WO2011090329A2

WO2011090329A2 - 악성 코드 감염 차단 장치 및 시스템과 그 방법

Info

Publication number: WO2011090329A2
Application number: PCT/KR2011/000411
Authority: WO
Inventors: 이재한; 김정훈; 김성현
Original assignee: 주식회사 안철수연구소
Priority date: 2010-01-22
Filing date: 2011-01-20
Publication date: 2011-07-28
Also published as: KR101138748B1; KR20110086198A; US8813229B2; US20130014260A1; WO2011090329A3

Abstract

악성 코드 감염 차단 장치는, 에이전트 시스템 내에 설치된 파일들 및 각 파일의 부분별 DNA값과 각 파일이 정상인지 또는 악성인지를 나타내는 인덱스 정보가 저장되어 있는 데이터베이스와; 에이전트 시스템에서 실행 요청 대상 파일의 일부분에 대한 DNA값을 산출하는 산출부와; 데이터베이스의 검색을 통해 산출부에서 산출된 DNA값을 갖는 파일들을 그룹으로 추출하고, 추출된 그룹 내 파일들의 인덱스 정보를 토대로 대상 파일이 정상인지 또는 악성인지를 검사하여 대상 파일의 실행을 허용하거나 대상 파일의 일부분을 선택적으로 포함하는 다른 부분에 대한 DNA값의 산출을 요청하는 파일 검사부를 포함한다.

Description

악성 코드 감염 차단 장치 및 시스템과 그 방법

본 발명은 악성 코드 차단에 관한 것으로, 더욱 상세하게는 특정 파일의 부분별로 DNA값을 이용하여 에이전트 시스템의 악성 코드 감염을 차단할 수 있는 악성 코드 감염 차단 장치 및 시스템과 그 방법에 관한 것이다.

일반적으로 전용 에이전트 시스템, 예컨대 전용 컴퓨터 시스템의 악성 코드 감염을 막기 위해서, 안티바이러스 엔진을 갖고 있는 클라이언트용 안티바이러스 제품이 해당 시스템에 설치되어진다. 개인 컴퓨터 시스템에 설치된 기존 안티바이러스 엔진은, 악성 코드의 감염을 막기 위해서, 주기적으로 스스로를 업데이트함과 더불어 시스템의 보안을 업데이트 할 필요가 있다. 관련 선행기술이 한국 출원 공개 특허 제 2006-0032855호(공개일 : 2006년 4월 18일)에 개시되어 있다.

안티바이러스 엔진 업데이트는 컴퓨터에서 기동 중인 전용 기능을 수행하는 파일을 악성코드로 오진할 위험성을 가지고 있으며, 컴퓨터 시스템의 업데이트는 전용 프로그램의 비호환성의 위험성을 갖고 있다.

대부분의 전용 컴퓨터는 시스템 사양이 업그레이드 되지 않기 때문에 사양이 낮은 편이다. 그러나, 안티바이러스 엔진은 각각의 컴퓨터에 설치되어 구동되기 때문에 낮은 사양의 컴퓨터에서 구동이 되면, 안티바이러스 엔진이 시스템 리소스, 예를 들면, CPU, 메모리, 네트워크 트래픽을 많이 사용하여 컴퓨터 내 설치된 프로그램들과 동작 중인 응용 프로그램의 구동을 방해하는 문제가 있다. 이런 이유로, 안티바이러스 엔진이 요구하는 사양보다 낮은 컴퓨터, 예컨대 POS(Point Of Sale) 단말기, 생산 설비에서 사용되는 저사양 컴퓨터에서도 사용 가능한 보안 프로그램이 필요하다.

특히, Secure OS(Operating System)가 설치된 단말기는 임의의 파일을 실행하기 전에 실행이 허용된 파일인지 여부를 확인하기 위해서 기존에 저장된 파일의 해쉬값과 임의의 파일의 전체 해쉬 값을 비교한 후 파일의 일치 여부를 확인한다.

이러한 단말기에서는 파일을 읽거나 실행하기 위해서 매번 파일의 해쉬 값을 확인하는 부하를 갖기 때문에 용량이 큰 파일의 경우 단말기의 부하가 증가하는 문제점이 있다.

본 발명은 상기 점에 감안하여 이루어진 것으로써, 특정 파일을 실행하고자 할 때 특정 파일의 부분별로 DNA값을 산출한 후 산출된 DNA값과 기 저장된 파일에 대한 부분별 DNA값의 비교를 통해 특정 파일이 악성인지 또는 정상인지를 판별함으로써, 부하를 최소화할 수 있는 악성 코드 감염 차단 장치 및 방법을 제공한다.

