WO2010024606A2

WO2010024606A2 - 정상 파일 데이터베이스 제공 시스템 및 방법

Info

Publication number: WO2010024606A2
Application number: PCT/KR2009/004788
Authority: WO
Inventors: 황규범
Original assignee: 주식회사 안철수 연구소
Priority date: 2008-08-29
Filing date: 2009-08-27
Publication date: 2010-03-04
Also published as: KR20100026196A; US20110161364A1; KR100996855B1; WO2010024606A3

Abstract

본 발명에 따른 정상 파일 데이터베이스 제공 시스템은, 서로 상이한 운영체제별로 구축된 정상 파일 데이터베이스가 저장되어 있는 데이터베이스 서버와, 안티 바이러스 프로그램이 설치된 단말기의 운영체제 정보를 토대로 데이터베이스 서버를 통해 운영체제 정보에 대응되는 정상 파일 데이터베이스를 검색하고, 검색된 정상 파일 데이터베이스를 통신망을 통해 단말기에 제공하는 파일 제공 서버를 포함한다. 이와 같이, 본 발명은 바이러스 및 악성 코드와 같은 외부의 침입에 노출되지 않은 상태에서 정상 파일 데이터베이스를 생성한 후 이를 통신망을 통해 단말기에 제공함으로서, 정상 파일 데이터베이스의 신뢰성을 향상시킬 수 있다.

Description

정상 파일 데이터베이스 제공 시스템 및 방법

본 발명은 안티 바이러스 프로그램에서 이용되는 정상 파일 데이터베이스에 관한 것으로, 더욱 상세하게는 바이러스 및 악성 코드와 같은 외부의 침입에 노출되지 않은 상태에서 정상 파일 데이터베이스를 생성한 후 이를 통신망을 통해 단말기에 제공하는 정상 파일 데이터베이스 제공 시스템 및 방법에 관한 것이다.

일반적으로, 안티 바이러스 프로그램 혹은 악성코드 진단 및 치료 프로그램은 바이러스 및 악성 코드의 진단 속도를 향상시키기 위해 단말기 내에 정상 파일의 관련 정보를 저장하는 데이터베이스를 구축한다.

데이터베이스 구성 시 정상 파일의 필터링 방법은 단말기 내의 파일 시스템 상의 파일의 기본 정보를 파악하여 파일의 변경 여부를 파악하고, 만일 파일이 변경되었다면 파일의 중요 내용을 파악하여 실제 변동 내역을 토대로 검증한다.

한편, 안티바이러스 프로그램이 파일 시스템 상의 기본 정보만으로 바이러스 또는 악성 코드 존재를 파악할 경우, 내용의 증가 없는 수정, 예컨대 코드 패치 내지 바이러스 감염의 경우에 악성 코드를 제대로 감지하지 못하는 단점이 있다.

이러한 단점을 해결하기 위해서 안티바이러스 프로그램의 감시기에서는 해당 파일에 대한 쓰기를 모니터링하는 방법과 헤더 상에 빈 영역(패딩 영역)을 검증하는 방법을 이용하여 파일의 수정 여부를 판단한다.

이와 같이, 안티 바이러스 프로그램이 감시할 대상은 정상 파일 관련 정보가 저장되어 있는 데이터베이스에 존재하는 파일이 되는데, 데이터베이스에 존재하지 않는 파일에 대해서는 스킵(skip)하거나 감시 대상에 포함시키지 않는다. 이와 관련하여, 파일 관련 정보는 각 파일을 대표하는 값들로 구성되며, 파일이 존재하는 전체 경로의 메시지 다이제스트 값(CRC64 등과 같은 값), 파일 작성 날짜, 파일 내용의 중요부를 축약한 메시지 다이제스트 값, 파일의 패딩 영역의 메시지 다이제스트 값, 및 파일의 전체 내용에 대한 메시지 다이제스트 값을 포함한다.

