어 제어 방법에 있어서,
    상기 클라이언트 단말에서 실행되는 프로세스가 상기 서버로부터 수신된 화이트리스트에 포함되어 있는지 여부를 판단하는 단계;
    상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단하는 단계; 및
    상기 판단 결과들 중 어느 하나에 기초하여, 상기 프로세스의 실행을 허용할지 여부를 결정하는 단계
    를 포함하는 멀웨어 제어 방법.
  2. 제1항에 있어서,
    상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단하는 단계는,
    상기 프로세스에 기인하여 미리 결정된 기준시간 동안 발생되는 행위의 건수가 상기 임계치를 초과하는지 여부를 판단하는, 멀웨어 제어 방법.
  3. 제1항에 있어서,
    상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단하는 단계는,
    상기 프로세스에 기인하여 발생하는 행위의 총 건수가 상기 임계치를 초과하는지 여부를 판단하는, 멀웨어 제어 방법.
  4. 제1항에 있어서,
    상기 프로세스에 의해 발생되어 상기 임계치와 비교되는 행위에는,
    상기 프로세스에 기인하여 발생되는 보호대상 파일에 대한 쓰기, 파일명 변경, 삭제, 암호화, 멀웨어 행위 중 적어도 하나가 포함되는, 멀웨어 제어 방법.
  5. 제4항에 있어서,
    상기 임계치와 비교되는 행위에는,
    상기 클라이언트 단말을 이용하는 사용자에 의해 발생된 행위가 배제되는, 멀웨어 제어 방법.
  6. 제4항에 있어서,
    상기 임계치와 비교되는 행위에는,
    상기 프로세스에 기인하여 보호대상 파일의 포멧이 변경되지 않는 행위가 배제되는, 멀웨어 제어 방법.
  7. 제4항에 있어서,
    상기 임계치와 비교되는 행위에는,
    상기 프로세스에 기인하여 프로세스 UI를 발생시키는 행위가 배제되는, 멀웨어 제어 방법.
  8. 제1항에 있어서,
    상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는 것으로 판단된 경우, 상기 프로세스의 실행을 허용할지 여부를 결정하는 단계는,
    상기 프로세스의 실행을 중단시키고, 사용자로 상기 프로세스의 중단을 알리는 단계
    를 포함하는, 멀웨어 제어 방법.
  9. 제8항에 있어서,
    상기 프로세스의 실행을 허용할지 여부를 결정하는 단계는,
    상기 사용자로부터 상기 프로세스의 실행을 허용할지 여부에 대한 선택을 수신하는 단계; 및
    상기 선택에 따라 상기 프로세스의 실행을 허용할지 여부를 결정하는 단계
    를 더 포함하는, 멀웨어 제어 방법.
  10. 제1항에 있어서,
    상기 프로세스가 화이트리스트에 포함되어 있지 않은 경우, 상기 프로세스의 실행을 허용할지 여부를 결정하는 단계는,
    상기 프로세스의 실행을 중단시키고, 상기 클라이언트 단말의 사용자로 상기 프로세스의 중단을 알리는 단계
    를 포함하는, 멀웨어 제어 방법.
  11. 제1항에 있어서,
    상기 프로세스가 화이트리스트에 포함되어 있는 경우, 상기 프로세스의 실행을 허용할지 여부를 결정하는 단계는,
    상기 프로세스의 실행을 일시적으로 중단시키는 단계;
    상기 프로세스가 정상인지 여부를 판단하는 단계; 및
    상기 프로세스가 정상인 경우, 상기 프로세스의 실행을 허용하고, 상기 프로세스가 비정상인 경우, 상기 프로세스의 실행을 중단시키고 사용자로 상기 프로세스의 중단을 알리는 단계
    를 포함하는 멀웨어 제어 방법.
  12. 제11항에 있어서,
    상기 프로세스가 정상인지 여부를 검증하는 단계는,
    상기 프로세스의 전자서명 인증서의 회사명, 설치 경로(path), 해시(hash) 중 적어도 하나를 검증함으로써, 상기 프로세스가 정상인지 여부를 판단하는, 멀웨어 제어 방법.
  13. 제1항에 있어서,
    상기 화이트리스트 및 임계치에 대한 정보는, 상기 서버로부터 수신되는, 멀웨어 제어 방법.
  14. 클라이언트 단말과 통신을 수행하는 서버의 멀웨어 제어 방법에 있어서,
    상기 클라이언트 단말에서 실행되는 프로세스를 제어하기 위한 화이트리스트 및 상기 프로세스에 의해 유발되는 행위에 대한 임계치를 결정하는 단계; 및
    상기 클라이언트 단말로 상기 화이트리스트 및 임계치에 대한 정보를 전송하는 단계
    를 포함하고,
    상기 클라이언트 단말은,
    상기 클라이언트 단말에서 실행되는 프로세스가 상기 화이트리스트에 포함되어 있는지 여부를 판단하고, 상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단하며, 상기 판단 결과들 중 어느 하나에 기초하여, 상기 프로세스의 실행을 허용할지 여부를 결정하는, 멀웨어 제어 방법.
  15. 제1항 내지 제14항 중에서 어느 하나의 항의 방법을 실행시키기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록 매체.
  16. 서버와 통신을 수행하는 클라이언트 단말에 있어서,
    멀웨어 제어 방법이 저장된 메모리; 및
    상기 멀웨어 제어 방법을 수행하는 제어부
    를 포함하고,
    상기 제어부는,
    상기 클라이언트 단말에서 실행되는 프로세스가 상기 서버로부터 수신된 화이트리스트에 포함되어 있는지 여부를 판단하고, 상기 프로세스가 미리 설정된 임계치를 초과하는 행위를 발생시키는지 여부를 판단하며, 상기 판단 결과들 중 어느 하나에 기초하여, 상기 프로세스의 실행을 허용할지 여부를 결정하는, 클라이언트 단말.
  17. 제16항에 있어서,
    상기 제어부는,
    상기 프로세스에 기인하여 미리 결정된 기준시간 동안 발생되는 행위의 건수가 상기 임계치를 초과하는지 여부를 판단하는, 클라이언트 단말.
  18. 제16항에 있어서,
    상기 제어부는,
    상기 프로세스에 기인하여 발생하는 행위의 총 건수가 상기 임계치를 초과하는지 여부를 판단하는, 클라이언트 단말.
  19. 제16항에 있어서,
    상기 프로세스가 화이트리스트에 포함되어 있지 않은 경우, 상기 제어부는,
    상기 프로세스의 실행을 중단시키고, 사용자로 상기 프로세스의 중단을 알리는, 클라이언트 단말.
  20. 제16항에 있어서,
    상기 프로세스가 화이트리스트에 포함되어 있는 경우, 상기 제어부는,
    상기 프로세스의 실행을 일시적으로 중단시키고,
    상기 프로세스가 정상인지 여부를 검증하며,
    상기 프로세스가 정상인 경우, 상기 프로세스의 실행을 허용하고, 상기 프로세스가 비정상인 경우, 상기 프로세스의 실행을 중단시키고 사용자로 상기 프로세스의 중단을 알리는 클라이언트 단말.
KR1020160048162A 2016-04-20 2016-04-20 랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치 KR20170119903A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160048162A KR20170119903A (ko) 2016-04-20 2016-04-20 랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160048162A KR20170119903A (ko) 2016-04-20 2016-04-20 랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치