또한, 에이전트 시스템 내 특정 파일의 최초 DNA값을 서버 시스템에 제공한 후 서버 시스템의 데이터베이스를 이용하여 특정 파일이 정상 또는 악성인지를 알 수 있는 악성 코드 감염 차단 시스템 및 방법을 제공한다.

본 발명의 제 1 측면에 따르면, 에이전트 시스템의 악성 코드 감염 차단 장치에 있어서, 상기 에이전트 시스템 내에 설치된 파일들 및 각 파일의 부분별 DNA값과 상기 각 파일이 정상인지 또는 악성인지를 나타내는 인덱스 정보가 저장되어 있는 데이터베이스와, 상기 에이전트 시스템에서 실행 요청 대상 파일의 일부분에 대한 DNA값을 산출하는 산출부와, 상기 데이터베이스의 검색을 통해 상기 산출부에서 산출된 DNA값을 갖는 파일들을 그룹으로 추출하고, 상기 추출된 그룹 내 파일들의 인덱스 정보를 토대로 상기 대상 파일이 정상인지 또는 악성인지를 검사하여 상기 대상 파일의 실행을 허용하거나 상기 대상 파일의 일부분을 선택적으로 포함하는 다른 부분에 대한 DNA값의 산출을 요청하는 파일 검사부를 포함하는 악성 코드 감염 차단 장치가 제공된다.

본 발명의 제 2 측면에 따르면, 실행 요청 대상 파일의 일부분에 대한 DNA값을 산출하고, 상기 산출된 DNA값을 통신망을 통해 송출하여 상기 대상 파일에 대한 검사를 요청하는 에이전트 시스템과, 파일들 및 각 파일의 부분별 DNA값과 상기 각 파일이 정상인지 또는 악성인지를 나타내는 인덱스 정보가 저장되어 있는 서버 데이터베이스를 구비하며, 상기 통신망을 통해 전송받은 DNA값을 토대로 상기 서버 데이터베이스를 검색하여 상기 전송받은 DNA값을 갖는 파일들을 그룹으로 추출하고, 상기 추출된 그룹 내 파일들의 인덱스 정보와 DNA값을 상기 에이전트 시스템에 제공하는 서버 시스템을 포함하며, 상기 에이전트 시스템은, 상기 서버 시스템으로부터 제공받은 인덱스 정보를 토대로 상기 대상 파일을 정상으로 판단하거나, 또는 상기 대상 파일의 일부분을 선택적으로 포함하는 다른 부분의 DNA값을 추가로 산출하여 상기 대상 파일을 검사하는 악성 코드 감염 차단 시스템이 제공된다.

본 발명의 제 3 측면에 따르면, 에이전트 시스템에서의 악성 코드 감염 차단 방법으로써, 상기 에이전트 시스템에서 실행 요청 대상 파일의 일부분에 대한 DNA값을 산출하는 단계와, 상기 산출된 DNA값을 토대로 상기 에이전트 시스템 내 파일들 및 각 파일의 부분별 DNA값과 상기 각 파일이 정상인지 또는 악성인지를 나타내는 인덱스 정보가 저장되어 있는 데이터베이스를 검색하여, 상기 산출된 DNA값을 갖는 파일들을 그룹으로 추출하는 단계와, 상기 그룹 내 파일들의 인덱스 정보를 토대로 상기 대상 파일이 정상으로 판단되면 실행을 허용하고, 정상이 아니라고 판단되면 상기 대상 파일의 일부분을 선택적으로 포함하는 다른 부분에 대한 DNA값을 산출하는 단계와, 상기 대상 파일이 정상이 아니라고 판단될 시에, 상기 산출된 다른 부분의 DNA값과 상기 데이터베이스로부터 추출된 그룹 내 파일들의 DNA값을 비교하여DNA값이 일치하는 파일의 인덱스 정보를 확인함으로써 상기 대상 파일을 악성 또는 정상으로 판단하는 단계와, 상기 판단 결과에 의거하여 상기 대상 파일의 실행을 허용하거나, 상기 대상 파일의 또 다른 부분의 DNA값을 산출하여 상기 대상 파일의 악성 또는 정상 여부를 판단하는 단계를 기 정해진 회수까지 반복하는 단계를 포함하는 악성 코드 감염 차단 방법이 제공된다.