즉, 안티 바이러스 프로그램은 데이터베이스에 저장된 파일 관련 정보를 토대로 단말기 내의 파일 변경 유무를 체크한 후 이를 이용하여 바이러스 및 악성 코드를 진단 및 치료한다. 더욱 상세하게는 안티 바이러스 프로그램이 단말기 내에 저장된 파일 관련 정보와 데이터베이스에 저장된 파일 관련 정보를 비교하여 같은 경우 검사를 스킵하고, 변경된 경우 해당 파일을 검사하여 바이러스 및 악성 코드에 감염되었는지를 판단한 후 치료를 수행한다.

파일 관련 정보를 비교하는 방법의 예로는 파일의 해쉬값을 산출하는 방법이 존재한다.

이러한 데이터베이스는 안티 바이러스 프로그램의 엔진 업데이트 주기 시에 리셋되며, 엔진 업데이트 시 단말기 내의 파일 관련 정보를 이용하여 재구성된다. 전술한 바와 같이, 데이터베이스 구성 시 단말기 내의 파일 시스템 상의 기본 정보를 파악하여 파일의 변경 여부를 파악하고, 변경되었다면 파일의 중요 내용을 파악하여 실제 변동 내역을 토대로 파일 변경을 검증함으로써, 정상 파일의 필터링을 수행한다.

그러나, 안티 바이러스 프로그램의 바이러스 및 악성 코드 진단을 위한 정상 파일 데이터베이스는 단말기 내에 설치되기 때문에 설치 당시 단말기 내 존재하는 신종 또는 미진단 샘플이 있을 경우 악성 파일이 정상 파일로 설정되는 문제점이 있다.

또한, 종래의 정상 파일 데이터베이스는 엔진 업데이트 주기에 맞춰서 리셋되어 재구성되기 때문에 엔진 업데이트 전에 미진단 및 신종 악성 코드에 의해 감염된 파일이 정상 파일로 설정되어 안티 바이러스 프로그램이 감염된 파일을 정상 파일로 인식하는 문제점이 있다.

또한, 최근 엔진 업데이트 주기가 빠른 경우에는 데이터베이스의 리셋 빈도가 잦아 효율성이 떨어지는 문제점이 있다.

본 발명은 백신 업체와 같은 회사에서 운영하는 정상 파일 데이터베이스 제공 서버에서 바이러스 및 악성 코드와 같은 외부의 침입에 노출되지 않은 상태에서 정상 파일 데이터베이스를 생성한 후 이를 통신망을 통해 단말기에 제공하는 정상 파일 데이터베이스 제공 시스템 및 방법을 제공하는 것이다.

본 발명에 따른 정상 파일 데이터베이스 제공 시스템은, 서로 상이한 운영체제별로 구축된 정상 파일 데이터베이스가 저장되어 있는 데이터베이스 서버와, 안티 바이러스 프로그램이 설치된 단말기의 운영체제 정보를 토대로 상기 데이터베이스 서버를 통해 상기 운영체제 정보에 대응되는 정상 파일 데이터베이스를 검색하고, 상기 검색된 정상 파일 데이터베이스를 통신망을 통해 상기 단말기에 제공하는 파일 제공 서버를 포함한다.

본 발명에 따른 정상 파일 데이터베이스 제공 방법은, 서로 상이한 운영체제별로 구축된 정상 파일 데이터베이스가 저장되어 있는 데이터베이스 서버를 이용한 정상 파일 데이터베이스 제공 방법으로서, 안티 바이러스 프로그램이 설치된 다수의 단말기들에 대한 운영체제 정보를 파악하는 단계와, 상기 파악된 운영체제 정보에 의거하여 상기 파악된 운영체제와 동일한 운영체제가 설치된 단말기에 적합한 정상 파일 데이터베이스를 검색하는 단계와, 상기 검색된 각각의 정상 파일 데이터베이스를 상기 통신망을 통해 상기 각 단말기에 제공하는 단계를 포함한다.

따라서, 본 발명은 바이러스 및 악성 코드와 같은 외부의 침입에 노출되지 않은 상태에서 정상 파일 데이터베이스를 생성한 후 이를 통신망을 통해 단말기에 제공함으로서, 정상 파일 데이터베이스의 신뢰성을 향상시킬 수 있다.

