KR20200013013A - System and method for anti-fishing or anti-ransomware application - Google Patents

System and method for anti-fishing or anti-ransomware application Download PDF

Info

Publication number
KR20200013013A
KR20200013013A KR1020200009621A KR20200009621A KR20200013013A KR 20200013013 A KR20200013013 A KR 20200013013A KR 1020200009621 A KR1020200009621 A KR 1020200009621A KR 20200009621 A KR20200009621 A KR 20200009621A KR 20200013013 A KR20200013013 A KR 20200013013A
Authority
KR
South Korea
Prior art keywords
file
network
server
program
user
Prior art date
Application number
KR1020200009621A
Other languages
Korean (ko)
Inventor
우종현
Original Assignee
(주)나무소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)나무소프트 filed Critical (주)나무소프트
Priority to KR1020200009621A priority Critical patent/KR20200013013A/en
Publication of KR20200013013A publication Critical patent/KR20200013013A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

Provided is an external attack protection system. The external attack protection system comprises: a network file server; and a network file server (NFS) client installed in a user terminal or a service server and communicate-connecting with the network file server remotely located. The network file server determines whether or not it is eligible for at least one of user information and program information which has requested access or open when there is a request to access or open from the NFS client regarding an archive file in the network file server mounted on the user terminal or the service server in the form of a network drive; and blocks access to the file for which access is requested or provides the file for which open is requested to the NFS client only in a read-only mode when an ineligible determination is made according to the result of the determination. Accordingly, there is no need to perform backup operations from time to time to prepare for ransomware.

Description

피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템{SYSTEM AND METHOD FOR ANTI-FISHING OR ANTI-RANSOMWARE APPLICATION}How to stop phishing or ransomware attacks and systems {SYSTEM AND METHOD FOR ANTI-FISHING OR ANTI-RANSOMWARE APPLICATION}

본 발명은 피싱(fishing) 또는 랜섬웨어(ransomware) 공격을 차단하는 방법 및 시스템에 관한 것이다. The present invention is directed to a method and system for blocking phishing or ransomware attacks.

해커들이 배포하는 피싱과 랜섬웨어가 갈수록 다양화되면서 점점 더 사용자들의 데이터가 위협받고 있다. 일반적으로 피싱이란 사용자의 단말기에 저장된 데이터를 유출하는 공격으로 사용자 단말기에 존재하는 계정정보나 전자인증서, 주요 데이터 등을 탈취하는 공격을 의미한다. 또한, 랜섬웨어란 사용자의 단말기에 저장되었거나 연결된 네트워크 저장소에 보관된 데이터를 사용자가 접근할 수 없도록 암호화한 후, 금전을 요구하는 공격 기법을 말한다. 최근에는 데이터를 유출한 후 사용자가 사용하지 못하게 하는 것에서부터 단말기의 디스크 파티션을 조작하여 아예 PC 단말기를 사용하지 못하게 하는 것까지 그 방법과 형식이 다양해지고 있다.As phishing and ransomware distributed by hackers becomes more diverse, users' data is increasingly threatened. In general, phishing is an attack that leaks data stored in a user's terminal, and means an attack to steal account information, electronic certificate, and main data existing in the user's terminal. In addition, ransomware refers to an attack technique that requires money after encrypting data stored in a user's terminal or stored in a connected network storage so that the user cannot access it. In recent years, the method and format have been diversified from disabling data after a user leaks it to manipulating the disk partition of the terminal to prevent the user from using the PC terminal at all.

이러한 피싱 공격에 대응하는 기존 방법으로는 PC내 저장공간을 암호화하고 해당특정 저장공간에 접근하는 프로세스가 사전에 지정된 프로세스인지 아닌지를 확인하는 기술이 사용되었으나, 해당 저장공간을 암호화하였더라도 암호화된 저장공간을 구성한 파일을 탈취하여 복호화하는 경우가 발생하고 있다.Conventional methods to counter this phishing attack used a technology that encrypts the storage space on the PC and checks whether the process accessing the specific storage space is a predetermined process, but even if the storage space is encrypted, the encrypted storage space is used. There is a case where the file constituting the file is taken and decrypted.

또한 랜섬웨어 공격에 대응하는 기존 방법으로는 PC 내 자료를 안전한 저장 영역으로 주기적으로 백업하여 PC가 랜섬웨어에 걸려도 백업된 자료를 가져와 사용하는 방법이 있다. 그러나 이 방식에 의하더라도 최근 작업했던 파일에 대한 손실은 피할 수 없는 문제점이 있다. 다른 기존 방법으로는 파일 서버에 접근하는 프로세스를 사전에 등록해놓고 PC 내에서 인가된 프로세스만 자료에 접근 가능하도록 함으로써, 사전에 등록되지 않은 프로세스가 데이터 접근시 이를 차단하여 랜섬웨어 프로세스가 자료에 접근하지 못하도록 하는 방법이 있다. 그러나 이 방식은 인가된 프로세스를 사전에 등록해야 하는 불편함이 발생하고, 수시로 프로그램이 설치되는 경우 프로세스를 매번 번잡하게 등록할 수 없는 한계점도 있다.In addition, the existing method to counter the ransomware attack is to periodically back up the data in the PC to a safe storage area to retrieve the backed up data even if the PC is caught by ransomware. However, even with this method, there is a problem that the loss of files that have been recently worked cannot be avoided. Another existing method is to register the process that accesses the file server in advance and only the authorized processes in the PC can access the data, thereby preventing the unregistered process from accessing the data so that the ransomware process can access the data. There is a way to prevent this. However, this method has a disadvantage in that it is necessary to register an authorized process in advance, and when a program is installed from time to time, there is a limitation in that the process cannot be registered cumbersomely every time.

또한 최근에는 랜섬웨어 자체가 PC 내 보관된 데이터만을 암호화 하는 것이 아니라 PC 전체를 암호화하거나, PC에 마운트된 디스크 전체를 암호화하여 랜섬머니를 요구하는 사례까지 발생하고 있는 바, 데이터 암호화를 방지하는 것만으로는 더 이상 충분하지 않는 상황이 발생하고 있다Recently, ransomware itself does not only encrypt data stored in the PC, but also encrypts the entire PC or requires a ransom money by encrypting the entire disk mounted on the PC. There is a situation that is not enough anymore.

게다가 PC뿐만 아니라 리눅스나 유닉스 서비스 서버에 놓여있는 전체 데이터까지 한번에 암호화하는 공격까지 발생하고 있어 근본적인 대안이 필요한 상황이다. 따라서 피싱을 예방하기 위하여 PC나 서비스서버에 생성한 암호화된 저장공간이 탈취되지 않도록 하면서, 랜섬웨어가 PC나 서비스서버에서 구동된다 하더라도 이에 따른 공격을 차단할 수 있는 새로운 기술이 필요하다.In addition, attacks that encrypt not only PCs but also entire data on Linux or Unix service servers at once are necessary, requiring a fundamental alternative. Therefore, in order to prevent phishing, a new technology is needed to prevent an attack caused by ransomware even if the ransomware is run on a PC or service server while preventing encrypted storage spaces created on the PC or service server.

본 발명은 PC나 서비스서버에서 네트워크 파일서버가 연결될 수 있도록 하는 드라이브와 클라이언트 프로그램을 제공하여 사전에 지정된 프로그램만이 해당 저장공간 내 파일에 엑세스할 경우 파일서버가 접근을 허용하고 그 이외에 경우는 접근을 차단하여 효과적으로 피싱을 차단하는 것과 일반적인 PC나 서비스서버 내 프로그램들이 네트워크 드라이브에 없던 파일을 생성할 수는 있지만, 사전에 지정된 프로그램의 파일 쓰기 요청을 제외하고 모든 프로그램이 네트워크 파일서버내 보관하던 데이터를 암호화하거나 변경, 삭제하지 못하도록 읽기 전용 모드로만 네트워크 파일서버가 PC나 서비스 서버에 파일을 제공하여 효과적으로 랜섬웨어를 차단하는 방법 및 시스템을 제공한다. 보다 구체적으로 PC나 서비스서버에 커스텀 파일시스템 드라이버가 설치되어 네트워크 파일서버 내 보관중인 파일 및 폴더가 드라이브나 파티션으로 마운트되어 사용될 수 있게 하고, The present invention provides a drive and a client program that allows a network file server to be connected from a PC or a service server so that the file server allows access when only a predetermined program accesses a file in the storage space. Can effectively prevent phishing and create files on the PC or service server that are not normally located on the network drive. It provides a method and system to effectively block ransomware by providing files to PC or service server only in read-only mode to prevent encryption, modification, and deletion. More specifically, a custom file system driver is installed on a PC or service server so that files and folders stored in the network file server can be mounted and used as drives or partitions.