본 발명의 제 4 측면에 따르면, 파일들 및 각 파일의 부분별 DNA값과 상기 각 파일이 정상인지 또는 악성인지를 나타내는 인덱스 정보가 저장되어 있는 서버 데이터베이스를 구비하는 서버 시스템과 연동하여 에이전트 시스템에서 악성 코드 감염 차단을 수행하는 방법으로서, 상기 에이전트 시스템에서 실행 요청 대상 파일의 일부분에 대한 DNA값을 산출하는 단계와, 상기 산출된 DNA값을 통신망을 통해 상기 서버 시스템에 제공하여 상기 대상 파일에 대한 검사를 요청하는 단계와, 상기 요청에 대한 응답으로 상기 서버 데이터베이스의 검색을 통해 상기 산출된 DNA값을 갖는 파일들을 그룹으로 추출하고, 추출한 그룹 내 상기 파일들의 인덱스 정보와 DNA값을 제공받는 단계와, 상기 제공받은 인덱스 정보를 토대로 상기 대상 파일이 정상으로 판단될 때 상기 대상 파일의 실행을 허용하고, 상기 대상 파일이 정상이 아니라고 판단될 때 상기 대상 파일의 일부분을 선택적으로 포함하는 다른 부분의 DNA값 산출을 통해 상기 대상 파일을 다시 검사하는 단계를 포함하는 악성 코드 감염 차단 방법이 제공된다.

본 발명은 파일의 일부분에 대한 DNA값만을 이용하여 파일이 악성 또는 정상인지의 여부를 체크함으로써, 사양이 낮은 시스템에서 적은 리소스로 악성 코드의 감염을 차단할 수 있는 효과가 있다.

또한, 본 발명은 파일의 일부분에 대한 DNA값만을 이용하여 서버 시스템에 검사를 요청하고, 이에 따른 응답을 제공받아 악성 코드 감염을 차단함으로써, 네트워크 트래픽 발생을 최소화할 수 있는 효과가 있다.

도 1은 본 발명의 실시 예에 따른 악성 코드 감염 차단 시스템을 도시한 블록도이며,

도 2는 본 발명의 실시 예에 따른 DNA값을 산출하는 방법에 대해 설명하기 위한 도면이며,

도 3은 본 발명의 실시 예에 따른 DNA값을 이용한 악성 코드 감염 차단 과정을 도시한 흐름도이며,

도 4 및 도 5는 본 발명의 실시 예에 따른 악성 코드 감염 차단 장치가 서버 시스템과 연동하여 악성 코드 감염을 차단하는 과정을 도시한 예시도이다.

본 발명의 목적 및 효과, 그리고 그것들을 달성하기 위한 기술적 구성들은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다.

이하, 첨부된 도면을 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.

도 1은 본 발명의 실시 예에 따른 악성 코드 감염 차단 시스템의 구성을 도시한 블록도로서, 악성 코드 감염 차단 시스템은 크게 악성 코드 감염 차단 장치(110)를 구비한 에이전트 시스템(100) 및 서버 데이터베이스(152)를 구비한 서버 시스템(150)으로 구성된다.

에이전트 시스템(100)은 저사양의 단말이 될 수 있으며, 그 예로 공장 내 자동화 설비를 관리하기 위한 단말, 생산 관리 시스템, POS 시스템 등을 들 수 있다. 에이전트 시스템(100)에 설치된 악성 코드 감염 차단 장치(110)는 데이터베이스(106), 산출부(102), 파일 검사부(104) 및 업데이트부(108)를 포함한다.

데이터베이스(106)는 에이전트 시스템(100)에 설치된 파일들, 각 파일의 부분별 정보값, 즉 DNA 값과 각 파일이 정상인지 또는 악성인지를 나타내는 인덱스 정보를 저장하고 있다.

산출부(102)는 에이전트 시스템(100)에서 임의의 파일을 실행할 때 임의의 파일 전체를 메모리(미도시됨)로 읽어 들이지 않고 우선 파일의 형식을 판별한다. 파일 형식의 판단에 따라 임의의 파일이 실행 가능한 파일인 경우, 실행 코드가 존재하는 부분에서 코드가 실행되는 순서에 따라서 임의의 파일의 소정 부분에서 DNA값을 산출하고, 추출된 DNA값을 파일 검사부(104)에 제공한다. 산출부(102)는 임의의 파일이 데이터 파일인 경우, 데이터 파일의 메모리 적재 순서에 따라 파일의 특정 부분에서 DNA값을 산출하며, 산출된 DNA값을 파일 검사부(104)에 제공한다.

예를 들어, 임의의 파일이 도 2에 도시된 바와 같이 다수의 실행 가능한 코드를 포함하는 경우 산출부(102)는 부분(200)에서 실행 가능한 코드의 1차 DNA값을 산출한 후 이를 파일 검사부(104)에 제공하며, 파일 검사부(104)의 제어에 의거하여 부분(210)에서 실행 가능한 코드의 2차 DNA값을 산출한다. 도시된 바와 같이, 2차 DNA값이 산출되는 부분은 1차 DNA값이 산출되는 부분보다 범위가 확대될 수 있다.

본 발명의 실시 예에서의 DNA값은 파일의 추출된 부분에 CRC 기반의 해쉬 함수를 적용한 값을 그 예로 들 수 있다.

파일 검사부(104)는 산출부(102)로부터 제공받은 DNA값과 데이터베이스(106)에 기저장되어 있는 DNA값을 비교하여 DNA값이 일치하는 파일들을 그룹으로 데이터베이스(106)에서 추출한다. 파일 검사부(104)는 추출된 그룹 내 파일들의 인덱스 정보를 확인하여 임의의 파일이 정상인지 또는 악성인지 여부를 판단한다. 임의의 파일이 악성이라고 판단되면 임의의 파일의 다른 부분에서 DNA값을 산출할 것을 추가로 요청. 하고, 정상이라고 판단되면 임의의 파일의 실행을 허용한다.

그러나, 데이터베이스(106) 내에 산출부(102)에서 산출된 DNA값을 갖는 파일이 존재하지 않을 경우, 파일 검사부(104)는 임의의 파일의 실행을 차단시킬 수도 있다. 대안으로, 데이터베이스(106) 내에 산출된 DNA값을 갖는 파일이 존재하지 않을 경우, 파일 검사부(104)는 통신망(120)을 통해 서버 시스템(150)에 접속하여 산출된 DNA값을 이용하여 파일의 검사를 요청할 수 있으며, 서버 시스템(150)의 검사 결과에 의거하여 임의의 파일의 다른 부분에서 DNA값을 산출하기를 산출부(102)에 요청할 수 있으며, 또는 파일의 실행을 허용하거나 차단할 수 있다.

업데이트부(108)는 새로운 파일의 실행 요청이 있을 경우 새로운 파일의 각 부분별 DNA값을 산출부(102)를 이용하여 산출하고 산출한 DNA값으로 데이터베이스(106)를 업데이트시키거나, 서버 시스템(150)으로부터 제공받은 데이터, 즉 임의의 파일에 대한 각 부분별 DNA값이 포함된 데이터를 이용하여 데이터베이스(106)를 업데이트시킨다.

본 발명의 실시 예에서 새로운 파일은, 예컨대, 외부의 통신망을 통해 에이전트 시스템(100)에 유입된 파일이거나, 관리자 또는 외부의 요청에 의거하여 기존의 파일이 변경된 변경 파일이거나, 소정의 프로그램 설치 또는 데이터 생성 과정에 의해 생성된 파일일 수 있다.

상기와 같은 에이전트 시스템(100)의 악성 코드 감염 차단 장치(110)가 파일을 검사하는 과정에 대해 도 3을 참조하여 설명하면 아래와 같다.

도 3은 본 발명의 실시 예에 따른 악성 코드 차단 장치(110)가 대상 파일이 악성인지 또는 정상인지를 검사하는 과정을 도시한 흐름도이다.

먼저, 도 3에 도시된 바와 같이, 악성 코드 차단 장치(110)의 산출부(102)는 실행 요청 대상 파일의 제 1 부분에서 1차로 DNA값을 산출한다(1차 DNA값)(S300).

파일 검사부(104)는 산출된 1차 DNA값과 데이터베이스(106)에 저장된 파일들의 1차 DNA값을 비교하여 1차 DNA값이 일치하는 파일들을 1차 그룹으로서 데이터베이스(106)에서 추출한다(S302). 1차 그룹 내 파일들이 정상 또는 악성인지를 나타내는 인덱스 정보를 토대로, 추출된 1차 그룹 내에 악성 파일이 존재하는지를 판단한다(S304).

단계 S304의 판단 결과, 추출된 1차 그룹 내에 악성 파일이 하나도 존재하지 않을 경우, 파일 검사부(104)는 대상 파일로부터 추가적인 DNA값의 추출 없이 대상 파일을 정상으로 판단하여 실행을 허용한다(S306).