또한, 본 발명은 임의의 서버에서 서로 상이한 운영체제별로 정상 파일 데이터베이스를 구축한 후 이를 통신망을 통해 단말기에 배포함으로서, 단말기 자체적으로 정상 파일 데이터베이스를 구축할 필요가 없기 때문에 단말기에서 부하를 줄일 수 있다.

도 1은 본 발명의 바람직한 실시 예에 따른 정상 파일 데이터베이스 제공 시스템의 개략적인 구성을 도시한 블록도이며,

도 2는 본 발명의 바람직한 실시 예에 따른 정상 파일 데이터베이스 제공 방법을 도시한 흐름도이다.

이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 아울러 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.

도 1은 본 발명의 바람직한 실시 예에 따라 정상 파일 데이터베이스 제공 시스템의 개략적인 구성을 도시한 블록도로서, 데이터베이스 서버(100), 파일 제공 서버(110), 업데이트 서버(120), 통신망(130) 및 다수의 단말기(140)를 포함한다.

다수의 단말기(140)에는 안티 바이러스 프로그램 혹은 악성코드 진단 및 치료 프로그램이 설치되어 있으며, 안티 바이러스 프로그램 혹은 악성코드 진단 및 치료 프로그램의 구동 시에 필요한 정상 파일 데이터베이스가 설치된다.

데이터베이스 서버(100)는 서로 다른 운영체제, 예컨대 Windows 98, Windows 2000, Windows XP, Vista, 리눅스 등의 정상 파일 데이터베이스를 저장하고 있으며, 파일 제공 서버(110)의 요청에 따라 정상 파일 데이터베이스를 검색하여 파일 제공 서버(110)에 제공한다.

또한, 데이터베이스 서버(100)는 각각의 운영체제에 대한 패치 정보가 통신망(130)을 통해 수신하고, 수신된 운영체제의 패치 정보를 토대로 임의의 운영체제의 정상 파일 데이터베이스를 업데이트시킨다.

여기서, 정상 파일 데이터베이스는 바이러스 및 악성 코드에 노출되지 않은 상태에서 운영체제가 설치된 저장매체, 예컨대 하드디스크 또는 광 디스크에 저장된 파일 관련 정보를 이용하여 구성된다. 더욱 상세하게는 정상 파일 데이터베이스는 운영체제뿐만 아니라 기본적인 유틸리티, 예컨대 워드, 한글, 압축 해제 프로그램, 미디어 재생 프로그램 등이 설치된 저장매체 내 파일 관련 정보를 이용하여 구성된다.

파일 제공 서버(110)는 통신망(130)을 통해 다수의 단말기(140)에 정상 파일 데이터베이스를 배포하는 기능을 수행하며, 각 단말기(140)에 설치된 운영체제 정보를 제공받은 후 이를 토대로 운영체제 정보에 해당되는 정상 파일 데이터베이스를 데이터베이스 서버(100)로부터 제공받고, 제공받은 정상 파일 데이터베이스를 각 단말기(140)에 제공한다.

파일 제공 서버(110)는 안티 바이러스 프로그램의 업데이트 엔진을 제공하는 서버를 이용하여 구성될 수도 있다. 이런 경우 업데이트 엔진 배포 시에 각 단말기(140)의 운영체제 정보를 파악한 후 이를 토대로 정상 파일 데이터베이스를 각 단말기(140)에 배포한다.

파일 업데이트 서버(120)는 데이터베이스 서버(100) 내 임의의 운영체제에 연관된 정상 파일 데이터베이스가 업데이트됨에 따라 업데이트된 정상 파일 데이터베이스를 임의의 운영체제와 동일한 운영체제가 설치된 단말기(140)에 제공한다. 특히 파일 업데이트 서버(120)는 안티 바이러스 프로그램의 업데이트 엔진이 배포될 때 업데이트된 정상 파일 데이터베이스를 통신망(130)을 통해 임의의 운영체제가 설치된 단말기(140)에 제공한다.