사전에 지정된 프로그램을 통해서 네트워크 파일서버내에 존재하는 특정 파일이나 폴더에 접근하지 않는 한, 네트워크 파일서버는 파일에 접근할 수 없게 하는 방법 및 시스템을 제공하며, 사전에 지정된 네트워크 파일서버 사용자 클라이언트 프로그램을 통해서 특정 파일이나 폴더에 쓰기가 가능하도록 편집모드로 설정하지 않는 한, PC나 서비스서버에 마운트된 드라이브 내에서 파일열기 요청이 발생하면 네트워크 파일서버는 읽기 모드로만 파일을 PC에게 열수 있게 하는 방법 및 시스템을 제공한다.A network file server provides a method and system for making a file inaccessible unless a specific program or folder in the network file server is accessed through a predefined program. If a file open request is made within a drive mounted on a PC or a service server, the network file server can open the file to the PC only in read mode unless the file is set in edit mode to write to a specific file or folder. Provide a system.

본 발명의 일 측면에 따르면, 피싱 또는 랜섬웨어 공격 차단 시스템으로서, 네트워크 파일서버; 및 사용자 단말기 또는 서비스 서버에 설치되며 원격에 위치한 상기 네트워크 파일서버와 통신 연결되는 NFS 클라이언트(Network File Server Client)를 포함하고, 상기 네트워크 파일서버는, 상기 사용자 단말기 또는 서비스 서버에 네트워크 드라이브 형태로 마운트되는 상기 네트워크 파일서버 내의 보관 파일에 관한 상기 NFS 클라이언트로부터의 접근 또는 열기 요청이 있는 경우, 접근 또는 열기 요청을 한 사용자 정보 및 프로그램 정보 중 적어도 하나에 관하여 적격 여부를 판정하고, 판정 결과에 따라 부적격 판정이 이루어지는 경우 상기 접근 요청된 파일에 관한 접근을 차단하거나 또는 상기 열기 요청된 파일을 읽기 전용 모드로만 상기 NFS 클라이언트로 제공하는, 피싱 또는 랜섬웨어 공격 차단 시스템이 제공된다.According to an aspect of the present invention, a phishing or ransomware attack blocking system, Network file server; And an NFS client (Network File Server Client) installed in a user terminal or a service server and communicatively connected to the network file server located remotely, wherein the network file server is mounted on the user terminal or service server in the form of a network drive. If there is an access or open request from the NFS client regarding the archived file in the network file server, it is determined whether the user is eligible for at least one of the user information and the program information that made the access or open request, and according to the determination result When a determination is made, a phishing or ransomware attack blocking system is provided that blocks access to the requested file or provides the open requested file to the NFS client only in read-only mode.

본 발명의 다른 측면에 따르면, 랜섬웨어 공격 차단 시스템으로서, 네트워크 파일서버; 및 사용자 단말기 또는 서비스 서버에 설치되며 원격에 위치한 상기 네트워크 파일서버와 통신 연결되는 NFS 클라이언트(Network File Server Client)를 포함하고, 상기 네트워크 파일서버는, 상기 사용자 단말기 또는 상기 서비스 서버에 네트워크 드라이브 형태로 마운트되는 상기 네트워크 파일서버 내의 보관 파일에 관한 상기 NFS 클라이언트로부터의 파일 변경 요청이 있는 경우, 변경 요청을 한 사용자 정보 및 프로그램 정보 중 적어도 하나에 관하여 적격 여부를 판정하고, 판정 결과에 따라 부적격 판정이 이루어지는 경우 상기 파일 변경 요청을 불허하는, 피싱 또는 랜섬웨어 공격 차단 시스템이 제공된다.According to another aspect of the present invention, a ransomware attack blocking system, the network file server; And an NFS client (Network File Server Client) installed in a user terminal or a service server and in communication with the remotely located network file server, wherein the network file server is configured as a network drive to the user terminal or the service server. If there is a file change request from the NFS client regarding the archived file in the mounted network file server, it is determined whether or not it is eligible for at least one of the user information and the program information that made the change request, and according to the judgment result, If so, a phishing or ransomware attack blocking system is provided that disallows the file change request.

본 발명의 또 다른 측면에 따르면, 랜섬웨어 공격 차단 시스템으로서, 네트워크 파일서버; 및 사용자 단말기 또는 서비스 서버에 설치되며 원격에 위치한 상기 네트워크 파일서버와 통신 연결되는 NFS 클라이언트(Network File Server Client)를 포함하고, 상기 NFS 클라이언트는, 상기 사용자 단말기 또는 상기 서비스 서버에 네트워크 드라이브 형태로 마운트되는 상기 네트워크 파일서버 내의 보관 파일에 관하여 사용자가 편집모드로의 전환 및 종료를 선택할 수 있도록 하는 선택 정보를 제공할 수 있다. 또한, 상기 네트워크 파일서버는, 상기 NFS 클라이언트로부터의 파일 열기 또는 변경 요청이 있는 경우, 상기 열기 또는 변경 요청이 상기 편집모드로의 전환이 선택된 상태에 따른 요청이 아닌 경우, 상기 열기 요청된 파일을 읽기 전용 모드로만 상기 NFS 클라이언트로 제공하거나 또는 상기 파일 변경 요청을 불허하는, 피싱 또는 랜섬웨어 공격 차단 시스템이 제공된다.According to another aspect of the present invention, a ransomware attack blocking system, the network file server; And an NFS client installed in a user terminal or a service server and communicatively connected to the network file server located remotely, wherein the NFS client is mounted in the form of a network drive on the user terminal or the service server. With respect to the archived file in the network file server, selection information may be provided to enable the user to select the transition to and from the edit mode. In addition, the network file server, when there is a request to open or change a file from the NFS client, if the open or change request is not a request according to the state that the switch to the edit mode is selected, the open file is requested. A phishing or ransomware attack protection system is provided that provides to the NFS client only in read-only mode or disallows the file change request.

본 발명의 실시예에 따라 랜섬웨어 공격 방지 시스템은 아래와 같이 동작할 수 있다.According to an embodiment of the present invention, the ransomware attack prevention system may operate as follows.

일 실시예에서, 네트워크 파일서버는, 윈도우 탐색기의 파일접근 요청에 대해서는 Read/Write로 파일을 사용할 수 있다. 반면, 윈도우 탐색기이외에 파일요청에 대해서는 Read Only로 파일을 제공할 수 있다.In one embodiment, the network file server may use the file as Read / Write for the file access request of the Windows Explorer. On the other hand, for file requests other than Windows Explorer, files can be provided as Read Only.

다른 실시예에서, 네트워크 파일서버는, 사전에 지정된 프로그램의 파일접근 요청에 대해서는 Read/Wirte로 파일을 제공할 수 있고, 그 이외의 경우에 대해서는 Read Only로만 파일을 제공할 수 있다.In another embodiment, the network file server may provide a file in Read / Wirte for a file access request of a predetermined program, and provide a file only in Read Only for other cases.

또 다른 실시예에서, 네트워크 파일서버는, 사전에 지정된 프로그램의 파일 접근 요청에 대해서만 Read로 파일을 제공할 수 있고, 그 이외의 경우에 대해서는 접근을 거부(Access deny)할 수 있다.In another embodiment, the network file server may provide a file as Read only for a file access request of a pre-designated program, and may deny access for other cases.

본 발명의 실시예에 따라 피싱 공격 방지 시스템은 아래와 같이 동작할 수 있다.According to an embodiment of the present invention, the phishing attack prevention system may operate as follows.

일 실시에에서, 사전에 네트워크 파일시스템 클라이언트 프로그램이 설치될 때 접근을 허용하려고 하는 프로그램을 선택하고, 선택된 프로그램의 바이너리 파일의 해쉬값을 추출하여 서버에 전달하여, 추후 서버에 파일을 요청하는 프로그램이 어떤 프로그램인지를 검증할 수 있도록 준비할 수 있다.In one embodiment, a program that selects a program to allow access when a network file system client program is installed in advance, extracts a hash value of a binary file of the selected program, and delivers the hash value to a server, and subsequently requests a file to the server. You can be prepared to verify this program.

여기서, 네트워크 파일시스템 내에 파일요청이 발생하게 되면, 네트워크 파일시스템 커스텀 드라이브가 요청하는 프로그램을 확인하고, 해당 프로그램의 해쉬값을 생성하여 서버에 전달할 수 있다. 또한, 네트워크 파일서버는 사전에 등록되어 있던 프로그램인지 아닌지 확인하여, 사전에 등록되어 있던 프로그램이라면 파일을 제공하지만 그 이외의 경우는 파일을 제공하지 않을 수 있다.In this case, when a file request occurs in the network file system, the program requested by the network file system custom drive may be checked, and a hash value of the corresponding program may be generated and transmitted to the server. Also, the network file server checks whether or not the program has been registered in advance, and if the program has been registered in advance, the file may be provided, but otherwise, the file may not be provided.

본 발명의 실시예에 의하면, 사용자가 PC 단말기를 조작하여 다양한 프로그램을 사용하는데 있어서, 해커의 속임수에 의해 악성코드를 실행하여 랜섬웨어가 PC 내 단말기에 작동된다 하더라도 PC 단말기와 연결된 네트워크 드라이브 내의 사용자 데이터를 보호할 수 있도록 하는 효과가 있다. 이를 통해 랜섬웨어 대비를 위하여 수시로 백업 작업을 수행하지 않아도 되고, 인가된 프로세스만 접근하도록 설정하기 위하여 별도의 프로세스를 등록하는 번잡함도 극복할 수 있게 된다.According to an embodiment of the present invention, when a user manipulates a PC terminal and uses various programs, a user in a network drive connected to the PC terminal even if ransomware is executed on the PC terminal by executing a malicious code by a hacker's trick. It has the effect of protecting data. This eliminates the need for frequent backups in preparation for ransomware, and overcomes the hassle of registering separate processes to access only authorized processes.

도 1은 읽기 전용으로 작동하는 네트워크 파일서버 및 클라이언트 프로그램이 설치된 PC를 포함하는 전체 시스템 블록도.
도 2는 본 발명의 실시예예 따라, 읽기 전용으로 파일을 열었을 때 타이틀 바에 읽기 전용이 표시되는 화면 예시.
도 3은 윈도우 탐색기가 아닌 DOS 커맨드 창에서 네트워크 파일시스템 드라이브 내에 있는 파일의 이름을 명령어로 변경하려고 한 경우에 대해서 거절하는 화면 예시.
도 4는 윈도우 탐색기에서 네트워크 파일서버의 저장공간이 드라이브로 마운트된 후에, 사용자가 윈도우 탐색기에 부가적으로 설치된 네트워크 파일서버 클라이언트 프로그램을 이용하여 네트워크 파일서버내 저장공간에 있는 파일을 '편집모드 전환'하려는 경우에 대한 화면 예시.
도 5는 특정 사용자 ID에 의해서 편집 모드로 열린 파일이 윈도우 탐색기에 표시될 때 자물쇠 모양의 아이콘이 파일 아이콘 위에 함께 표시되도록 하는 화면 예시.
도 6은 특정 사용자 ID에 의해서 잠겨있는 파일을 네트워크 파일서버에서 해제되도록 할 때 편집 모드 종료 명령을 전송할 수 있게 하는 네트워크 파일서버 클라이언트 프로그램 실시 화면 예시.1 is a complete system block diagram including a PC with a network file server and a client program operating read-only.
2 is a screen example in which read only is displayed in a title bar when a file is opened for read only according to an embodiment of the present invention.
3 is a screen example of rejecting an attempt to change the name of a file in a network file system drive with a command in a DOS command window instead of Windows Explorer.
4 shows that after the network file server storage space is mounted as a drive in Windows Explorer, the user switches to the edit mode of the file in the storage space in the network file server using a network file server client program additionally installed in Windows Explorer. 'Screen example for when you want to.
5 is a screen example of displaying a lock icon together on a file icon when a file opened in edit mode by a specific user ID is displayed in the window explorer.
6 illustrates an example of a network file server client program execution screen that enables an edit mode exit command to be sent when a file locked by a specific user ID is released from the network file server.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.As the invention allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all transformations, equivalents, and substitutes included in the spirit and scope of the present invention.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In describing the present invention, if it is determined that the detailed description of the related known technology may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, numerals (eg, first, second, etc.) used in the description of the present specification are merely identification symbols for distinguishing one component from another component.

또한, 명세서 전체에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.Further, throughout the specification, when one component is referred to as "connected" or "connected" with another component, the one component may be directly connected or directly connected to the other component, but in particular It is to be understood that unless otherwise indicated, there may be connected or connected via another component in the middle.

또한, 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하나 이상의 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 조합으로 구현될 수 있음을 의미한다.In addition, throughout the specification, when a part is said to "include" a certain component, it means that it may further include other components, without excluding the other components unless otherwise stated. In addition, the terms "unit", "module", and the like described in the specification mean a unit that processes at least one function or operation, which means that it may be implemented in one or more pieces of hardware or software, or a combination of hardware and software. .

도 1은 읽기 전용으로 작동하는 네트워크 파일서버 및 클라이언트 프로그램이 설치된 PC를 포함하는 전체 시스템 블록도이다. 이하, 본 발명의 실시예에 따른 랜섬웨어 공격을 차단하는 방법 및 시스템에 관하여, 도 1의 시스템 블록도를 중심으로, 도 2 ~ 도 6을 함께 참조하여 본 발명을 설명하기로 한다. 본 명세서에서는 PC와 같은 사용자 단말기가 네트워크 파일서버에 세션 연결되는 경우를 중심으로 설명하지만, 서비스 서버가 네트워크 파일서버에 세션 연결되는 경우에도 이하의 설명에서와 동일 유사하게 구현될 수 있음은 자명하다.1 is a complete system block diagram including a PC with a network file server and a client program operating read-only. Hereinafter, a method and a system for blocking a ransomware attack according to an embodiment of the present invention will be described with reference to FIGS. 2 to 6 with reference to the system block diagram of FIG. 1. In the present specification, the case where the user terminal such as a PC is connected to the network file server by session is mainly described, but it is obvious that the service server may be implemented similarly to the following description even when the session is connected to the network file server. .

도 1을 참조하면, 사용자의 PC(Personal Computer)에는 네트워크 파일서버 클라이언트(NFS Client)가 설치된다. 사용자의 PC는 네트워크 파일서버 클라이언트를 통해서 원격의 네트워크 파일서버(Network File Server, 이하 NFS)와 통신 연결된다.Referring to FIG. 1, a network file server client (NFS Client) is installed in a personal computer (PC) of a user. Your PC communicates with a remote Network File Server (NFS) via a network file server client.

본 발명의 실시예에서, 정상적인 사용자인지 확인하기 위하여 네트워크 파일서버클라이언트 프로그램(도 1의 NFS User Client Program)을 구동하여 사용자 인증을 정상적으로 끝마치면, PC에 설치된 커스텀 파일시스템 드라이버(Custom File System Driver)를 통해서 네트워크 파일서버(NFS)의 저장공간이 PC의 드라이브로 마운트될 수 있다. 즉, 이때 PC에 마운트되는 드라이브는 가상 드라이브(virtual drive)이다.In an embodiment of the present invention, if the user authentication is normally completed by running the network file server client program (NFS User Client Program of FIG. 1) to check whether the user is a normal user, a custom file system driver installed in the PC. The network file server (NFS) storage can be mounted as a PC drive. In other words, the drive mounted on the PC is a virtual drive.

이후, 사용자가 네트워크 파일서버에 맵핑된 드라이브에 보관중인 파일에 대해 윈도우 탐색기 또는 기타 일반 응용프로그램으로 열기를 시도하면, 커스텀 파일시스템 드라이버는 시도된 파일 열기 요청이 어떤 프로그램을 통한 요청인지를 확인하여, 파일 열기 요청에 사용자 정보 및 프로그램명 중 적어도 하나를 추가하여 네트워크 파일서버에 보낸다. 본 명세서에서는 설명의 편의 및 집중을 위해, 상기 사용자 정보로서 사용자 ID가 활용되는 것으로 가정하여 설명하기로 한다. 다만, 해당 사용자를 식별할 수 있는 정보라면 사용자 ID 이외에도 다양한 사용자 정보가 활용될 수 있음은 물론이다.Then, when a user attempts to open a file stored on a drive mapped to a network file server with Windows Explorer or other common application, the custom file system driver checks to see what program the requested file open request is from. At least one of the user information and the program name is added to the file open request and sent to the network file server. In the present specification, for convenience and concentration of description, it will be described on the assumption that a user ID is used as the user information. However, if the information can identify the corresponding user, various user information may be used in addition to the user ID.

다만, 구현 방식에 따라서 PC에서 네트워크 파일서버 클라이언트가 구동될 때 네트워크 파일서버에서 사용자 아이디와 암호를 인증했다면, 해당 접속 세션에 대해서는 해당 아이디로 간주하고 별도의 아이디값을 전달하지 않게 구성할 수 있음은 자명하다.However, according to the implementation method, if the network file server authenticates the user ID and password when the network file server client is running on the PC, the connection session may be regarded as the corresponding ID and may be configured not to transmit a separate ID value. Is self-explanatory.

일반적인 파일서버는 파일을 요청하는 단말기의 사용자 계정이 인증되어 상호간의 세션 연결이 이루어진 이후에는 데이터를 요청하는 프로그램을 검토하지 않는다. 즉, 종래 기술에 의할 때, 네트워크 파일서버 클라이언트 드라이버는 파일 서버에게 파일을 요청하였을 뿐, 어떤 프로그램이 어떤 파일을 요청했는지를 정보를 서버에게 제공하지 않았다.A typical file server does not review a program requesting data after a user account of a terminal requesting a file is authenticated and a session connection is established. That is, according to the prior art, the network file server client driver only requested a file from the file server, but did not provide the server with information about which program requested which file.

그러나 랜섬웨어를 파일 서버 중심에서 막기 위해서는 현재 파일을 요청하는 주체가 어떤 단말기인지, 어떤 사용자인지를 넘어서 어떤 프로그램인지까지 함께 전달해야 파일서버 관점에서 판단하여, 사전에 지정한 프로그램인 경우에 한하여 파일을 제공할 필요가 있다.However, in order to prevent ransomware from the center of file server, it is necessary to deliver not only the terminal that is requesting the file, but also which user is what program. Need to provide

따라서, 본 발명에서는 파일에 접근하려는 프로그램의 식별값을 커스텀 파일시스템 드라이버가 함께 네트워크 파일서버에 요청하고, 네트워크 파일서버 데몬은 수신한 프로그램 식별값이 사전에 지정된 프로그램 식별값과 다른 경우 읽기 전용으로만 데이터를 제공하는 것으로 구동된다.Therefore, in the present invention, a custom file system driver requests a network file server together with an identification value of a program to access a file, and the network file server daemon reads only if the received program identification value is different from a predetermined program identification value. Only driven by providing data.

구성에 따라서는 네트워크 파일서버 데몬은 파일을 요청하는 프로그램뿐만 아니라 사용자 ID를 사전에 지정하여 사전에 지정한 ID가 아닌 경우, 해당 파일 열기 요청에 대한 열람이 읽기 전용 모드로 이루어질 수 있도록 커스텀 파일시스템 드라이버에게 제공할 수 있다. 이에 따라, 사전에 지정한 프로그램이 OS의 기본 파일탐색기가 아닌 경우 네트워크 파일서버로부터 제공된 파일은 PC에서 읽기 전용으로만 접근될 수 있게 작동될 수 있다.Depending on the configuration, the network file server daemon may not only specify the program requesting the file, but also a user ID in advance, so that if the ID is not a predefined ID, the custom file system driver can read the file open request in read-only mode. Can be provided to Accordingly, if a pre-designated program is not the default file explorer of the OS, the file provided from the network file server may be operated to be read-only accessible from the PC.

또한 구성을 바꾸어, 네트워크 파일서버 클라이언트 드라이버가 구동될 때 서버로부터 서버에 요청 가능한 프로그램 목록을 사전에 내려 받은 후, 파일을 요청하는 프로그램이 사전에 지정된 프로그램이 아니라면 클라이언트 프로그램 모듈에서 커널 수준에서 "접근권한이 없습니다."라는 메시지를 파일을 요청한 프로그램에게 회신을 줄 수도 있을 것이다.It also changes the configuration so that when the network file server client driver is running, it downloads a list of programs that can be requested from the server in advance, and then at the kernel level in the client program module if the program requesting the file is not a predefined program. You may be able to reply to the program requesting the file.

도 2는 본 발명의 실시예예 따라, 읽기 전용으로 파일을 열었을 때 타이틀 바에 읽기 전용이 표시되는 화면 예시이다.2 is a screen example in which read only is displayed on a title bar when a file is opened for read only according to an embodiment of the present invention.

또한 본 발명의 실시예에 의할 때, 특정 사용자 프로그램이 읽기/쓰기 모드로 드라이브 내 파일을 열도록 작동하는 경우, 커스텀 파일시스템 드라이버가 현재 요청이 어떤 프로그램에 의한 요청인지를 확인하여, 읽기/쓰기 모드로 파일 열기를 요청하면서 사용자 ID 및 프로그램명 중 적어도 하나를 추가하여 네트워크 파일서버에 보낼 수 있다.In addition, according to an embodiment of the present invention, when a specific user program operates to open a file in a drive in read / write mode, the custom file system driver checks which program the current request is made by which program, While requesting to open a file in write mode, at least one of a user ID and a program name can be added and sent to a network file server.

이 경우, 본 발명의 실시예에 따른 네트워크 파일서버 데몬은 읽기/쓰기 모드로 들어온 파일 접근 요청을 거부 메시지를 커스텀 파일시스템 드라이버로 전송할 수 있다. 이에 따라, 커스텀 파일시스템 드라이버는 다시 이를 수신하여 프로그램에 전송할 수 있다.In this case, the network file server daemon according to an exemplary embodiment of the present invention may transmit a denial message to a custom file system driver for a file access request entered into a read / write mode. Accordingly, the custom file system driver can receive it and send it to the program.

또한, 또다른 작동 방법으로는 일반적인 프로그램이 읽기/쓰기 모드로 파일서버 내 파일 열기를 시도하는 경우, 커스텀 파일시스템 드라이버는 현재 요청이 어떤 프로그램에 의한 요청한 것인지 확인하고, 읽기/쓰기 모드로 파일 열기를 요청하면서 프로그램명을 추가하여 네트워크 파일서버에 보낼 수 있다. 이 경우, 네트워크 파일서버 데몬은 해당 파일 열기 요청에 대해 사전에 지정된 프로그램이 아닌 경우 읽기 전용 파일열기 모드로 해당 파일을 커스텀 파일시스템 드라이버에게 제공한다. 이에 따라, 사전에 지정된 프로그램이 아닌 경우 네트워크 파일서버로부터 제공된 파일은 PC에서 읽기 전용으로만 제공 된다.In addition, another method of operation is that if a typical program attempts to open a file in the file server in read / write mode, the custom filesystem driver checks which program the current request is making and opens the file in read / write mode. You can add a program name and send it to a network file server. In this case, the network file server daemon provides the file to the custom file system driver in read-only file open mode, unless it is a pre-defined program for that file open request. Accordingly, files provided from the network file server are provided as read-only files on the PC, unless the program is designated in advance.

이와 같이 작동하는 프로그램들은 대체로 워드나 파워포인트와 같은 일반 프로그램들로서 오피스 프로그램 자체가 파일시스템에서 파일을 열려고 할 때, 읽기/쓰기모드로 열려고 하는데 파일 시스템으로부터 읽기 전용 파일 속성으로 파일이 제공되면 자동으로 읽기 전용 모드로 파일을 열람시킨다.These programs are usually general programs such as Word or PowerPoint. When the Office program itself attempts to open a file in the file system, it opens in read / write mode. When the file is provided as a read-only file attribute from the file system, View the file in read-only mode.

또한 본 발명의 실시예에 의할 때, 사용자가 네트워크 파일서버와 맵핑된 드라이브에 윈도우 탐색기나 일반 응용프로그램을 이용하여 파일을 최초 생성하는 경우, 네트워크 파일서버 클라이언트 내 커스텀 파일시스템 드라이버는 프로그램, 쓰기 파일 정보를 추가하여 파일 생성 요청을 네트워크 파일서버에게 전달할 수 있다.In addition, according to an embodiment of the present invention, when a user initially creates a file using a Windows Explorer or a general application program on a drive mapped with a network file server, the custom file system driver in the network file server client may be programmed or written. By adding file information, you can forward file creation requests to a network file server.

이 경우, 네트워크 파일서버 데몬은 네트워크 파일서버 내의 파일시스템이 허용하는 범위내에서 해당 파일을 생성할 수 있다. 여기서, 서버 내 파일시스템이 허용하는 범위를 예로 들면 동일한 파일명이 서버의 파일시스템에 존재하지 않거나, 서버의 파일시스템에 추가로 저장할 용량이 남아있는 경우이거나, 생성을 시도하는 파일명 규칙이 서버의 파일시스템의 제한을 초과하지 않는 경우 등일 수 있다.In this case, the network file server daemon can create the file as long as the file system in the network file server allows. Here, for example, the range allowed by the file system in the server, for example, the same file name does not exist in the file system of the server, or if there is additional storage space left in the file system of the server, or the file name rule that attempts to create a file on the server Etc., if the system limitations are not exceeded.

네트워크 파일서버에 파일이 생성된 경우, 네트워크 파일서버 데몬은 해당 사용자ID가 해당 파일에 대해서 쓰기 권한을 갖고 있는 것을 쓰기 권한 DB(도 1의 DB 참조)에 갱신시켜 놓고서, 커스텀 파일시스템 드라이버에게 해당 파일이 읽기/쓰기 모드로 열람될 수 있도록 전달한다.When a file is created on the network file server, the network file server daemon updates the write permission DB (see DB in FIG. 1) that the user ID has write permission for the file, and then applies the custom file system driver. Deliver the file for viewing in read / write mode.

이 경우, 커스텀 파일시스템 드라이버는 프로그램에게 파일에 대한 읽기/쓰기 모드로 문서가 열려있음을 전달하고, 프로그램이 종료되기 전까지 해당 파일에 대한 수정을 할 수 있게 한다.In this case, the custom filesystem driver tells the program that the document is open in read / write mode for the file and allows you to make modifications to that file until the program exits.

이후, 프로그램이 종료될 때, 파일을 닫는 것이 커스텀 파일시스템 드라이버에 의해 감지되는 경우, 커스텀 파일시스템 드라이버는 파일 닫힘 이벤트를 네트워크 파일서버 데몬에 전달하고, 이를 수신한 네트워크 파일서버 데몬은 해당 파일에 대한 쓰기 권한정보를 갖고 있는 쓰기 권한 DB에서 해당 사용자 ID를 제거할 수 있다.Then, when the program closes, if closing the file is detected by the custom file system driver, the custom file system driver sends a file close event to the network file server daemon, which receives the network file server daemon. You can remove the user ID from the write permission DB that has the write permission information for the user.

여기서, 운영체제 파일시스템 마다 다양한 파일 생성 및 닫기 함수가 존재할 수 있다. 예를 들어, 윈도우 운영체제만 하더라도 파일을 생성을 할 때 Openfile(), Createfile()로 생성할 수도 있고, 파일을 닫을때도 Close(), Closefile()로 닫을 수 있어서 명령 하나 하나에 충실하기 보다는 전체적인 동작 절차를 중심으로 본 명세서를 기술한다. Here, various file creation and closing functions may exist for each operating system file system. For example, even in the Windows operating system, you can create files with Openfile () and Createfile () when creating files, or close () and Closefile () when closing files. This specification will be described based on the operating procedure.

또한 여기서, 네트워크 파일서버 클라이언트는 윈도우 탐색기에 확장하여 컨텍스트 메뉴로 구현된 프로그램일 수 있고, 별도의 프로그램으로 구동될 수 있는 등 그 구현 형식의 제한은 없다.In addition, the network file server client may be a program implemented as a context menu by extending the window explorer, and may be driven by a separate program.

또한 본 발명의 실시예에 의할 때, 사용자가 네트워크 파일서버와 맵핑된 드라이브에 윈도우 탐색기나 일반 응용프로그램을 이용하여 파일을 변경을 요청하는 경우, 커스텀 파일시스템 드라이버는 네트워크 파일서버내에 위치한 파일에 대해서 파일변경 명령을 감지하고, 해당 파일정보에 파일변경 명령정보, 현재 명령이 어떤 프로그램에 의해서 생성되었는지에 대한 프로그램 정보 및 사용자 ID 중 적어도 하나를 추가하여 네트워크 파일서버로 보낼 수 있다.In addition, according to an embodiment of the present invention, when a user requests to change a file using a Windows Explorer or a general application to a drive mapped with a network file server, the custom file system driver may be assigned to a file located in the network file server. A file change command is detected, and at least one of file change command information, program information on which program the current command is generated, and a user ID can be added to the file information and sent to the network file server.

여기서, 파일 변경 요청은 예를 들어 파일 암호화, 파일 삭제, 파일 이름 변경, 파일 이동, 파일 시간 변경, 파일 본문내용 변경, 파일 바이너리값 변경 등에 관한 요청을 의미한다.Here, the file change request means a request for file encryption, file deletion, file name change, file move, file time change, file body content change, file binary value change, and the like.

네트워크 파일서버 데몬은 해당 사용자 세션에 해당 작업대상 파일에 쓰기 권한을 갖는 ID인지여부를 쓰기 권한 DB를 통해서 확인할 수 있다. 확인 결과에 따라, 네트워크 파일서버 데몬은 해당 작업대상 파일에 쓰기 권한이 부여된 사용자 ID로부터의 파일변경 요청인 경우에만 파일변경 명령을 허용할 수 있다.The network file server daemon can check whether the ID has the write permission on the target file in the corresponding user session through the write permission DB. According to the result of the check, the network file server daemon can allow the file change command only when the file change request is from a user ID that is granted write permission to the target file.

다만, 경우에 따라서는, 본 발명의 다른 실시예에 의할 때, 해당 사용자 ID에 쓰기 권한이 부여되지 않은 경우라 하더라도, 해당 작업요청을 요청한 프로그램이 윈도우 탐색기일 경우에는 파일삭제 명령을 허용할 수도 있다. 여기서, 파일삭제 명령을 생성한 것이 윈도우 탐색기인 경우는 사용자의 직접적인 조작으로 간주하고, 파일삭제 명령을 정상적으로 처리해주어도 무방할 수 있기 때문이다. 이에 관한 일 예시로서, 도 3은 윈도우 탐색기가 아닌 DOS 커맨드 창에서 네트워크 파일시스템 드라이브 내에 있는 파일의 이름을 명령어로 삭제하려고 한 경우에 대해서 거절하는 화면을 예시하고 있다. 즉, 도 3은 윈도우 탐색기가 아닌 다른 응용프로그램을 통해서 쓰기 권한이 부여되지 않은 ID의 사용자가 파일삭제를 시도한 경우 이를 허용하지 않는 경우를 보여주고 있다.In some cases, according to another embodiment of the present invention, even if a write permission is not granted to a corresponding user ID, a file deletion command may be allowed if the program requesting the work request is Windows Explorer. It may be. If the file delete command is generated by Windows Explorer, it may be regarded as a user's direct manipulation, and the file delete command may be processed normally. As an example of this, FIG. 3 illustrates a screen for rejecting an attempt to delete a name of a file in a network file system drive using a command in a DOS command window instead of Windows Explorer. That is, FIG. 3 illustrates a case in which a user whose ID is not granted write permission through an application other than Windows Explorer attempts to delete a file and does not allow it.

위와 비슷한 취지로, 구현 방식에 따라서, 사전에 지정한 프로그램에 의한 읽기 명령인 경우에는 해당 파일에 관한 열람을 허용하지만, 그 외의 프로그램에 의한 읽기 명령은 네트워크 파일서버 측(보다 구체적으로는 네트워크 파일서버 데몬)에서 이를 불허(읽기 금지)할 수도 있다.For the same purpose as above, depending on the implementation method, the read command by the pre-designated program is allowed to be read. However, the read command by the other program is the network file server side (more specifically, the network file server). Daemons can also disable it (forbid reading).

실제로 공인인증서를 일반적인 네트워크 파일서버에 저장하고 운영체제에 마운트되어 있다면 운영체제 상에서 작동하는 모든 프로그램이 접근(읽기)이 가능하지만, 공인인증서 클라이언트 프로그램만 접근되도록 사전에 설정되었다면 공인인증서 클라이언트 프로그램에 의한 파일 열기 요청에 의해서만 파일을 제공하고 그 이외에 모든 프로그램에 의한 파일 열람 요청을 차단할 수 있다. 또한 구성에 따라서 공인인증서 생성 프로그램만이 해당 네트워크 드라이브에 접근하여 파일을 생성할 수 있도록 제한 한다면 사전에 지정된 공인인증서 생성 프로그램만이 파일을 쓸 수 있음도 자명하다.In fact, if the certificate is stored in a general network file server and mounted in the operating system, all programs operating on the operating system can be accessed (read), but if the certificate client program is set to be accessed in advance, the file is opened by the certificate client program. You can provide a file only on request and block all other file-viewing requests. It is also obvious that only a predefined certificate generation program can write a file if it restricts only the certificate generation program to access the network drive and create a file.

네트워크 파일서버 데몬은 파일변경 명령을 수행한 후 커스텀 파일시스템 드라이버에게 결과를 전달할 수 있다. 이때, 최종적으로 작업요청에 대한 결과는 커스텀 파일시스템 드라이버를 통해 해당 작업요청 프로그램에게 전달되어 사용자에게 결과가 표시된다. The network file server daemon can execute a file change command and then pass the results back to the custom file system driver. At this time, the result of the work request is finally delivered to the work request program through the custom file system driver, and the result is displayed to the user.

이상에서는 사전에 지정된 프로그램이 윈도우 탐색기를 예로 들었지만, 이와 같이 예외 처리되는 프로그램의 종류 또는/및 프로그램명은 운영체제에 따라서 상이할 수 있다. 일 예로 MS 윈도우에서는 사용자가 직접 파일을 조작할 수 있는 프로그램 명이 윈도우 탐색기이지만, Apple Mac OS에서는 Finder로 작동하며 Linux의 X윈도우에서는 파일탐색기 임이 바로 그러하다.In the above, although the program designated in advance has taken Windows Explorer as an example, the type or program name and / or program name which are exception-handled as described above may be different depending on the operating system. For example, in Microsoft Windows, the name of a program that allows a user to directly manipulate a file is Windows Explorer, but it works as a finder in Apple Mac OS and a file explorer in X window on Linux.

또한, 네트워크 파일서버가 처리를 완료한 이후 향후 처리 절차에 대해서는, 운영체제 작동방식에 따라서 상이해질 수 있다. 네트워크 파일서버가 최종 동작을 마친 후에 커스텀 파일시스템 드라이버에 처리된 것을 알려줄 수도 있지만, 커스텀 파일시스템 드라이버가 네트워크 파일서버에 작업요청이 어떻게 이행되었는지를 확인할 수도 있을 것이다.Further, after the network file server completes processing, the future processing procedure may be different depending on the operating system operating method. The network file server may tell the custom file system driver that it has been processed after the final operation, but the custom file system driver may be able to see how the work request was fulfilled on the network file server.