그러나, 단계 S304의 판단 결과, 추출된 1차 그룹 내에 악성 파일이 하나라도 존재할 경우, 파일 검사부(104)는 산출부(102)에 대상 파일의 제 1 부분과는 다른 제 2 부분에서 DNA값의 산출을 추가로 요청한다(2차 DNA값)(S308). 산출부(102)는 대상 파일의 제 2 부분에서 2차 DNA값을 산출하여(S310) 파일 검사부(104)에 제공한다. 여기서, 대상 파일의 제 2 부분은 1차 DNA값이 추출되었던 제 1 부분을 포함하여 확장될 수 있다.

이에 따라, 파일 검사부(104)는 데이터베이스(106)에서 추출된 1차 그룹 내 파일들의 2차 DNA값과 산출부(102)에서 산출된 2차 DNA값간의 비교를 통해 1차 그룹 내 파일들 중 2차 DNA값이 일치하는 파일들을 2차 그룹으로서 추출하고, 추출된 2차 그룹 내 파일들의 인덱스 정보를 토대로, 추출된 2차 그룹 내에 악성 파일이 존재하는지를 판단한다(S312).

단계 S312의 판단 결과, 추출된 2차 그룹 내에 악성 파일이 하나도 존재하지 않을 경우, 파일 검사부(104)는 대상 파일을 정상으로 판단하여 실행을 허용한다. 그러나, 악성 파일이 하나라도 존재할 경우, 산출된 DNA값이 n차수인지 확인하여(S314) n차수가 아니라면 단계 S308로 진행하여 대상 파일의 또 다른 부분에서 다음 차수의 DNA를 산출할 것을 요청한다. 단계 S308, S310, S312를 n차 DNA값을 산출할 때까지 반복적으로 수행하여, 단계 S312에서 추출된 n차 그룹 내에 악성 파일이 존재하지 않으면 단계 S306으로 진행하여 대상 파일의 실행을 허용하며, 악성 파일이 존재하면 단계 S316으로 진행하여 대상 파일의 실행을 차단하게 된다. 여기서, n은 정수값으로, 파일 검사부(104)에서 그 값의 설정이 가능하다.

한편, 대안으로, 본 발명의 실시 예에서 데이터베이스(106)의 검색을 통해 n차 그룹을 추출하는 과정에서 n차 산출한 DNA값이 일치하는 파일이 데이터베이스(106)에 존재하지 않을 경우, 대상 파일에서 산출된 n차까지의 DNA 값을 통신망(120)을 통해 서버 시스템(150)에 전송하여 파일의 검사를 요청할 수도 있다. 서버 시스템(150)의 응답을 토대로 대상 파일의 인덱스 정보가 악성을 나타내는 값이라고 판단될 시에 대상 파일에 대한 n+1차 DNA값을 추출하고, 대상 파일의 인덱스 정보가 정상을 나타내는 값이라고 판단될 시에 파일의 실행을 허용할 수 있다. 여기서, 대상 파일이 정상으로 판단된 경우, 악성 코드 감염 차단 장치(110)는 대상 파일의 각 차수의 DNA값을 이용하여 데이터베이스(106)를 업데이트한다.

한편, 대상 파일의 각 차수의 DNA값과 일치하는 파일이 서버 시스템(150)에도 없는 경우에는, 악성 코드 감염 차단 장치(110)는 대상 파일을 서버 시스템(150)에 전송한다. 이에 따라, 서버 시스템(150)은 기 설정된 안티바이러스 엔진을 이용하여 대상 파일에 대한 악성 감염 여부를 검사한 후 검사 결과를 토대로 대상 파일에 대한 인덱스 정보를 생성하고, 생성된 인덱스 정보와 대상 파일, 대상 파일의 각 차수의 DNA값을 이용하여 서버 데이터베이스(152)를 업데이트시킴과 더불어 악성 코드 감염 차단 장치(110)의 데이터베이스(106)를 업데이트시킨다.

본 발명의 실시 예에 따르면, 파일 전체를 메모리로 읽어 들이지 않고 특정 부분에서의 DNA값의 산출을 통해 파일이 정상 또는 악성인지의 여부를 판단함으로써, 파일의 실행 가능 여부를 고속으로 판별할 수 있다.

서버 시스템(150)은 다수의 에이전트 시스템(100)으로부터 제공받은 파일의 각 부분별 DNA값을 토대로 서버 데이터베이스(152)를 업데이트하며, 서버 데이터베이스(152)의 업데이트에 따라 업데이트 정보를 다수의 에이전트 시스템(100)으로 브로드캐스팅함으로써, 다수의 에이전트 시스템(100) 내 데이터베이스(106)를 업데이트시킨다.

또한, 서버 데이터베이스(152)에 저장된 각 파일의 인덱스 정보는 관리자의 설정에 의해 변경되거나 안티바이러스 엔진을 통한 검사를 토대로 변경될 수 있으며, 인덱스 정보의 변경에 따라 서버 시스템(150)은 변경된 정보를 다수의 에이전트 시스템(100)에 브로드캐스팅함으로써, 에이전트 시스템(100)의 데이터베이스(106)를 업데이트시킨다.

상기와 같은 본 발명의 실시 예에 따른 에이전트 시스템(100)이 서버 시스템과 연동하여 악성 코드 감염을 차단하는 과정을 도 4 내지 도 5를 참조하여 설명한다.

도 4에 도시된 바와 같이, 에이전트 시스템(100)은 산출부(102)를 이용하여 실행 요청이 있는 대상 파일에 대한 소정 부분의 1차 DNA값, 예를 들면, 1234를 산출한 후 이를 서버 시스템(150)에 전송하여 파일 정보를 요청한다.

이에 따라, 서버 시스템(150)은 에이전트 시스템(100)으로부터 전송받은 1차 DNA값을 갖는 파일들을 서버 데이터베이스(152)에서 검색하여 그룹으로 추출한 후 이를 에이전트 시스템(100)에 전송한다. 이 때, 그룹 내 각 파일들의 2차, 3차,…, n차 DNA값 및 각 파일의 인덱스 정보가 그룹과 함께 전송된다.

에이전트 시스템(100)의 파일 검사부(104)는 서버 시스템(150)으로부터 제공받은 그룹과 그에 대한 정보를 토대로 대상 파일의 실행 허용 여부를 결정한다. 즉, 그룹 내 모든 파일의 인덱스 정보가 정상을 나타내는 경우에는 대상 파일의 실행을 허용하며, 그렇지 않을 경우 대상 파일의 실행을 차단시킨다.

한편, 서버 시스템(150)은 에이전트 시스템(100)으로부터 전송받은 1차 DNA값을 갖는 파일이 서버 데이터베이스(152)에서 검색되지 않을 경우 대상 파일을 에이전트 시스템(100)에 요청한다. 서버 시스템(150)은 대상 파일을 전송받아 안티바이러스 엔진을 이용하여 파일을 검사하고, 검사 결과를 에이전트 시스템(100)에 전송하여 대상 파일의 실행 허용 여부를 알려준다. 한편, 서버 시스템(150)은 에이전트 시스템(100)으로부터 대상 파일에 대한 1차에서 n차까지의 DNA값을 제공받은 후 이를 토대로 서버 데이터베이스(152)를 업데이트시킨다.

도 5를 참조하면, 에이전트 시스템(100)은 산출부(102)를 통해 대상 파일에 대한 1차 DNA값, 예를 들면, 1234를 산출한 후 데이터베이스(106)의 검색을 통해 같은 1차 DNA값을 갖는 파일들, 예를 들면, 1234-5678, 1234-5778, 1234-6698 등의 DNA값을 갖는 파일들을 그룹으로 추출하고, 그룹 내 모든 파일의 인덱스 정보를 검색한다. 인덱스 정보가 모두 정상이며 실행 허용이라고 나타내고 있어도, 대상 파일에 대한 더욱 정확한 진단을 위해 파일 검사부(104)는 1차 DNA값을 서버 시스템(150)에 전송하여 검사를 요청한다. 이에 따라 서버 시스템(150)은 1차 DNA값이 1234인 파일들을 서버 데이터베이스(152)에서 검색하여 그룹으로 추출한다. 그룹 내 파일의 인덱스 정보 검사 결과, 1234-9987의 DNA값을 가지는 파일의 인덱스 정보가 악성이라고 나타내고 있기 때문에 서버 시스템(150)은 요청에 대한 응답으로 1234-9987 DNA값과 그 인덱스 정보 및 DNA값을 재산출하도록 하는 메시지를 에이전트 시스템(100)에 전송한다.

서버 시스템(150)의 메시지를 수신한 에이전트 시스템(100)의 파일 검사부(104)는 산출부(102)를 제어하여 대상 파일에 대한 2차 DNA값을 산출한다. 그 다음, 파일 검사부(104)는 산출된 2차 DNA값이 9987인지를 검사하여 대상 파일이 악성인지 또는 정상인지를 판단한다. 업데이트부(108)는 1234-9987 DNA값과 그 인덱스 정보를 이용하여 데이터베이스(106)를 업데이트시킨다.

한편, 대상 파일의 산출한 2차 DNA값이 9987이 아니고 또한, 1차 DNA값이 1234인 모든 파일의 2차 DNA값과 일치하지 않는 경우에는, 상기에서 설명한 바와 같이 1, 2차 DNA값을 서버 시스템(150)에 전송하여 검사를 요청하거나 대상 파일을 서버 시스템(150)에 전송하여 검사를 요청할 수 있다.

이상, 본 발명의 바람직한 실시형태가 설명되었지만, 본 발명은 이들 특정의 실시형태에 한정되지 않고, 후속하는 청구범위의 범주로부터 벗어나지 않고 다양한 변경 및 변형이 이루어질 수 있으며, 그것도 본 발명의 범주내에 속한다 할 것이다.

Claims

에이전트 시스템의 악성 코드 감염 차단 장치에 있어서,

상기 에이전트 시스템 내에 설치된 파일들 및 각 파일의 부분별 DNA값과 상기 각 파일이 정상인지 또는 악성인지를 나타내는 인덱스 정보가 저장되어 있는 데이터베이스와,

상기 에이전트 시스템에서 실행 요청 대상 파일의 일부분에 대한 DNA값을 산출하는 산출부와,

상기 데이터베이스의 검색을 통해 상기 산출부에서 산출된 DNA값을 갖는 파일들을 그룹으로 추출하고, 상기 추출된 그룹 내 파일들의 인덱스 정보를 토대로 상기 대상 파일이 정상인지 또는 악성인지를 검사하여 상기 대상 파일의 실행을 허용하거나 상기 대상 파일의 일부분을 선택적으로 포함하는 다른 부분에 대한 DNA값의 산출을 요청하는 파일 검사부를 포함하는

악성 코드 감염 차단 장치.
제 1 항에 있어서,

상기 파일 검사부는,

상기 산출된 DNA값을 갖는 파일이 상기 데이터베이스에 존재하지 않을 경우 상기 대상 파일의 실행을 차단시키는

악성 코드 감염 차단 장치.
제 1 항에 있어서,

상기 차단 장치는,

변경 및/또는 새로 생성된 파일에 대한 DNA값과 인덱스 정보를 이용하여 상기 데이터베이스를 업데이트시키는 업데이트부를 더 포함하는

악성 코드 감염 차단 장치.
제 1 항에 있어서,

상기 산출부는, 상기 대상 파일이 실행 가능한 파일인 경우 실행 코드가 존재하는 부분에서 실행되는 순서에 의거하여 상기 일부분의 DNA값을 산출하는

악성 코드 감염 차단 장치.
제 1 항에 있어서,

상기 산출부는, 상기 대상 파일이 데이터 파일인 경우 상기 대상 파일이 메모리에 적재되는 순서에 의거하여 상기 일부분의 DNA값을 산출하는

악성 코드 감염 차단 장치.
악성 코드 감염 차단 시스템에 있어서,

실행 요청 대상 파일의 일부분에 대한 DNA값을 산출하고, 상기 산출된 DNA값을 통신망을 통해 송출하여 상기 대상 파일에 대한 검사를 요청하는 에이전트 시스템과,

상기 에이전트 시스템에 설치된 파일들 및 각 파일의 부분별 DNA값과 상기 각 파일이 정상인지 또는 악성인지를 나타내는 인덱스 정보가 저장되어 있는 서버 데이터베이스를 구비하며, 상기 통신망을 통해 전송받은 DNA값을 토대로 상기 서버 데이터베이스를 검색하여 상기 전송받은 DNA값을 갖는 파일들을 그룹으로 추출하고, 상기 추출된 그룹 내 파일들의 인덱스 정보와 DNA값을 상기 에이전트 시스템에 제공하는 서버 시스템을 포함하며,

상기 에이전트 시스템은, 상기 서버 시스템으로부터 제공받은 인덱스 정보를 토대로 상기 대상 파일을 정상으로 판단하거나, 또는 상기 대상 파일의 일부분을 선택적으로 포함하는 다른 부분의 DNA값을 추가로 산출하여 상기 대상 파일을 검사하는