Publications (1)

Publication Number Publication Date
KR20170119903A true KR20170119903A (ko) 2017-10-30

Family

ID=60300630

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160048162A KR20170119903A (ko) 2016-04-20 2016-04-20 랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치

Country Status (1)

Country Link
KR (1) KR20170119903A (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190080591A (ko) * 2017-12-28 2019-07-08 주식회사 안랩 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법
KR20200009235A (ko) * 2018-07-18 2020-01-30 네이버랩스 주식회사 접근 통제 방법 및 그 장치
KR102105885B1 (ko) * 2018-11-30 2020-05-04 주식회사 심플한 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템
KR102391076B1 (ko) * 2021-09-07 2022-04-27 주식회사 브리즈랩 생체 인식에 따른 랜섬웨어 동작 방지방법과 방지시스템
KR102403303B1 (ko) * 2021-08-19 2022-05-30 여동균 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190080591A (ko) * 2017-12-28 2019-07-08 주식회사 안랩 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법
KR20200009235A (ko) * 2018-07-18 2020-01-30 네이버랩스 주식회사 접근 통제 방법 및 그 장치
KR102105885B1 (ko) * 2018-11-30 2020-05-04 주식회사 심플한 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템
KR102403303B1 (ko) * 2021-08-19 2022-05-30 여동균 사용자 인증 기반 랜섬웨어 암호화 차단 서비스 제공 시스템
KR102391076B1 (ko) * 2021-09-07 2022-04-27 주식회사 브리즈랩 생체 인식에 따른 랜섬웨어 동작 방지방법과 방지시스템

Similar Documents

Publication Publication Date Title
EP3365828B1 (en) Methods for data loss prevention from malicious applications and targeted persistent threats
US10394492B2 (en) Securing a media storage device using write restriction mechanisms
EP3411825B1 (en) Systems and methods for modifying file backups in response to detecting potential ransomware
US9888032B2 (en) Method and system for mitigating the effects of ransomware
US9418222B1 (en) Techniques for detecting advanced security threats
US20180007069A1 (en) Ransomware Protection For Cloud File Storage
US11227053B2 (en) Malware management using I/O correlation coefficients
KR20170119903A (ko) 랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치
JP6139028B2 (ja) アプリケーションの更新を指示するためのシステム及び方法
US9485271B1 (en) Systems and methods for anomaly-based detection of compromised IT administration accounts
EP3501158B1 (en) Interrupt synchronization of content between client device and cloud-based storage service
CN105122260A (zh) 到安全操作系统环境的基于上下文的切换
US10339307B2 (en) Intrusion detection system in a device comprising a first operating system and a second operating system
JP2023534502A (ja) 高度なランサムウェア検出
US10769267B1 (en) Systems and methods for controlling access to credentials
KR20180060819A (ko) 랜섬웨어 공격 차단 장치 및 방법
KR101614809B1 (ko) 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법
EP2881883B1 (en) System and method for reducing load on an operating system when executing antivirus operations
KR101290852B1 (ko) 가상 머신을 이용한 데이터 유출 방지 장치 및 방법
KR100651611B1 (ko) 저장 매체 접근시 안전한 통제 방법
KR101904415B1 (ko) 지능형 지속위협 환경에서의 시스템 복구 방법
KR101482903B1 (ko) 데이터 유출 방지 방법, 서버 장치, 및 클라이언트 장치
KR101783159B1 (ko) 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치 및 방법
KR101415403B1 (ko) 공유 가능한 보안공간 제공시스템 및 그 방법
KR20150116298A (ko) 프로세스 보안 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment