KR20210156309A - 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템 - Google Patents

랜섬웨어 또는 피싱 공격 차단 방법 및 시스템 Download PDF

Info

Publication number
KR20210156309A
KR20210156309A KR1020217041054A KR20217041054A KR20210156309A KR 20210156309 A KR20210156309 A KR 20210156309A KR 1020217041054 A KR1020217041054 A KR 1020217041054A KR 20217041054 A KR20217041054 A KR 20217041054A KR 20210156309 A KR20210156309 A KR 20210156309A
Authority
KR
South Korea
Prior art keywords
storage device
file
mode
backup
phishing attack
Prior art date
Application number
KR1020217041054A
Other languages
English (en)
Inventor
우종현
Original Assignee
(주)나무소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)나무소프트 filed Critical (주)나무소프트
Publication of KR20210156309A publication Critical patent/KR20210156309A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/80Database-specific techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/825Indexing scheme relating to error detection, to error correction, and to monitoring the problem or solution involving locking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Quality & Reliability (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

피싱 공격 방지 스토리지 장치; 사용자 단말 또는 서비스 서버에 설치되며, 상기 사용자 단말 또는 서비스 서버가 상기 피싱 공격 방지 스토리지 장치와 네트워크를 통해 연결되어 상기 피싱 공격 방지 스토리지 장치 내의 저장 영역이 네트워크 드라이브 형태로 마운트된 경우, 상기 피싱 공격 방지 스토리지 장치와의 연동 동작을 수행하는 에이전트 프로그램;을 포함하고, 상기 사용자 단말 또는 서비스 서버로부터 상기 피싱 공격 방지 스토리지 장치에 보관된 파일에 관한 열기 요청이 있는 경우, 상기 피싱 공격 방지 스토리지 장치는, 스토리지 동작 모드를 체크하고, 상기 스토리지 동작 모드가 리스트 온리 모드(List-only mode)에 해당하는 경우, 열기 요청된 원본 파일이 아닌 가짜 파일(fake file)을 생성하여, 상기 사용자 단말 또는 서비스 서버로 가짜 파일이 반환되도록 하는 것을 특징으로 하는, 피싱 공격 방지 시스템이 개시된다.