또한, 이상에서는 해당 프로그램 또는 사용자 ID가 해당 작업파일에 쓰기 권한이 부여되고 있는지 여부에 따라 파일변경 처리의 허용여부를 결정하는 경우를 주로 설명하고 있지만, 이외에도 다양한 변형이 가능하다. 예를 들어, 해당 사용자로 쓰기 권한이 부여되어 있는지에 관한 대조 절차는 생략될 수도 있다.In the above description, the case where the program or the user ID determines whether to allow the file change process according to whether or not write permission is given to the work file is mainly explained. However, various modifications are possible. For example, a check procedure regarding whether write permission is granted to the user may be omitted.

일 예로, 도 4에 도시된 바와 같이, 해당 사용자가 의도적인 조작을 통해서 사전에 지정된 프로그램이 아니라 일반 프로그램으로 파일을 열람하더라도 편집이 가능하게 파일을 '편집모드 전환'하여 여는 경우에는 사전에 지정된 프로그램이 아니라 하더라도 파일서버가 해당 파일에 대해 읽기/쓰기 속성으로 파일을 제공하게 구현될 수 있다. 경우에 따라서, 랜섬웨어 공격이 아님이 명확히 구별될 수 있는 사용자의 의도적 조작 행위임이 인정되는 경우라면, 파일변경 요청을 허용하도록 구현할 수도 있기 때문이다. 여기서, 도 4는 윈도우 탐색기에서 네트워크 파일서버의 저장공간이 드라이브로 마운트된 후에, 사용자가 윈도우 탐색기에 부가적으로 설치된 네트워크 파일서버 클라이언트 프로그램을 이용하여 네트워크 파일서버내 저장공간에 있는 파일을 '편집모드 전환'하려는 경우에 대한 화면 예시이다.For example, as illustrated in FIG. 4, when a user opens a file by 'switching to an edit mode' so that the user can edit the file even if the user browses the file using a general program instead of a program designated in advance, Even if it is not a program, the file server can be implemented to provide a file with read / write attributes for the file. In some cases, it may be implemented to allow a file change request if it is recognized that the user is an intentional manipulation behavior that can be clearly distinguished from a ransomware attack. In FIG. 4, after the storage space of the network file server is mounted as a drive in Windows Explorer, the user 'edits a file in the storage space in the network file server using a network file server client program additionally installed in Windows Explorer. This is an example of the screen for the case of 'Switch Mode.'

이에 대한 구체적 구현 방식은 다음과 같을 수 있다. 네트워크 파일서버 클라이언트가 정상 인증된 사용자 ID로 특정 경로의 파일에 대해 편집모드로 전환을 선택하면, 네트워크 파일서버 상의 편집모드 처리부(도 1의 User 편집모드 처리부 참조)가 특정 경로의 파일이 이미 다른 사용자 ID에 의해서 쓰기가 되어있는지 확인할 수 있다. 이때, 다른 사용자 ID가 등록되어 있지 않은 경우, 편집모드 처리부는 쓰기 권한 DB 해당 파일에 사용자 ID를 쓰기 권한을 부여하여, 해당 사용자ID에 한하여 읽기/쓰기가 가능하도록 설정을 변경하고, 네트워크 파일서버 클라이언트에게 변경 완료를 알려줄 수 있으며, 읽기/쓰기로 전환된 문서에 대해서 해당 사용자가 사전에 지정되지 않은 프로그램으로 파일을 접근한다 하더라도 파일에 대해서 읽기/쓰기 모드로 네트워크 파일 서버가 파일을 제공한다.Specific implementation manners for this may be as follows. If the network file server client selects to switch to edit mode for a file in a specific path with a normally authenticated user ID, the edit mode processing unit (see User edit mode processing unit in FIG. 1) on the network file server may have a different file. You can check if it is written by user ID. At this time, if another user ID is not registered, the edit mode processing unit grants write permission to the write permission DB file, and changes the setting so that only the user ID can read / write the network file server. The client can inform the client that the change is complete, and the network file server provides the file in read / write mode even if the user accesses the file with a program that is not specified in advance.

또한 구현 방식에 따라서 네트워크 파일서버 내의 파일이 편집모드로 전환될 때마다 강제로 네트워크 파일서버에 리비젼을 남기도록 구성될 수 있음은 자명하다. 이와 별개로 도 6에 도시된 바와 같이 사용자가 직접 '리비젼 생성'을 선택함으로써 리비젼 파일을 남길 수도 있음은 물론이다.It is also apparent that, depending on the implementation, whenever a file in the network file server is switched to edit mode, it can be configured to leave a revision on the network file server. Separately, as shown in FIG. 6, the user may leave a revision file by directly selecting 'create revision'.

상술한 바와 같이, 편집 모드롤 파일이 열린 경우, 도 5에 도시된 바와 같이 해당 파일이 편집 모드로 실행되고 있음을 시각적으로 구별시킬 수 있는 아이콘이 함께 표시될 수도 있다. 여기서, 도 5는 특정 사용자 ID에 의해서 편집 모드로 열린 파일이 윈도우 탐색기에 표시될 때 자물쇠 모양의 아이콘이 파일 아이콘 위에 함께 표시되도록 하는 화면 예시이다.As described above, when the edit mode roll file is opened, as shown in FIG. 5, an icon for visually distinguishing that the file is running in the edit mode may be displayed together. 5 is a screen example of displaying a lock icon on a file icon when a file opened in an edit mode by a specific user ID is displayed in a window explorer.

또한 상술한 편집 모드는 사용자의 조작을 통해서 편집 모드 종료 처리될 수도 있다. 이에 관한 예시가 도 6에 도시되고 있으며, 여기서 도 6은 특정 사용자 ID에 의해서 잠겨있는 파일을 네트워크 파일서버에서 해제되도록 할 때 편집 모드 종료 명령을 전송할 수 있게 하는 네트워크 파일서버 클라이언트 프로그램 실시 화면 예시이다. 이때, 편집 모드 종료가 선택되는 경우, 네트워크 파일서버의 편집모드 처리부는, 해당 사용자가 더 이상 쓰기 모드로 해당 파일을 열지 못하도록 쓰기 권한 DB에서 해당 경로의 파일에 대한 해당 사용자 ID를 삭제할 수 있다.In addition, the above-described editing mode may be processed to terminate the editing mode through a user's manipulation. An example of this is shown in FIG. 6, where FIG. 6 is an example of a network file server client program execution screen that enables an edit mode exit command to be sent when a file locked by a specific user ID is released from the network file server. . In this case, when the edit mode exit is selected, the edit mode processing unit of the network file server may delete the corresponding user ID for the file of the corresponding path from the write permission DB so that the user no longer opens the corresponding file in the write mode.

또한 상술한 편집 모드로의 전환 또는/및 편집 모드 종료의 처리는 단위 파일 단위로 이루어질 수도 있지만, 경우에 따라서는 파일 구동 상 필요한 범위 내에서 혹은 설정된 범위 내에서 복수의 파일에서 동시에 이루어질 수도 있다. 일 예로, 캐드나 소프트웨어 개발툴의 경우에서처럼 하위 폴더를 갖고 있는 참조 파일을 동시에 접근해서 사용해야 할 필요가 있는 경우에는 어느 하나의 파일에 관한 편집 모드로의 전환/종료 조작에 의하더라도, 이와 연관되는 해당 하위 폴더 전체 또는 하위 폴더 내의 참조 파일들을 함께 편집 모드로 전환/종료 처리할 수도 있을 것이다.In addition, although the above-mentioned process of switching to the edit mode and / or terminating the edit mode may be performed on a unit file basis, in some cases, a plurality of files may be simultaneously performed within a range necessary for driving a file or within a set range. For example, when it is necessary to access and use a reference file having a subfolder at the same time as in a CAD or software development tool, even if the file is switched to / exited to edit mode for one file, It is also possible to switch to / out of editing the entire sub-folder or the reference files in the subfolder together.

또한 네트워크 파일서버 클라이언트가 해당 파일의 확장자와 연결된 PC 내 설치된 프로그램을 구동하여 상기 경로에 있는 파일 열기를 시도하는데 있어서도 운영체제마다 그 구현 방식이 다소 차이가 있을 수 있다. 예를 들어, MS 윈도우에서 구동되는 경우는 Shell command가 지원하는 ShellExecute로 "Open 파일경로 및 파일명"을 통하여 해당 문서의 열람을 시도하면, 운영체제가 해당 파일의 확장자를 보고 디폴트 연결프로그램을 실행시키면서 해당 파일 경로를 디폴트 연결 프로그램에게 전달하여 문서를 열람시킬 수도 있다. In addition, even when the network file server client attempts to open a file in the path by running a program installed in a PC connected to the extension of the corresponding file, the implementation method may differ slightly depending on the OS. For example, when running on MS Windows, if you attempt to view the document through "Open file path and file name" using ShellExecute supported by the Shell command, the operating system will see the file extension and execute the default link program. You can also retrieve the document by passing the file path to the default linker.