단말기(140)에 설치된 안티 바이러스 프로그램은 통신망(130)을 통해 파일 제공 서버(110)로부터 제공받은 정상 파일 데이터베이스를 이용하여 바이러스 및 악성 코드에 감염되지 않은 정상 파일들을 진단하여 불필요한 바이러스 및 악성 코드의 진단을 스킵하게 된다.

여기서, 단말기(140)는 제공받은 정상 파일 데이터베이스를 자신의 저장매체에 저장된 파일 관련 정보와 비교하여 정상 파일 데이터베이스를 업데이트시킬 수 있다. 즉, 정상 파일 데이터베이스에 저장된 파일 관련 정보 중에서 단말기(140)의 저장매체에 저장된 파일의 관련 정보만 추출하여 정상 파일 데이터베이스를 재구성할 수 있다.

상기와 같은 구성을 갖는 정상 파일 데이터베이스 제공 시스템이 동작하는 과정에 대해 도 2를 참조하여 설명한다.

도 2를 참조하면, 먼저 데이터베이스 서버(100)는 서로 다른 운영체제와 기본 유틸리티가 설치된 저장매체에 저장된 파일들의 관련 정보를 이용하여 운영체제별 정상 파일 데이터베이스를 구축한다(S200).

이후, 파일 제공 서버(110)는 안티 바이러스 진단 및 치료 프로그램이 설치된 단말기(140)로부터 단말기(140) 내에 설치된 운영체제 정보를 제공받고(S202), 제공받은 운영체제 정보에 대응되는 정상 파일 데이터베이스를 데이터베이스 서버(100)에서 검색하여 제공받는다(S204).

그런 다음, 파일 제공 서버(110)는 데이터베이스 서버(100)로부터 제공받은 정상 파일 데이터베이스를 단말기(140)에 배포한다(S206).

본 발명의 바람직한 실시 예에서는 단말기(140)로부터 운영체제 정보를 제공받아 이에 상응하는 정상 파일 데이터베이스를 배포하는 것으로 예로 들어 설명하였다. 대안으로, 본 발명은 파일 제공 서버(110)가 안티 바이러스 프로그램이 설치된 단말기(140)에 설치된 운영체제를 파악한 후 이에 대응되는 정상 파일 데이터베이스를 배포하도록 구성할 수도 있다.

한편, 파일 제공 서버(110)는 단말기(140)에 설치된 안티 바이러스 프로그램의 업데이트 엔진을 배포할 때 정상 파일 데이터베이스를 배포할 수도 있다.

이후, 데이터베이스 서버(110)는 운영체제별로 패치 정보가 통신망(130)을 통해 수신되는지를 판단한다(S208).

S208의 판단 결과, 임의의 운영체제에 대한 패치 정보가 수신되는 경우 데이터베이스 서버(110)는 패치 정보를 토대로 임의의 운영체제에 대응되는 정상 파일 데이터베이스를 업데이트시킨다(S210).

이후, 파일 업데이트 서버(120)는 업데이트된 정상 파일 데이터베이스를 통신망(130)을 통해 단말기(140)에 배포(S212)함으로서, 임의의 운영체제로 구동되는 단말기(140)의 정상 파일 데이터베이스를 업데이트시킨다(S214).

단말기(140)의 정상 파일 데이터베이스를 업데이트시키는 시점은 단말기(140)에 설치된 안티 바이러스 프로그램의 업데이트 엔진을 배포할 때 이루어질 수 있다.

본 발명의 바람직한 실시 예에 따르면, 단말기(140) 자체적으로 정상 파일 데이터베이스를 생성하지 않고, 안전한 작업 환경, 즉 바이러스 및 악성 코드에 의해 감염되지 않은 상태에서 생성된 정상 파일 데이터베이스를 생성한 후 이를 통신망(130)을 통해 단말기(140)에 제공함으로서, 정상 파일 데이터베이스의 신뢰성을 향상시킬 수 있다.

지금까지 본 발명의 일 실시예에 국한하여 설명하였으나 본 발명의 기술이 당업자에 의하여 용이하게 변형 실시될 가능성이 자명하다. 이러한 변형된 실시 예들은 본 발명의 특허청구범위에 기재된 기술사상에 포함된다고 하여야 할 것이다.

Claims

서로 상이한 운영체제별로 구축된 정상 파일 데이터베이스가 저장되어 있는 데이터베이스 서버와,

안티 바이러스 프로그램이 설치된 단말기의 운영체제 정보를 토대로 상기 데이터베이스 서버를 통해 상기 운영체제 정보에 대응되는 정상 파일 데이터베이스를 검색하고, 상기 검색된 정상 파일 데이터베이스를 통신망을 통해 상기 단말기에 제공하는 파일 제공 서버를 포함하는 정상 파일 데이터베이스 제공 시스템.
제 1 항에 있어서,

상기 파일 제공 서버는, 상기 안티 바이러스 프로그램의 엔진 업데이트 시 상기 정상 파일 데이터베이스를 상기 단말기에 제공하는 것을 특징으로 하는 정상 파일 데이터베이스 제공 시스템.
제 1 항에 있어서,

상기 데이터베이스 서버는,

각 운영체제에 대한 패치가 이루어질 때마다 상기 패치에 대응되는 정보를 토대로 상기 운영체제의 정상 파일 데이터베이스를 업데이트시키는 것을 특징으로 하는 정상 파일 데이터베이스 제공 시스템.
제 3 항에 있어서,

상기 각각의 운영체제에 대한 정상 파일 데이터베이스가 업데이트됨에 따라 대응하는 상기 운영체제가 설치된 단말기에 상기 업데이트된 정상 파일 데이터베이스를 제공하는 것을 파일 업데이트 서버를 더 포함하는 정상 파일 데이터베이스 제공 시스템.
제 4 항에 있어서,

상기 파일 업데이트 서버는, 상기 업데이트된 정상 파일 데이터베이스를 상기 안티 바이러스 프로그램의 엔진 업데이트 시 상기 단말기에 제공하는 것을 특징으로 하는 정상 파일 데이터베이스 제공 시스템.
서로 다른 운영체제별로 구축된 정상 파일 데이터베이스가 저장되어 있는 데이터베이스 서버를 이용한 정상 파일 데이터베이스 제공 방법으로서,

안티 바이러스 프로그램이 설치된 다수의 단말기들에 대한 운영체제 정보를 파악하는 단계와,

상기 파악된 운영체제 정보에 의거하여 상기 파악된 운영체제와 동일한 운영체제가 설치된 단말기에 적합한 정상 파일 데이터베이스를 검색하는 단계와,

상기 검색된 각각의 정상 파일 데이터베이스를 상기 통신망을 통해 상기 각 단말기에 제공하는 단계를 포함하는 정상 파일 데이터베이스 제공 방법.
제 6 항에 있어서,

상기 각 단말기에 제공하는 단계는, 상기 안티 바이러스 프로그램의 업데이트 엔진을 제공할 때 상기 검색된 각각의 정상 파일 데이터베이스를 상기 각 단말기에 제공하는 것을 특징으로 하는 정상 파일 데이터베이스 제공 방법.
제 6 항에 있어서,

임의의 운영체제에 대한 패치 정보가 존재하는지를 판단하는 단계와,

상기 판단 결과, 상기 패치 정보가 존재할 경우 상기 데이터베이스 서버를 통해 상기 임의의 운영체제에 대응되는 정상 파일 데이터베이스를 업데이트시키는 단계를 더 포함하는 정상 파일 데이터베이스 제공 방법.
제 8 항에 있어서,

상기 정상 파일 데이터베이스가 업데이트됨에 따라 상기 임의의 운영체제가 설치된 단말기에 상기 업데이트된 정상 파일 데이터베이스를 제공하는 단계를 더 포함하는 정상 파일 데이터베이스 제공 방법.
제 9 항에 있어서,

상기 업데이트된 정상 파일 데이터베이스를 제공하는 단계는, 상기 각 단말기 내에 설치된 안티 바이러스 프로그램이 업데이트될 때 상기 업데이트된 정상 파일 데이터베이스를 제공하는 것을 특징으로 하는 정상 파일 데이터베이스 제공 방법.