Description

랜섬웨어 또는 피싱 공격 차단 방법 및 시스템{SYSTEM AND METHOD FOR ANTI-RANSOMWARE OR ANTI-PHISHING APPLICATION}
본 발명은 랜섬웨어(ransomware) 또는 피싱(phishing) 공격을 차단하는 방법 및 시스템에 관한 것이다.
해커들이 배포하는 피싱과 랜섬웨어가 갈수록 다양화되면서 점점 더 사용자들의 데이터가 위협받고 있다. 일반적으로 피싱이란 사용자의 단말기에 저장된 데이터를 유출하는 공격으로 사용자 단말기에 존재하는 계정정보나 전자인증서, 주요 데이터 등을 탈취하는 공격을 의미한다. 또한, 랜섬웨어란 사용자의 단말기에 저장되었거나 연결된 네트워크 저장소에 보관된 데이터를 사용자가 접근할 수 없도록 암호화한 후, 금전을 요구하는 공격 기법을 말한다. 최근에는 데이터를 유출한 후 사용자가 사용하지 못하게 하는 것에서부터 단말기의 디스크 파티션을 조작하여 아예 PC 단말기를 사용하지 못하게 하는 것까지 그 방법과 형식이 다양해지고 있다.
이러한 피싱 공격에 대응하는 기존 방법으로는 PC내 저장공간을 암호화하고 해당특정 저장공간에 접근하는 프로세스가 사전에 지정된 프로세스인지 아닌지를 확인하는 기술이 사용되었으나, 해당 저장공간을 암호화하였더라도 암호화된 저장공간을 구성한 파일을 탈취하여 복호화하는 경우가 발생하고 있다.
또한 랜섬웨어 공격에 대응하는 기존 방법으로는 PC 내 자료를 안전한 저장 영역으로 주기적으로 백업하여 PC가 랜섬웨어에 걸려도 백업된 자료를 가져와 사용하는 방법이 있다. 그러나 이 방식에 의하더라도 최근 작업했던 파일에 대한 손실은 피할 수 없는 문제점이 있다. 다른 기존 방법으로는 파일 서버에 접근하는 프로세스를 사전에 등록해놓고 PC 내에서 인가된 프로세스만 자료에 접근 가능하도록 함으로써, 사전에 등록되지 않은 프로세스가 데이터 접근시 이를 차단하여 랜섬웨어 프로세스가 자료에 접근하지 못하도록 하는 방법이 있다. 그러나 이 방식은 인가된 프로세스를 사전에 등록해야 하는 불편함이 발생하고, 수시로 프로그램이 설치되는 경우 프로세스를 매번 번잡하게 등록할 수 없는 한계점도 있다.
또한 최근에는 랜섬웨어 자체가 PC 내 보관된 데이터만을 암호화 하는 것이 아니라 PC 전체를 암호화하거나, PC에 마운트된 디스크 전체를 암호화하여 랜섬머니를 요구하는 사례까지 발생하고 있는 바, 데이터 암호화를 방지하는 것만으로는 더 이상 충분하지 않는 상황이 발생하고 있다
게다가 PC뿐만 아니라 리눅스나 유닉스 서비스 서버에 놓여있는 전체 데이터까지 한번에 암호화하는 공격까지 발생하고 있어 근본적인 대안이 필요한 상황이다. 따라서 피싱을 예방하기 위하여 PC나 서비스서버에 생성한 암호화된 저장공간이 탈취되지 않도록 하면서, 랜섬웨어가 PC나 서비스서버에서 구동된다 하더라도 이에 따른 공격을 차단할 수 있는 새로운 기술이 필요하다.
본 발명은 별도의 서버 관리 인력 없이도 저렴하고 편리한 방법으로 서버에 보관된 데이터 및 백업된 데이터를 랜섬웨어로부터 안전하게 관리할 수 있는 서버용 랜섬웨어 공격 차단 방법 및 시스템을 제공하기 위한 것이다.
본 발명은 사용자 단말 또는 서비스 서버의 데이터를 유출해가기 위한 외부로부터의 피싱 공격을 예방 및 차단할 수 있는 방법 및 시스템을 제공하기 위한 것이다.
본 발명의 일 측면에 따르면, 랜섬웨어 공격 차단을 위한 서버용 시스템으로서,
서버와 물리적으로 독립된 별개의 저장 장치로서 상기 서버 내의 보관 데이터를 백업하기 위한 용도를 가지며, 상기 서버와의 통신 접속이 가능하도록 하는 통신 인터페이스를 포함한, 백업용 스토리지 장치; 및 상기 서버 내에 설치되어 상기 백업용 스토리지 장치와의 통신을 중개하는 서비스 에이전트;를 포함하고,
상기 백업용 스토리지 장치가 상기 서버에 스토리지 마운트된 상태에서, 상기 서버 내의 보관 데이터에 관한 상기 백업용 스토리지 장치로의 데이터 백업이 처리된 이후, 상기 백업용 스토리지 장치에 백업 처리된 백업 데이터에 관한 잠금 명령이 있는 경우,
상기 백업용 스토리지 장치는 상기 잠금 명령에 따라 해당 백업 데이터를 잠금 처리하여 해당 잠금 처리된 백업 데이터가 수정 불가능한 읽기 전용 모드로만 제공되도록 처리하는, 랜섬웨어 공격 차단 시스템이 제공된다.
일 실시예에서, 상기 백업용 스토리지 장치로의 데이터 백업은,
상기 서버 내의 보관 데이터에 관한 백업 명령이 이루어진 경우에 한하여, 상기 서비스 에이전트가 상기 서버로 수신된 백업 명령을 상기 백업용 스토리지 장치로 전달하고, 상기 백업용 스토리지 장치가 수신된 백업 명령에 따라 해당 보관 데이터를 백업함으로써 처리될 수 있다.
일 실시예에서, 상기 백업용 스토리지 장치는,
상기 서버로 수신된 데이터 수정 명령이 상기 서비스 에이전트로부터 전달된 경우, 상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터에 관한 것인지를 확인하고, 상기 잠금 처리된 백업 데이터에 관한 데이터 수정 명령인 것으로 확인된 경우 해당 데이터 수정 명령을 거부 처리할 수 있다.
일 실시예에서, 상기 백업용 스토리지 장치는,
상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터인 경우, 상기 잠금 처리된 백업 데이터가 상기 서버와는 다른 스토리지 장치에 스토리지 마운트되는 경우에도 상기 다른 스토리지 장치로부터 수신되는 해당 백업 데이터에 관한 데이터 수정 명령을 거부 처리하고 해당 백업 데이터가 읽기 전용 모드로만 제공되도록 처리할 수 있다.
일 실시예에서, 상기 백업용 스토리지 장치는,
상기 백업 데이터에 설정된 잠금 처리 상태를 해제하기 위한 하드웨어 스위치 또는 소프트웨어 스위치를 포함하되,
상기 잠금 처리된 백업 데이터에 대한 잠금 해제 명령이 상기 서비스 에이전트를 통해서 전달되는 경우에도, 상기 하드웨어 스위치 또는 상기 소프트웨어 스위치의 동작 전환을 통해 잠금 해제 상태로의 전환이 이루어지지 않은 경우에는 상기 잠금 해제 명령을 거부 처리할 수 있다.
일 실시예에서, 상기 백업용 스토리지 장치는,
상기 하드웨어 스위치 또는 상기 소프트웨어 스위치를 통해 상기 잠금 해제 상태로의 전환이 이루어진 경우, 잠금 처리 상태에 따른 상기 백업 데이터에 관한 읽기 전용 모드를 해제하여 해당 백업 데이터를 데이터 수정이 가능한 상태로 전환 처리할 수 있다.
일 실시예에서, 상기 잠금 해제 상태로의 전환은, 상기 백업용 스토리지 장치 내에 백업된 데이터 전체에 대하여 이루어지는 일괄 해제 방식 및 요청된 백업 데이터에 한하여 이루어지는 선택 해제 방식 중 어느 하나가 선택 가능하다.
본 발명의 다른 측면에 따르면, 피싱 방지 스토리지 장치; 사용자 단말 또는 서비스 서버에 설치되며, 상기 사용자 단말 또는 서비스 서버가 상기 피싱 방지 스토리지 장치와 네트워크를 통해 연결되어 상기 피싱 장지 스토리지 장치 내의 저장 영역이 네트워크 드라이브 형태로 마운트된 경우, 상기 피싱 방지 스토리지 장치와의 연동 동작을 수행하는 에이전트 프로그램;을 포함하는 피싱 공격 방지 시스템이 제공된다.
여기서, 상기 사용자 단말 또는 서비스 서버로부터 상기 피싱 방지 스토리지 장치에 보관된 파일에 관한 열기 요청이 있는 경우, 상기 피싱 방지 스토리지 장치는, 스토리지 동작 모드를 체크하고, 상기 스토리지 동작 모드가 리스트 온리 모드(List-only mode)에 해당하는 경우, 열기 요청된 원본 파일이 아닌 가짜 파일(fake file)을 생성하여, 상기 사용자 단말 또는 서비스 서버로 가짜 파일이 반환되도록 할 수 있다.
일 실시예에서, 상기 가짜 파일은, 열기 요청된 원본 파일과 파일 용량은 동일하되, 파일 본문이 널 값(null value) 또는 미지의 값(unknown value)으로 채워진 것일 수 있다.
일 실시예에서, 상기 에이전트 프로그램은, 상기 사용자 단말 또는 서비스 서버에 네트워크 드라이브 형태로 마운트되는 상기 피싱 방지 스토리지 장치 내의 보관 폴더 또는 파일에 관하여 사용자가 편집모드로의 전환 및 종료를 선택할 수 있도록 하는 선택 정보를 제공하고, 상기 파일 열기 요청이 상기 편집모드로의 전환에 따른 편집모드 열기 요청에 해당되는 경우, 상기 피싱 방지 스토리지 장치로 상기 리스트 온리 모드의 해제를 요청할 수 있다.
이때, 상기 피싱 방지 스토리지 장치는, 상기 편집모드 열기 요청에 따라 상기 리스트 온리 모드를 해제하고, 상기 열기 요청된 원본 파일이 상기 사용자 단말 또는 서비스 서버로 제공되도록 한다.
일 실시예에서, 상기 에이전트 프로그램은, 상기 사용자 단말 또는 서비스 서버로부터 사전 등록된 방식에 따른 상기 리스트 온리 모드의 해제 요청이 있는 경우, 상기 피싱 방지 스토리지 장치로 상기 리스트 온리 모드의 해제를 요청할 수 있다.
이때, 상기 피싱 방지 스토리지 장치는, 상기 리스트 온리 모드의 해제 요청에 따라, 상기 열기 요청된 원본 파일이 상기 사용자 단말 또는 서비스 서버로 제공되도록 한다.
여기서, 상기 리스트 온리 모드의 해제는, 사용자로부터 사전 등록 처리된 인증 장치를 통한 권한자 인증을 통해서 실행될 수 있다.
본 발명의 실시예에 따른 서버용 랜섬웨어 공격 차단 방법 및 시스템에 의하면, 별도의 서버 관리 인력 없이도 저렴하고 편리한 방법으로 서버에 보관된 데이터 및 백업된 데이터를 랜섬웨어로부터 안전하게 보호할 수 있는 효과가 있다.
본 발명의 실시예에 따른 피싱 공격 방지 방법 및 시스템에 의하면, 사용자 단말 또는 서비스 서버와 네트워크 연결되되 물리적으로는 독립된 별개의 저장 장치로서 보안 정책에 따라 리스트 온리 모드(List-only Mode)로 동작 가능한 피싱 방지용 스토리지 장치를 이용함으로써 외부로부터의 피싱 공격을 예방 및 차단할 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템에 있어서, 백업용 스토리지 장치가 서버에 스토리지 마운트되는 과정을 보여주는 도면.
도 2는 본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템에 있어서, 백업용 스토리지 장치가 데이터 백업 및 잠금 처리되는 과정을 보여주는 도면.
도 3은 본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템에 있어서, 백업용 스토리지 장치가 잠금 처리 해제되는 과정을 보여주는 도면.
도 4는 본 발명의 실시예에 따른 피싱 공격 방지 방법 및 시스템에 따른 기본 프로세스로서 리스트 온리 모드를 설명하기 위한 도면.
도 5는 본 발명의 실시예에 따른 리스트 온리 모드를 해제하여 파일을 편집 가능한 상태로 열기 위한 방법을 설명하기 위한 도면.
도 6은 본 발명의 실시예예 따른 리스트 온리 모드를 해제하는 과정에서 추가 인증을 수행하는 방법을 설명하기 위한 도면.
도 7은 윈도우 탐색기에서 피싱 공격 방지용 스토리지 장치의 저장공간이 네트워크 드라이브로 마운트된 후에, 사용자가 특정 파일을 ‘편집모드 열기' 또는 ' 편집모드 전환’하려는 경우에 대한 화면 예시.
도 8은 도 7의 편집 모드를 해제되도록 할 때 편집 모드 종료 명령을 전송할 수 있게 하는 실시 화면 예시.
본 발명의 제1 기술적 목적으로서, 랜섬웨어 공격을 차단하는 서버용 시스템에 대하여 이하 설명한다(도 1 ~ 도 3 참조).
이하, 도 1 ~ 도 3을 참조하여 본 발명의 일 실시예에 따른 랜섬웨어 공격을 차단하는 서버용 시스템을 설명하기에 앞서, 본 발명의 이해를 돕기 위해, 본 발명의 방식과 다른 방식들 간의 차이를 설명하면 아래와 같다.
종래의 선행기술 중 "프로그램 기반의 읽기 전용 스토리지" 구현 방식이 있는데, 이는 파일 보호 정책 상 인가된 프로그램인지 여부를 판단하여 인가된 프로그램이면 파일의 수정을 가능하게 하고 그렇지 않은 경우 읽기 전용 모드로만 동작되도록 하는 기술이다. 이러한 프로그램 기반 읽기 전용 스토리지 구현 방식은 기본적으로 파일 단위로 명령 및 응답이 이루어지게 되므로 파일 단위로 읽기 전용으로 파일을 제공하게 된다. 그러나 이러한 프로그램 기반의 읽기 전용 스토리지 구현 방식은 다음과 같은 취약점을 갖는다.
예를 들어, 리눅스 운영체제의 경우 관리자 계정(Admin account)이 탈취되게 되면, 백업 서버로 전달되는 모든 명령 또는 트래픽을 해커 측에서 열람할 수 있게 되므로, 해커가 백업 서버로 전달되는 명령을 지켜보다가 인가된 프로그램의 지문값 등을 탈취해서 리플레이 어택(즉, 해킹 프로그램을 그 인가된 프로그램 이름과 동일하게 하고, 탈취한 지문값을 백업 서버로 전달하여 마치 정상적인 프로그램인 것처럼 위장하는 공격)을 실시하면 위 기술의 보안 방식이 무력화되게 되는 취약점을 갖는다.
반면, 본 발명에 의하면, 전술한 바와 같이 관리자 계정이 탈취된 경우라도 해커에 의한 랜섬웨어 공격 등을 차단시킬 수 있게 된다. 이에 관해서는 후술할 본 발명에 관한 설명들로부터 명확히 이해될 수 있을 것이다.
다른 방식으로, "파일 생성 시간에 기반한 읽기 전용 스토리지" 구현 방식이 있다. 이는 자사에서 출원한 한국특허출원 제10-2018-0029490호에 의한 방식으로서, 파일을 읽기 전용으로만 제공하는 것을 기본으로 하되, 신규 파일의 생성이 필요한 경우에 한하여 해당 파일의 생성 요청 시점을 기준으로 소정의 시간(즉, 파일 생성 유효 시간 범위) 내에서 해당 파일의 생성을 허용하는 기술이며, 이 또한 파일 단위를 기본 단위로 하여 동작한다.
다만, 상술한 파일 생성 시간 기반의 읽기 전용 스토리지 구현 방식이 경우에도 경우에 따라서 다음과 같은 보안 상 취약점이 나타나게 된다. 즉, 파일 생성 과정에서 업로드되는 파일의 사이즈(용량)이 작은 파일은 문제가 되지 않지만, 사이즈가 큰 파일의 백업의 경우 상기 파일 생성 유효 시간 범위를 길게 줘야 하는데, 이와 같이 시간을 너무 오래 열어 놓고 있으면 그 시간 동안 외부 공격에 노출될 가능성이 커질 수 있다. 예를 들어, 백업의 경우 저장 효율을 높이기 위해서 하나의 파일 단위로 백업하는게 아니라 Tar나 ZIP 포맷으로 하나의 파일로 묶어서 백업하게 되는데 파일 사이즈가 너무 크게 되면 파일의 수정 가능 시간을 충분이 길게 부여하여야 하기 때문이다.
상술한 문제점들을 개선하기 위하여, 본 발명의 실시예에서는 "명령어 기반의 읽기 전용 스토리지" 구현 방식을 제안한다. 이러한 명령어 기반의 읽기 전용 스토리지 구현 방식은 백업 명령, 잠금 명령, 잠금 해제 명령에 의해 실행되며, 이때의 백업/잠금/잠금해제는 파일 단위로도 동작될 수 있음은 물론 폴더 단위로도 동작될 수 있다. 따라서 특정 파일에 대한 수정 요청이 있는 경우에도 해당 파일의 경로에 따라 해당 파일을 보관하고 있는 폴더(해당 폴더의 상위 폴더까지 확장됨)가 잠금 상태에 있는 경우에는 해당 파일에 관한 수정 요청이 거부된다.
이러한 백업/잠금/잠금해제 명령은 리눅스 운영체제에 의할 때 다음과 같은 명령어들에 따른 명령 구조가 활용될 수 있다.
백업 명령의 예
User>mount 192.10.1.1 localhost\backup
(Mkdir \backup\websource_backup_20190805)
Copy/Backup '\websource' '\backup\websource_backup_20190805'
잠금 명령의 예
freeze \backup\websource_backup_20190805
잠금 해제 명령의 예
Melt \backup\websource_backup_20190805 (OTP 201023)
상술한 바와 같이 잠금 해제 명령의 경우, 일회성 패스워드(OTP)에 의한 인증을 추가로 요구할 수도 있다.
상술한 바와 같이, 본 발명의 방식에 의하면, 백업된 자료를 매우 단순한 콘솔 명령(Console command)으로 특정 폴더 이하의 모든 파일 및 폴더를 잠금 처리하여 읽기 전용 모드로 바꿀 수 있다.
본 발명의 실시예에 따른 명령어 기반의 읽기 전용 스토리지 구현 방식에 의하면, 일반적으로 마운트되어 있는 드라이브에 파일을 요청하는 경우 해당 요청에 파일을 보관하는 폴더 경로도 포함되는데, 이와 같이 파일 및 폴더 경로를 기준으로 수정 요청을 제한하게 되면 매우 효율적인 보안 관리가 가능해지며, 또한 폴더 기준으로 보안 관리를 하게 되면 개별 파일별로 불필요한 메타데이터 관리(전술한 생성 시간 기반의 읽기 전용 스토리지 구현 방식의 경우 생성 시간 대비 현재 요청 시간의 차이, 전술한 프로그램 기반의 읽기 전용 스토리지 구현 방식의 경우 해당 프로그램의 속성 정보, 지문값 등)를 생략할 수 있는 이점이 있다.
이하, 도 1 ~ 도 3을 참조하여, 본 발명의 실시예들을 차례로 설명하기로 한다.
본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템은, 서버와 물리적으로 독립된 별개의 저장 장치로서 상기 서버 내의 보관 데이터를 백업하기 위한 용도를 가지며, 상기 서버와의 통신 접속이 가능하도록 하는 통신 인터페이스를 포함한 백업용 스토리지 장치(도 1 ~ 도 3의 "Mega Storage" 참조, 이하 동일함); 및 상기 서버 내에 설치되어 상기 백업용 스토리지 장치와의 통신을 중개하는 서비스 에이전트(도 1 ~ 도 3의 "Mega connector" 참조, 이하 동일함);를 포함한다.
본 발명의 랜섬웨어 공격 차단을 위한 서버용 시스템에서, 상기 백업용 스토리지 장치는, 네트워크 및 직접 연결 가능한 일반적인 스토리지와 동일한 환경을 제공한다. 즉,
NAS, DAS, SAN 등으로 연결된 일반적인 스토리지와 같이 mount / unmount를 제공하고, 운영체제의 I/O를 그대로 제공함으로 rsync와 같은 다양한 백업 유틸리티 및 툴들이 동작하는데 문제가 없도록 구현된다.
또한, 서비스 에이전트는, 그 설치 단계에서 운영체제의 서비스 레벨에서 구동될 수 있거나 운영체제의 프로그램 실행 환경 패스를 등록시켜서 어느 위치에서나 구동될 수 있도록 설치될 수 있다.
본 발명의 실시예에 의할 때, 상기 백업용 스토리지 장치가 상기 서버에 스토리지 마운트된 상태에서, 상기 서버 내의 보관 데이터에 관한 상기 백업용 스토리지 장치로의 데이터 백업이 처리된 이후, 상기 백업용 스토리지 장치에 백업 처리된 백업 데이터에 관한 잠금 명령이 있는 경우, 상기 백업용 스토리지 장치는 상기 잠금 명령에 따라 해당 백업 데이터를 잠금 처리하여 해당 잠금 처리된 백업 데이터가 수정 불가능한 읽기 전용 모드로만 제공되도록 처리하게 되는데, 이에 관해서는 이하 상세히 설명하기로 한다.
본 발명의 실시예에 의할 때, 상기 백업용 스토리지 장치로의 데이터 백업은, 상기 서버 내의 보관 데이터에 관한 백업 명령이 이루어진 경우에 한하여, 상기 서비스 에이전트가 상기 서버로 수신된 백업 명령을 상기 백업용 스토리지 장치로 전달하고, 상기 백업용 스토리지 장치가 수신된 백업 명령에 따라 해당 보관 데이터를 백업함으로써 처리될 수 있다. 이하 이에 관하여 도 1을 참조하여 설명한다. 여기서, 도 1은 본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템에 있어서, 백업용 스토리지 장치가 서버에 스토리지 마운트되는 과정을 보여주는 도면이다.
도 1을 참조할 때, 백업용 스토리지 장치(Mega Storage)는 실제 저장 장치를 내장하고 Hybrid WORM 프로그램을 탑재한 디바이스 또는 서버 장치를 의미하며, 서비스 에이전트(Mega Connector)는 고객 서비스 서버에 설치되어 백업용 스토리지 장치(Mega Storage)와 통신하는 모듈이다.
사용자가 자사 서비스 서버의 자료를 백업하기 위해서는 백업용 스토리지 장치(Mega Storage)를 자사 서비스 서버에 마운트(mount)하여야 한다. 사용자의 마운트(mount) 요청은 서비스 에이전트(Mega Connector)가 받아서 처리하며, 스토리지 마운트(mount)에 관련된 운영체제의 각종 I/O는 서비스 에이전트(Mega Connector)가 백업용 스토리지 장치(Mega Storage)를 통해 처리한 후 결과를 운영체제에 반환하는 방식으로 처리된다.
도 1의 예에서는 /media 라는 폴더 아래 backup이라는 새로운 폴더로 백업용 스토리지 장치(Mega Storage)가 마운트되는 예를 보여주고 있다.
또한 도 2는 백업용 스토리지 장치가 데이터 백업 및 잠금 처리되는 과정을 보여주는 도면이다.
본 발명의 실시예서, 상기 백업용 스토리지 장치는, 상기 서버로 수신된 데이터 수정 명령이 상기 서비스 에이전트로부터 전달된 경우, 상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터에 관한 것인지를 확인하고, 상기 잠금 처리된 백업 데이터에 관한 데이터 수정 명령인 것으로 확인된 경우 해당 데이터 수정 명령을 거부 처리한다.
도 2를 참조하면, 사용자가 /websource 의 자료를 /media/backup/websource/20180101 로 백업한 후(도 2의 (a) 참조), 잠금(lock, 이는 서비스 에이전트(Mega Connector)가 제공)을 요청하면 백업용 스토리지 장치(Mega Storage)는 해당 폴더를 잠금 처리함으로써, 이후부터는 읽기 전용 모드(read only mode)로만 동작되도록 한다(도 2의 (b) 및 (c) 참조).
이때, /media/backup/websource/20180101 폴더는 리눅스 운영체제의 경우 mkdir과 같은 명령으로 생성할 수 있다.
또한, 잠금 처리된 폴더들의 정보는 백업용 스토리지 장치(Mega Storage)의 비휘발성 메모리(데이터베이스 등)에 저장되어, 백업용 스토리지 장치(Mega Storage)에 전원 공급이 중단되어도 데이터 유지될 수 있다.
이후 사용자 또는 랜섬웨어(Ransomware)를 포함한 임의의 프로세서에 의해 /media/backup/websource/20180101 에 대한 데이터 수정 요청(예를 들어, write file, modify file, move file, delete file 등)은 모두 거부 처리된다.
또한 다른 실시예에 의할 때, 상기 백업용 스토리지 장치는, 상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터인 경우, 상기 잠금 처리된 백업 데이터가 상기 서버와는 다른 스토리지 장치에 스토리지 마운트되는 경우에도 상기 다른 스토리지 장치로부터 수신되는 해당 백업 데이터에 관한 데이터 수정 명령을 거부 처리하고 해당 백업 데이터가 읽기 전용 모드로만 제공되도록 처리할 수 있다.
즉, 잠금 처리된 폴더들의 정보는 백업용 스토리지 장치(Mega Storage)의 저장소 기준 경로로 설정(도 1의 예에서는 /websource/20180101)되며, 백업용 스토리지 장치(Mega Storage)가 다른 장치에 다른 경로(예를 들어 /media/data)에 마운트되더라도 /media/data/websource/20180101은 여전히 읽기 전용으로만 접금 가능하게 구현될 수 있다.
도 3은 백업용 스토리지 장치가 잠금 처리 해제되는 과정을 보여주는 도면이다.
본 발명의 실시예에서, 상기 백업용 스토리지 장치는, 상기 백업 데이터에 설정된 잠금 처리 상태를 해제하기 위한 하드웨어 스위치(예를 들어, 백업용 스토리지 장치에 구비된 잠금 설정 및 해제용 하드웨어 버튼 등) 또는 소프트웨어 스위치를 포함할 수 있다. 이에 따라, 상기 잠금 처리된 백업 데이터에 대한 잠금 해제 명령이 상기 서비스 에이전트를 통해서 전달되는 경우에도, 상기 하드웨어 스위치 또는 상기 소프트웨어 스위치의 동작 전환을 통해 잠금 해제 상태로의 전환이 이루어지지 않은 경우에는 상기 잠금 해제 명령을 거부 처리할 수 있다(도 3의 (d) 참조).
이에 따라, 상기 백업용 스토리지 장치는, 상기 하드웨어 스위치 또는 상기 소프트웨어 스위치를 통해 상기 잠금 해제 상태로의 전환이 이루어진 경우, 잠금 처리 상태에 따른 상기 백업 데이터에 관한 읽기 전용 모드를 해제하여 해당 백업 데이터를 데이터 수정이 가능한 상태로 전환 처리할 수 있다(도 3의 (e) 및 (f) 참조).
이때, 상기 잠금 해제 상태로의 전환은, 상기 백업용 스토리지 장치 내에 백업된 데이터 전체에 대하여 이루어지는 일괄 해제 방식 및 요청된 백업 데이터에 한하여 이루어지는 선택 해제 방식 중 어느 하나가 선택 가능하다.
상술한 바와 같이, 본 발명에서는, 기본적으로 한번 잠금 처리된 폴더 및 그 이하의 파일 및 폴더들에 대해서는 읽기 전용으로만 접근 가능하며, 사용자에 의한 임의의 잠금 해제는 불가능하도록 구현될 수 있다. 그러나 잠금 처리된 폴더가 증가하다 보면, 백업용 스토리지 장치(Mega Storage)의 쓰기 가능한 영역은 계속 줄어들게 된다. 따라서, 스토리지를 재사용할 수 있도록 잠금 해제할 수 있는 기능을 두어야 하는데, 본 발명의 백업용 스토리지 장치(Mega Storage)에서는 하드웨어 스위치(physical switch (the protect switch)) 또는 소프트웨어 스위치를 오프(off)하는 동작으로 잠금 해제가 처리되게 된다. 이와 같이 해당 스위치(The protect switch)가 오프(off)되어 있는 동안은 특정 폴더를 잠금 해제 처리하거나 백업용 스토리지 장치(Mega Storage) 전체를 잠금 해제 처리하는 것이 가능하다. 물론 하드웨어 스위치 및 소프트웨어 스위치의 온/오프 방식 이외에도 OTP(one time password)를 이용한 온/오프(즉, 잠금 및 잠금 해제) 방식도 적용 가능하다.
상술한 바와 같은 잠금 및 잠금 해제 방식과 관련하여서는 다음과 같은 다양한 방식이 더 존재할 수 있다. 이하 이에 관한 다양한 실시예들을 설명하기로 한다.
본 발명의 일 실시예에 의할 때, 백업용 스토리지 장치의 잠금 처리는 사전 지정된 잠금 명령(ex. freeze 명령어를 이용한 잠금 명령)이 수동 입력되어야만 실행되는(즉, 읽기 전용으로 변경하는) 방식에 의할 수도 있지만, 소정 조건에 따라 자동으로 실행되도록 할 수도 있다. 일 예로, 사용자 단말에 설치된 클라이언트 프로그램으로부터 해당 네트워크 드라이브로 들어오는 파일 이벤트가 파일/폴더 생성 이벤트(ex. create 이벤트)인 경우 해당 파일의 생성을 허용하다가, 해당 파일/폴더의 종료 이벤트(ex. close 이벤트)가 들어오면 자동으로 해당 파일/폴더에 관한 잠금 처리를 실행하는 방식이 적용될 수도 있다.
여기서, File handle을 close하는 I/O event를 발생시키는 C 함수로는 윈도우즈 OS에 의할 때 아래의 2가지 C 함수가 대표적으로 이용될 수 있다.
int fclose(FILE *stream)
BOOL CloseHandle(HANDLE hObject)
또한 여기서, File handle을 close하는 I/O event를 발생시키는 C 함수로는 Linux / Unix OS에 의할 때 아래와 같은 C 함수가 대표적으로 이용될 수 있다.
int close(int fd)
위와 같이 File Handle을 닫는 API를 프로그램이 호출하면, File handle을 close하는 I/O event가 발생하며, 이 event는 File System에게 전달된다. 이 경우, Windows는 Callback File System (File System Driver)에 의해 이 I/O가 감지되며, Linux는 FUSE를 통해 이 I/O가 감지될 수 있다.
또한 특정 Application이 File Handle을 열어둔 채로 종료하게 되면 일반적으로 OS에 의해 강제로 열려진 File Handle 들이 닫혀지고 이때에도 동일한 event I/O가 발생한다.
위에 설명한 함수는 C 언어에서 사용하는 것들이며, 각 언어별로 파일 핸들을 닫는 함수들이 별도로 존재한다. 해당 함수들은 모두 File System으로 File handle을 Close 하는 Event을 발생시킨다.
또한 이상에서는 하드웨어 스위치 등을 이용한 온/오프 선택을 통해서 백업용 스토리지 장치에 보관된 데이터를 폴더 단위로 읽기 전용화하거나 읽기 전용 해제하는 방식을 주로 설명하였지만, 시스템 설계 방식에 따라 상술한 바와 같이 파일의 종료 이벤트를 감지하여 자동으로 읽기 전용 모드로 변경하는 방식을 채용하되, 하드웨어 스위치 등이 온된 상태에서는 해당 디스크의 초기화 명령이 있는 경우에도 디스크 초기화가 동작되지 않는 방식이 적용될 수도 있다.
본 발명의 제2 기술적 목적으로서, 피싱 공격을 차단하는 시스템에 대하여 이하 설명한다(도 4 ~ 도 8 참조).
이하, 도 4 ~ 도 8을 참조하여 본 발명의 다른 실시예에 따른 피싱 공격을 차단하는 서버용 시스템을 설명하기에 앞서, 본 발명의 이해를 돕기 위해, 본 발명의 방식과 다른 방식들 간의 차이를 설명하면 아래와 같다.
종래의 선행기술들에 의하면, 해커에 의한 악성 프로그램의 부지불식간의 설치에 의해 PC 등의 사용자 단말, 서비스 서버에 보관된 데이터들의 유출 및 개작을 방지하기 위하여, 파일 보안 정책 상 보안이 필요한 파일들을 보안 저장 영역에 별도 보관하는 방식을 이용하거나, 인가된 프로그램에 한하여 파일을 편집할 수 있도록 허용하는 방식을 이용하거나, 또는 읽기 전용 스토리지로 구성하여 읽기 전용 모드로만 파일을 열수 있도록 허용하는 방식 등이 이용되어왔다.
그러나 보안 저장 영역에 별도 보관하는 방식과 인가된 프로그램에 한하여 파일 편집을 허용하는 방식은, 운영체제의 관리자 계정(Admin account)이 탈취됨과 동시에 무력화되는 취약성을 갖는다. 위와 같이 관리자 계정이 탈취되는 경우, 입출력되는 모든 명령 또는 트래픽을 해커 측에서 열람할 수 있게 되므로, 해커가 해당 입출력 명령을 지켜보다가 인가된 프로그램의 지문값 등을 탈취해서 리플레이 어택(즉, 해킹 프로그램을 그 인가된 프로그램 이름과 동일하게 하고, 탈취한 지문값을 백업 서버로 전달하여 마치 정상적인 프로그램인 것처럼 위장하는 공격) 등을 실시하면 위 기술의 보안 방식이 무력화되게 된다.
또한 읽기 전용 스토리지로 구성하여 읽기 전용 모드로만 파일을 열수 있도록 허용하는 방식의 경우에도, 랜섬웨어 공격(ransomware attack)에는 강인하지만, 읽기 전용으로 열린 파일의 내용을 캡춰하는 등의 방식으로 데이터 유출이 가능하므로 피싱 공격에 무력화될 가능성이 있다.
상술한 문제점들을 개선하기 위하여, 본 발명의 실시예에서는 “리스트 온리 모드(List-only Mode)"로서 기본 동작하는 물리적으로 독립된 별개의 스토리지 장치(이하, 피싱 공격 방지 스토리지 장치라 명명함)를 이용함으로써 상술한 바와 같은 취약성 문제를 개선하고 피싱 공격에 의한 데이터 유출을 방지할 수 있는 방법을 제안한다.
이하, 첨부된 도면들을 참조하여 본 발명의 실시예를 차례로 상세히 설명한다.
도 4는 본 발명의 실시예에 따른 피싱 공격 방지 방법 및 시스템에 따른 기본 프로세스로서 리스트 온리 모드를 설명하기 위한 도면이다.
본 명세서에서는 설명의 편의 및 집중을 위해, PC와 같은 사용자 단말이 피싱 공격 방지 스토리지 장치와 네트워크 연결되어 피싱 공격 방지 스토리지 장치 전체 저장 영역 또는 특정 저장 영역이 사용자 단말에 네트워크 드라이브 형태로 마운트되는 경우를 중심으로 설명한다. 다만, 본 발명은 리눅스나 유닉스 시스템에 기반한 서비스 서버가 상기 피싱 공격 방지 스토리지 장치의 저장 영역을 마운트하여 사용하는 경우도 동일하게 적용될 수 있음은 자명하다.
도 4를 참조하면, 사용자가 List-only 상태의 파일을 파일 탐색기를 통해 열기를 시도하면, 파일 탐색기는 해당 파일 확장자를 처리할 기본 프로그램(예를 들어, docx 확장자를 처리할 기본 프로그램 WINWORD.EXE)을 실행한 후 파일 정보를 전달한다. 기본 프로그램은 운영체제를 통해 파일 읽기를 요청하고 이는 파일 시스템 드라이버(File system driver)로서 동작하는 에이전트 프로그램(이하, 이를 파일링박스 미니 어플리케이션이라 지칭함)을 거쳐 피싱 공격 방지 스토리지 장치(이하, 이를 파일링박스 미니 장치라 지칭함)에 전달된다.
파일링박스 미니 장치는 요청된 파일의 List-Only 모드를 체크하여 (List-Only 모드일 경우) 가짜 자료를 반환하고 이는 기본 프로그램에게 제공된다. 이에 따라 사용자는 최종적으로 가짜 자료를 가진 문서를 보거나 가짜 자료로 인해 기본 프로그램이 발생시킨 오류를 확인하게 된다.
상기 가짜 파일은, 열기 요청된 원본 파일과 파일 용량은 동일하되, 파일 본문이 널 값(null value) 또는 아무런 의미를 알 수 없는 미지의 값(unknown value)으로 채워질 수 있다.
도 5는 본 발명의 실시예에 따른 리스트 온리 모드를 해제하여 파일을 편집 가능한 상태로 열기 위한 방법을 설명하기 위한 도면이다.
도 5를 참조하면, 사용자가 파일 탐색기에서 특정 파일을 선택한 후 우측 마우스 버튼을 클릭하여 파일 탐색기의 쉘 익스텐션(Shell Extension)의 Context Menu를 팝업한 후 ‘편집모드로 열기' 메뉴를 선택하면 파일 탐색기는 파일링박스 미니 어플리케이션에게 해당 파일의 List-Only 모드 해제를 요청하고 파일링박스 미니 어플리케이션은 이 요청을 파일링박스 미니 장치에게 수행하도록 한다. 해당 파일의 List-Only 모드가 정상적으로 해제되면 파일 탐색기는 해당 파일의 확장자를 처리할 기본 프로그램을 실행한 후 파일 정보를 전달하고 기본 프로그램은 운영체제, 파일링박스 미니 어플리케이션을 거쳐 파일링박스 미니 장치에게서 원본 자료를 읽어 처리하게 된다.
도 6은 본 발명의 실시예예 따른 리스트 온리 모드를 해제하는 과정에서 추가 인증을 수행하는 방법을 설명하기 위한 도면이다.
도 6을 참조하면, 사용자가 특정 파일을 사용 가능한 형태로 열고자 할 때 추가적인 OTP 인증을 거쳐 해당 파일의 List-Only 모드를 해제하는 과정이다.
사용자는 자신의 OTP 장치 (모바일 등)를 파일링박스 미니 장치에 최초 한번 등록해야 한다.
사용자는 파일링박스 미니 어플리케이션을 통해 자신의 아이디와 함께 장치 등록을 요청하고 요청을 전달 받은 파일링박스 미니 장치는 내부의 장치 인증부에게 해당 사용자 아이디에서 사용할 신규 TOTP Parameter의 생성 및 등록을 요청한다. 정상적으로 장치 인증부에 등록된 TOTP Parameter는 파일링박스 미니 어플리케이션에 전달되어 사용자에게 노출된다. 사용자는 해당 TOTP Parameter를 자신의 OTP 장치에 등록하면 초기 OTP 장치 등록 과정이 완료된다.
이후 사용자가 파일 탐색기에서 특정 파일을 선택한 후 우측 마우스 버튼을 클릭하여 파일 탐색기(Shell Extension)의 Context Menu를 팝업한 후 ‘편집모드로 열기' 메뉴를 선택하면 파일링박스 미니 어플리케이션은 파일링박스 미니 장치로부터 인증 정책을 조회하여 OTP 인증이 필요함을 인지하고 사용자에게 TOTP 값을 요청한다. 사용자는 자신의 OTP 장치에서 TOTP 값을 얻어 파일링박스 미니 장치에 제공하고 이 값을 전달받은 파일링박스 미니 장치는 내부의 장치 인증부에게 인증을 요구한다. 인증이 성공적으로 이루어지면 파일링박스 미니 장치는 해당 파일의 List-Only 모드를 해제하여 사용 가능한 상태로 변경한다.
여기서, 도 7은 윈도우 탐색기에서 피싱 공격 방지용 스토리지 장치의 저장공간이 네트워크 드라이브로 마운트된 후에, 사용자가 특정 파일을 ‘편집모드 열기’ 또는 ‘ 편집모드 전환’하려는 경우에 대한 화면 예시이고, 도 8은 도 7의 편집 모드를 해제되도록 할 때 편집 모드 종료 명령을 전송할 수 있게 하는 실시 화면 예시이다.
또한 상술한 편집 모드로의 전환 또는/및 편집 모드 종료의 처리는 단위 파일 단위로 이루어질 수도 있지만, 경우에 따라서는 파일 구동 상 필요한 범위 내에서 혹은 설정된 범위 내에서 복수의 파일에서 동시에 이루어질 수도 있다. 일 예로, 캐드나 소프트웨어 개발툴의 경우에서처럼 하위 폴더를 갖고 있는 참조 파일을 동시에 접근해서 사용해야 할 필요가 있는 경우에는 어느 하나의 파일에 관한 편집 모드로의 전환/종료 조작에 의하더라도, 이와 연관되는 해당 하위 폴더 전체 또는 하위 폴더 내의 참조 파일들을 함께 편집 모드로 전환/종료 처리할 수도 있을 것이다.
이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.

Claims (4)

  1. 피싱 공격 방지 시스템으로서,
    피싱 공격 방지 스토리지 장치;
    사용자 단말 또는 서비스 서버에 설치되며, 상기 사용자 단말 또는 서비스 서버가 상기 피싱 공격 방지 스토리지 장치와 네트워크를 통해 연결되어 상기 피싱 공격 방지 스토리지 장치 내의 저장 영역이 네트워크 드라이브 형태로 마운트된 경우, 상기 피싱 공격 방지 스토리지 장치와의 연동 동작을 수행하는 에이전트 프로그램;을 포함하고,
    상기 사용자 단말 또는 서비스 서버로부터 상기 피싱 공격 방지 스토리지 장치에 보관된 파일에 관한 열기 요청이 있는 경우,
    상기 피싱 공격 방지 스토리지 장치는, 스토리지 동작 모드를 체크하고, 상기 스토리지 동작 모드가 리스트 온리 모드(List-only mode)에 해당하는 경우, 열기 요청된 원본 파일이 아닌 가짜 파일(fake file)을 생성하여, 상기 사용자 단말 또는 서비스 서버로 가짜 파일이 반환되도록 하는 것을 특징으로 하는, 피싱 공격 방지 시스템.
  2. 제1항에 있어서,
    상기 가짜 파일은, 열기 요청된 원본 파일과 파일 용량은 동일하되, 파일 본문이 널 값(null value) 또는 미지의 값(unknown value)으로 채워지는 것을 특징으로 하는, 피싱 공격 방지 시스템.
  3. 제2항에 있어서,
    상기 에이전트 프로그램은,
    상기 사용자 단말 또는 서비스 서버에 네트워크 드라이브 형태로 마운트되는 상기 피싱 공격 방지 스토리지 장치 내의 보관 폴더 또는 파일에 관하여 사용자가 편집모드로의 전환 및 종료를 선택할 수 있도록 하는 선택 정보를 제공하고,
    상기 파일 열기 요청이 상기 편집모드로의 전환에 따른 편집모드 열기 요청에 해당되는 경우, 상기 피싱 공격 방지 스토리지 장치로 상기 리스트 온리 모드의 해제를 요청하고,
    상기 피싱 공격 방지 스토리지 장치는,
    상기 편집모드 열기 요청에 따라 상기 리스트 온리 모드를 해제하고, 상기 열기 요청된 원본 파일이 상기 사용자 단말 또는 서비스 서버로 제공되도록 하는 것을 특징으로 하는, 피싱 공격 방지 시스템.
  4. 제2항에 있어서,
    상기 에이전트 프로그램은, 상기 사용자 단말 또는 서비스 서버로부터 사전 등록된 방식에 따른 상기 리스트 온리 모드의 해제 요청이 있는 경우, 상기 피싱 공격 방지 스토리지 장치로 상기 리스트 온리 모드의 해제를 요청하고,
    상기 피싱 공격 방지 스토리지 장치는, 상기 리스트 온리 모드의 해제 요청에 따라, 상기 열기 요청된 원본 파일이 상기 사용자 단말 또는 서비스 서버로 제공되도록 하되,
    상기 리스트 온리 모드의 해제는, 사용자로부터 사전 등록 처리된 인증 장치를 통한 권한자 인증을 통해서 실행되는 것을 특징으로 하는, 피싱 공격 방지 시스템.
KR1020217041054A 2019-11-27 2019-11-27 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템 KR20210156309A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
PCT/KR2019/016426 WO2021107177A1 (ko) 2019-11-27 2019-11-27 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템
KR1020217001669A KR20210068388A (ko) 2019-11-27 2019-11-27 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020217001669A Division KR20210068388A (ko) 2019-11-27 2019-11-27 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR20210156309A true KR20210156309A (ko) 2021-12-24

Family

ID=76130612

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020217001669A KR20210068388A (ko) 2019-11-27 2019-11-27 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템
KR1020217041054A KR20210156309A (ko) 2019-11-27 2019-11-27 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020217001669A KR20210068388A (ko) 2019-11-27 2019-11-27 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템

Country Status (5)

Country Link
US (3) US11811790B2 (ko)
JP (2) JP7489672B2 (ko)
KR (2) KR20210068388A (ko)
CN (1) CN114080782B (ko)
WO (1) WO2021107177A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230173339A (ko) * 2022-06-17 2023-12-27 (주)나무소프트 데이터 보호 시스템

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180088551A (ko) 2017-01-26 2018-08-06 삼성디스플레이 주식회사 표시 장치
US11509691B2 (en) * 2020-05-15 2022-11-22 Paypal, Inc. Protecting from directory enumeration using honeypot pages within a network directory
US20230009355A1 (en) * 2021-07-06 2023-01-12 Cyntegra Ltd Method and Apparatus for Securely Backing Up and Restoring a Computer System

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7536598B2 (en) * 2001-11-19 2009-05-19 Vir2Us, Inc. Computer system capable of supporting a plurality of independent computing environments
US7953913B2 (en) * 2008-04-10 2011-05-31 Sandisk Il Ltd. Peripheral device locking mechanism
US9176825B2 (en) * 2008-12-31 2015-11-03 Symantec Corporation Granular application data lifecycle sourcing from a single backup
US9678965B1 (en) * 2009-06-29 2017-06-13 Veritas Technologies Llc System and method for enforcing data lifecycle policy across multiple domains
US20120210398A1 (en) * 2011-02-14 2012-08-16 Bank Of America Corporation Enhanced Backup and Retention Management
US20140068270A1 (en) * 2011-05-20 2014-03-06 Gurudatt Shenoy Systems And Methods For Device Based Secure Access Control Using Encryption
US20130263226A1 (en) 2012-01-22 2013-10-03 Frank W. Sudia False Banking, Credit Card, and Ecommerce System
KR101385688B1 (ko) * 2012-09-12 2014-04-15 (주)나무소프트 파일 관리 장치 및 방법
EP3292471B1 (en) * 2015-05-04 2021-11-17 Hasan, Syed Kamran Method and device for managing security in a computer network
US10049215B2 (en) * 2015-09-15 2018-08-14 The Johns Hopkins University Apparatus and method for preventing access by malware to locally backed up data
KR102107277B1 (ko) * 2016-08-08 2020-05-06 (주)나무소프트 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템
US10409629B1 (en) * 2016-09-26 2019-09-10 EMC IP Holding Company LLC Automated host data protection configuration
US10289844B2 (en) * 2017-01-19 2019-05-14 International Business Machines Corporation Protecting backup files from malware
US10708308B2 (en) * 2017-10-02 2020-07-07 Servicenow, Inc. Automated mitigation of electronic message based security threats
KR102034678B1 (ko) * 2018-02-09 2019-10-21 주식회사 안랩 데이터파일 접근 제어 기반의 악성 차단 시스템 및 악성 차단 방법
CN110472443A (zh) * 2018-05-11 2019-11-19 威尔奇·伊沃 一种数据安全方法和带开关的本地设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230173339A (ko) * 2022-06-17 2023-12-27 (주)나무소프트 데이터 보호 시스템

Also Published As

Publication number Publication date
US11811790B2 (en) 2023-11-07
JP2023503760A (ja) 2023-02-01
JP7489672B2 (ja) 2024-05-24
CN114080782B (zh) 2024-04-26
US20230132303A1 (en) 2023-04-27
US20210336970A1 (en) 2021-10-28
KR20210068388A (ko) 2021-06-09
WO2021107177A1 (ko) 2021-06-03
JP2024038306A (ja) 2024-03-19
US20240031384A1 (en) 2024-01-25
CN114080782A (zh) 2022-02-22

Similar Documents

Publication Publication Date Title
EP1866789B1 (en) Mobile data security system and methods
US8103883B2 (en) Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption
KR20210156309A (ko) 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템
CA2759612C (en) Method and system for securing data
US10033743B2 (en) Methods and systems for a portable data locker
EP3525127B1 (en) System for blocking phishing or ransomware attack
US8166515B2 (en) Group policy for unique class identifier devices
US20100266132A1 (en) Service-based key escrow and security for device data
US20010044904A1 (en) Secure remote kernel communication
GB2496841A (en) Method of securing a computing device
US10013558B1 (en) Method and computer readable medium for secure software installation mechanism
EP3438864B1 (en) Method and system for protecting a computer file against possible malware encryption
KR20200013013A (ko) 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템
KR102340604B1 (ko) 서버용 랜섬웨어 공격 차단 방법 및 시스템
KR101552688B1 (ko) 엔드포인트 단의 사용자 정책 설정에 따른 데이터 보안 방법 및 시스템
CN115952543A (zh) Pcie加密卡、管理应用系统、硬盘读写方法、设备及介质

Legal Events

Date Code Title Description
A107 Divisional application of patent
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E601 Decision to refuse application
E801 Decision on dismissal of amendment