또한 이상에서는 파일 열람, 생성, 변경 등에 관한 요청이 있을 때마다, 커스텀 파일시스템 드라이버가 파일을 요청한 프로그램의 고유값(해쉬)과 사용자 ID를 네트워크 파일서버 데몬에게 전달하는 경우를 주로 설명하였지만, 경우에 따라서 다른 변형이 가능하다. 즉, 구현 방식에 따라서, 최초 사용자 인증이 이루어진 이후 네트워크 파일서버가 해당 접속 세션에 대한 사용자 ID를 기록하고 있는 경우라면, 그 이후의 파일 열람, 생성, 변경 등의 요청 과정에서 커스텀 파일시스템 드라이버가 사용자 ID 첨부하지 않고 네트워크 파일서버 데몬에게 전달할 수도 있을 것이다.In the above description, the case where the custom file system driver delivers the unique value (hash) and user ID of the program requesting the file to the network file server daemon whenever a request for file viewing, creation, or modification is requested is described. Other variations are possible depending on the type. In other words, depending on the implementation method, if the network file server records the user ID for the connection session after the initial user authentication, the custom file system driver may be configured to request to view, create, or modify a subsequent file. It could be passed to a network file server daemon without attaching a user ID.

또한 본 발명은 사용자 PC OS뿐만 아니라 리눅스나 유닉스 시스템에 기반한 서비스 서버가 네트워크 파일서버의 특정 저장공간을 마운트하여 데이터를 사용하는 경우도 동일하게 적용될 수 있음은 자명하다. In addition, it is apparent that the present invention can be equally applicable to a case where a service server based on a Linux or Unix system as well as a user PC OS mounts a specific storage space of a network file server to use data.

보다 구체적으로 리눅스나 유닉스 서비스 서버에서 네트워크 파일서버의 저장공간을 해당 시스템의 저장 파티션으로 구성하여 데이터에 접근하려고 하는 경우, 서비스 서버에서 네트워크 파일서버내 보관된 파일에 대해서 파일 열람 또는 수정 요청을 전송한다 하더라도 파일서버가 사전에 지정된 프로세스에 의해서 파일 접근 요청이 생성된 경우가 아니라면 파일 접근을 차단 할 수 있고, 사전에 지정된 프로세스인 경우 읽기 전용으로만 파일을 제공할 수 있게 구동될 수 있음도 자명하다. More specifically, when a Linux or Unix service server attempts to access data by configuring a storage space of a network file server as a storage partition of a corresponding system, the service server sends a request to view or modify a file stored in the network file server. Even if the file server does not generate a file access request by a predetermined process, the file server may block access, and in the case of a predetermined process, the file server may be operated to provide a file for read only. Do.

상술한 본 발명의 실시예에 따른 랜섬웨어 공격을 차단하는 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. The method for blocking a ransomware attack according to the embodiment of the present invention described above may be implemented as computer readable code on a computer readable recording medium. Computer-readable recording media include all kinds of recording media having data stored thereon that can be decrypted by a computer system. For example, there may be a read only memory (ROM), a random access memory (RAM), a magnetic tape, a magnetic disk, a flash memory, an optical data storage device, and the like. The computer readable recording medium can also be distributed over computer systems connected over a computer network, stored and executed as readable code in a distributed fashion.

이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.Although the above has been described with reference to embodiments of the present invention, those skilled in the art may variously modify the present invention without departing from the spirit and scope of the present invention as set forth in the claims below. And can be changed easily.

Claims (12)

외부 공격 차단 시스템으로서,
네트워크 파일서버; 및 사용자 단말기 또는 서비스 서버에 설치되며 원격에 위치한 상기 네트워크 파일서버와 통신 연결되는 NFS 클라이언트(Network File Server Client)를 포함하고,
상기 네트워크 파일서버는,
상기 사용자 단말기 또는 서비스 서버에 네트워크 드라이브 형태로 마운트되는 상기 네트워크 파일서버 내의 보관 파일에 관한 상기 NFS 클라이언트로부터의 접근 또는 열기 요청이 있는 경우, 접근 또는 열기 요청을 한 프로그램 정보을 확인하고 확인된 프로그램 정보에 따라 적격 여부를 판정하며, 판정 결과에 따라 부적격 판정이 이루어지는 경우 상기 접근 요청된 파일에 관한 접근을 차단하거나 또는 상기 열기 요청된 파일을 읽기 전용 모드로만 상기 NFS 클라이언트로 제공하는, 외부 공격 차단 시스템.
External attack protection system,
Network file server; And an NFS client (Network File Server Client) installed in a user terminal or a service server and in communication with the network file server located remotely.
The network file server,
If there is an access or open request from the NFS client regarding the archived file in the network file server mounted on the user terminal or service server in the form of a network drive, the program information requested for the access or open request is checked, Determining whether eligibility is determined according to the determination result, and when the ineligibility determination is made according to the determination result, block access to the requested file or provide the open requested file to the NFS client only in a read-only mode.
제1항에 있어서,
상기 네트워크 파일서버는,
상기 열기 요청을 한 사용자 정보에 근거하여 해당 사용자에게 쓰기 권한이 부여되어 있는지 여부를 쓰기 권한 DB를 통해 확인하여, 해당 사용자에게 쓰기 권한이 부여되지 않은 경우에는 상기 열기 요청된 파일을 읽기 전용 모드로만 상기 NFS 클라이언트로 제공하는, 외부 공격 차단 시스템.
The method of claim 1,
The network file server,
Based on the information of the user who made the open request, the user checks whether or not the write permission is granted to the user through the write permission DB. If the write permission is not granted to the corresponding user, the requested file is opened only in read-only mode. Provided to the NFS client.
제1항에 있어서,
상기 NFS 클라이언트는,
상기 접근 또는 열기 요청이 어떤 프로그램을 통한 요청인지를 확인하고, 상기 요청에 프로그램 정보를 추가하여 상기 네트워크 파일서버로 전달하고,
상기 네트워크 파일서버는,
수신된 프로그램 정보에 근거하여 해당 프로그램이 사전 지정된 프로그램에 해당하는지 여부를 확인하여, 해당 프로그램이 사전 지정된 프로그램에 해당하지 않는 경우에는 상기 접근 요청된 파일의 접근을 차단하거나 또는 상기 열기 요청된 파일을 읽기 전용 모드로만 상기 NFS 클라이언트로 제공하는, 외부 공격 차단 시스템.
The method of claim 1,
The NFS client,
Identify the program through which the access or open request is requested, add program information to the request, and transmit the program information to the network file server;
The network file server,
Check whether the corresponding program corresponds to a predetermined program based on the received program information, and if the corresponding program does not correspond to the predetermined program, block access to the requested file or open the requested file. An external attack protection system provided to the NFS client only in read-only mode.
제3항에 있어서,
상기 네트워크 파일서버는,
상기 열기 요청이 상기 사용자 단말기 또는 상기 서비스 서버에 설치된 운영체제에 따라 해당 운영체제에서 제공하는 파일 탐색 전용 프로그램에 따른 열기 요청인 경우, 상기 열기 요청된 파일을 읽기/쓰기 모드로 열람될 수 있도록 상기 NFS 클라이언트로 제공하는, 외부 공격 차단 시스템.
The method of claim 3,
The network file server,
When the open request is an open request according to a file search-only program provided by the corresponding operating system according to an operating system installed in the user terminal or the service server, the NFS client may be read in the read / write mode. Provided by, External Attack Protection System.
제1항에 있어서,
상기 사용자 단말기 또는 상기 서비스 서버에 마운트된 네트워크 드라이브에 신규 파일의 생성 요청이 있는 경우,
상기 네트워크 파일서버는,
상기 요청에 따라 신규 파일을 생성하고, 상기 신규 파일의 생성을 요청한 사용자 정보에 근거하여 해당 사용자가 상기 생성된 신규 파일에 관한 편집이 가능하도록 해당 사용자를 쓰기 권한 DB에 등록하고, 상기 신규 파일에 관한 편집이 완료되어 프로그램이 종료되는 경우 상기 쓰기 권한 DB에서 해당 사용자의 쓰기 권한을 삭제하는, 외부 공격 차단 시스템.
The method of claim 1,
If there is a request for creating a new file in the network drive mounted on the user terminal or the service server,
The network file server,
According to the request, a new file is created, and the user is registered in a write permission DB so that the user can edit the created new file based on the user information requesting the creation of the new file. If the editing is completed and the program is terminated, the external attack blocking system for deleting the user's write permission from the write permission DB.
외부 공격 차단 시스템으로서,
네트워크 파일서버; 및 사용자 단말기 또는 서비스 서버에 설치되며 원격에 위치한 상기 네트워크 파일서버와 통신 연결되는 NFS 클라이언트(Network File Server Client)를 포함하고,
상기 네트워크 파일서버는,
상기 사용자 단말기 또는 상기 서비스 서버에 네트워크 드라이브 형태로 마운트되는 상기 네트워크 파일서버 내의 보관 파일에 관한 상기 NFS 클라이언트로부터의 파일 변경 요청이 있는 경우, 변경 요청을 한 프로그램 정보를 확인하고 확인된 프로그램 정보에 따라 적격 여부를 판정하며, 판정 결과에 따라 부적격 판정이 이루어지는 경우 상기 파일 변경 요청을 불허하는, 외부 공격 차단 시스템.
External attack protection system,
Network file server; And an NFS client (Network File Server Client) installed in a user terminal or a service server and in communication with the network file server located remotely.
The network file server,
If there is a file change request from the NFS client regarding the archive file in the network file server mounted on the user terminal or the service server in the form of a network drive, check the program information that has requested the change and according to the confirmed program information. Determining whether eligibility is determined and disallowing the file change request if an ineligible determination is made according to the determination result.
제6항에 있어서,
상기 파일 변경 요청은, 파일 암호화, 파일 삭제, 파일 이름 변경, 파일 이동, 파일 시간 변경, 파일 본문내용 변경, 파일 바이너리값 변경 중 적어도 하나인, 외부 공격 차단 시스템.
The method of claim 6,
The file change request is at least one of file encryption, file deletion, file name change, file move, file time change, file body content change, and file binary value change.
제6항에 있어서,
상기 네트워크 파일서버는,
상기 파일 변경 요청을 한 사용자 정보에 근거하여 해당 사용자에게 쓰기 권한이 부여되어 있는지 여부를 쓰기 권한 DB를 통해 확인하여, 해당 사용자에게 쓰기 권한이 부여되지 않은 경우에는 상기 파일 변경 요청을 불허하는, 외부 공격 차단 시스템.
The method of claim 6,
The network file server,
On the basis of the user information that requested the file change request, it is checked whether the write right is granted to the user through the write permission DB. If the write right is not granted to the corresponding user, the file change request is not allowed. Attack blocking system.
제6항에 있어서,
상기 NFS 클라이언트는,
상기 변경 요청이 어떤 프로그램을 통한 요청인지를 확인하고, 상기 변경 요청에 프로그램 정보를 추가하여 상기 네트워크 파일서버로 전달하고,
상기 네트워크 파일서버는,
수신된 프로그램 정보에 근거하여 해당 프로그램이 사전 지정된 프로그램에 해당하는지 여부를 확인하여, 해당 프로그램이 사전 지정된 프로그램에 해당하지 않는 경우에는 상기 파일 변경 요청을 불허하는, 외부 공격 차단 시스템.
The method of claim 6,
The NFS client,
Identify the program through which the change request is requested, add program information to the change request, and transmit the program information to the network file server;
The network file server,
Checking whether the corresponding program corresponds to a predetermined program based on the received program information, and disallowing the file change request if the corresponding program does not correspond to the predetermined program.
외부 공격 차단 시스템으로서,
네트워크 파일서버; 및 사용자 단말기 또는 서비스 서버에 설치되며 원격에 위치한 상기 네트워크 파일서버와 통신 연결되는 NFS 클라이언트(Network File Server Client)를 포함하고,
상기 NFS 클라이언트는,
상기 사용자 단말기 또는 상기 서비스 서버에 네트워크 드라이브 형태로 마운트되는 상기 네트워크 파일서버 내의 보관 폴더 또는 파일에 관하여 사용자가 편집모드로의 전환 및 종료를 선택할 수 있도록 하는 선택 정보를 제공하고,
상기 네트워크 파일서버는,
상기 NFS 클라이언트로부터의 파일 열기 또는 파일 변경 요청이 있는 경우, 상기 열기 또는 변경 요청이 상기 편집모드로의 전환이 선택된 상태에 따른 요청이 아닌 경우, 상기 열기 요청된 파일을 읽기 전용 모드로만 상기 NFS 클라이언트로 제공하거나 또는 상기 파일 변경 요청을 불허하는, 외부 공격 차단 시스템.
External attack protection system,
Network file server; And an NFS client (Network File Server Client) installed in a user terminal or a service server and in communication with the network file server located remotely.
The NFS client,
Providing selection information for allowing a user to select switching to and exiting from an edit mode with respect to an archive folder or a file in the network file server mounted on the user terminal or the service server in the form of a network drive,
The network file server,
When there is a file open or file change request from the NFS client, if the open or change request is not a request according to the state in which the switch to the edit mode is selected, the NFS client is placed in the read-only mode only in the NFS client. By providing or disallowing the file change request, external attack blocking system.
제10항에 있어서,
상기 NFS 클라이언트는, 상기 편집모드로의 전환이 이루어진 경우, 편집 모드로 전환된 폴더 또는 파일이 편집모드로 실행되고 있음을 시각적으로 구별할 수 있는 아이콘을 해당 파일의 아이콘에 함께 표출하는, 외부 공격 차단 시스템.
The method of claim 10,
The NFS client, when the switch to the edit mode is made, an external attack that displays an icon that can visually distinguish that the folder or file that has been switched to the edit mode is running in the edit mode, together with the icon of the file Blocking system.
제10항에 있어서,
응용프로그램의 속성에 따라 특정 파일의 동작을 위해서는 해당 파일과 연관된 참조 파일들을 함께 동작시켜야 하는 경우,
상기 네트워크 파일서버는, 상기 특정 파일에 관한 편집모드로의 전환 또는 종료를 실행할 때 상기 참조 파일 또는 상기 참조 파일이 속한 폴더도 편집모드로의 전환 또는 종료를 함께 실행하는, 외부 공격 차단 시스템.The method of claim 10,
In order to operate a specific file according to the property of an application program, the reference files associated with the file must be operated together.
And when the network file server executes the switching or ending of the edit mode for the specific file, the reference file or the folder to which the reference file belongs also performs the switching or ending of the edit mode.
KR1020200009621A 2020-01-28 2020-01-28 System and method for anti-fishing or anti-ransomware application KR20200013013A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200009621A KR20200013013A (en) 2020-01-28 2020-01-28 System and method for anti-fishing or anti-ransomware application

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200009621A KR20200013013A (en) 2020-01-28 2020-01-28 System and method for anti-fishing or anti-ransomware application

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020170089456A Division KR102107277B1 (en) 2016-08-08 2017-07-14 System and method for anti-fishing or anti-ransomware application

Publications (1)

Publication Number Publication Date
KR20200013013A true KR20200013013A (en) 2020-02-05

Family

ID=69515172

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200009621A KR20200013013A (en) 2020-01-28 2020-01-28 System and method for anti-fishing or anti-ransomware application

Country Status (1)

Country Link
KR (1) KR20200013013A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111552962A (en) * 2020-03-25 2020-08-18 沈阳通用软件有限公司 Method for intercepting viruses of files in USB flash disk PE format based on Windows operating system
WO2022169017A1 (en) * 2021-02-05 2022-08-11 (주)나무소프트 Data protection system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111552962A (en) * 2020-03-25 2020-08-18 沈阳通用软件有限公司 Method for intercepting viruses of files in USB flash disk PE format based on Windows operating system
CN111552962B (en) * 2020-03-25 2024-03-01 三六零数字安全科技集团有限公司 Interception method of USB flash disk PE format file viruses based on Windows operating system
WO2022169017A1 (en) * 2021-02-05 2022-08-11 (주)나무소프트 Data protection system

Similar Documents

Publication Publication Date Title
KR102107277B1 (en) System and method for anti-fishing or anti-ransomware application
CN112513857A (en) Personalized cryptographic security access control in a trusted execution environment
JP2002318719A (en) Highly reliable computer system
KR20110096554A (en) Client computer for protecting confidential file, server computer therefor, method therefor, and computer program
US9900326B2 (en) Method and apparatus for protecting computer files from CPU resident malware
US20230132303A1 (en) System for blocking a ransomware attack
WO2008072883A1 (en) System for controling documents in a computer
CN109684866B (en) Safe USB flash disk system supporting multi-user data protection
KR20200013013A (en) System and method for anti-fishing or anti-ransomware application
RU2263950C2 (en) Device for preventing unsanctioned access to information, stored on personal computer
KR102554875B1 (en) Apparatus and method for connecting network for providing remote work environment
KR20220097037A (en) Data leak prevention system
KR102090151B1 (en) Data protection system and method thereof
RU2212705C1 (en) Device for protection against unauthorized access to information stored in personal computer
KR102623168B1 (en) Data protection system
KR20020060517A (en) Method for Securing Document File Using Process Identification and Hard Disk Identification
KR102239902B1 (en) Apparatus and method for file system protection on auxiliary storage device
US20220103524A1 (en) Apparatus and method for providing remote work environment
JP2023516517A (en) Data protection system
US20200409573A1 (en) System for providing hybrid worm disk
CN115952543A (en) PCIE encryption card, management application system, hard disk read-write method, device and medium
KR20230009343A (en) File server data protection method and apparatus capable of changing file or file attribute according to file event occurrence of file server
CN116127501A (en) User private data protection method, system and medium based on user private container
CN112784321A (en) Disk information security system
James et al. Securing data at rest

Legal Events

Date Code Title Description
A107 Divisional application of patent
E902 Notification of reason for refusal
E601 Decision to refuse application