악성 코드 감염 차단 시스템.
제 6 항에 있어서,

상기 에이전트 시스템은,

상기 에이전트 시스템에서 관리되는 파일들 각각의 부분별 DNA값과 상기 각 파일이 정상인지 또는 악성인지를 나타내는 인덱스 정보가 저장되어 있는 데이터베이스를 구비하는

악성 코드 감염 차단 시스템.
제 7 항에 있어서,

상기 산출된 DNA값을 갖는 파일이 상기 데이터베이스에 존재하지 않을 경우 상기 통신망을 통해 상기 서버 시스템으로 상기 산출된 DNA값을 전송하여 상기 대상 파일에 대한 검사를 요청하는

악성 코드 감염 차단 시스템.
제 7 항에 있어서,

상기 에이전트 시스템은, 상기 서버 시스템으로부터 전송받은 상기 그룹 내 파일의 인덱스 정보와 DNA값을 이용하여 상기 데이터베이스를 업데이트시키는

악성 코드 감염 차단 시스템.
제 6 항에 있어서,

상기 에이전트 시스템은, 상기 대상 파일의 다른 부분의 DNA값과 상기 서버 시스템으로부터 전송받은 상기 그룹 내 각 파일의 DNA값을 비교하여 해당 DNA값이 일치하는 파일이 없을 경우 상기 대상 파일을 상기 서버 시스템에 전송하여 검사를 요청하는

악성 코드 감염 차단 시스템.
제 10 항에 있어서,

상기 서버 시스템은, 상기 전송받은 대상 파일을 기 설정된 안티바이러스 엔진을 이용하여 검사한 후 상기 검사 결과에 의거하여 인덱스 정보를 생성하고, 상기 대상 파일의 각 부분별 DNA값을 산출하여 상기 서버 데이터베이스를 업데이트하는

악성 코드 감염 차단 시스템.
에이전트 시스템에서의 악성 코드 감염 차단 방법으로써,

상기 에이전트 시스템에서 실행 요청 대상 파일의 일부분에 대한 DNA값을 산출하는 단계와,

상기 산출된 DNA값을 토대로 상기 에이전트 시스템 내 파일들 및 각 파일의 부분별 DNA값과 상기 각 파일이 정상인지 또는 악성인지를 나타내는 인덱스 정보가 저장되어 있는 데이터베이스를 검색하여, 상기 산출된 DNA값을 갖는 파일들을 그룹으로 추출하는 단계와,

상기 그룹 내 파일들의 인덱스 정보를 토대로 상기 대상 파일이 정상으로 판단되면 실행을 허용하고, 정상이 아니라고 판단되면 상기 대상 파일의 일부분을 선택적으로 포함하는 다른 부분에 대한 DNA값을 산출하는 단계와,

상기 대상 파일이 정상이 아니라고 판단될 시에, 상기 산출된 다른 부분의 DNA값과 상기 데이터베이스로부터 추출된 그룹 내 파일들의 DNA값을 비교하여DNA값이 일치하는 파일의 인덱스 정보를 확인함으로써 상기 대상 파일을 악성 또는 정상으로 판단하는 단계와,

상기 판단 결과에 의거하여 상기 대상 파일의 실행을 허용하거나, 상기 대상 파일의 또 다른 부분의 DNA값을 산출하여 상기 대상 파일의 악성 또는 정상 여부를 판단하는 단계를 기 정해진 회수까지 반복하는 단계를 포함하는

악성 코드 감염 차단 방법.
제 12 항에 있어서,

상기 대상 파일이 실행 가능한 파일인 경우 실행 코드가 존재하는 부분에서 실행되는 순서에 의거하여 상기 일부분의 DNA값을 산출하는

악성 코드 감염 차단 방법.
제 12 항에 있어서,

상기 대상 파일이 데이터 파일인 경우 상기 특정 파일이 메모리에 적재되는 순서에 의거하여 상기 일부분의 DNA값을 산출하는

악성 코드 감염 차단 방법.
제 12 항에 있어서,

상기 악성 코드 감염 차단 방법은,

외부의 통신망을 통해 임의의 파일의 DNA값과 인덱스 정보가 상기 에이전트 시스템에 수신되면 상기 데이터베이스를 업데이트하는 단계를 더 포함하는

악성 코드 감염 차단 방법.
에이전트 시스템에 설치된 파일들 및 각 파일의 부분별 DNA값과 상기 각 파일이 정상인지 또는 악성인지를 나타내는 인덱스 정보가 저장되어 있는 서버 데이터베이스를 구비하는 서버 시스템과 연동하여 상기 에이전트 시스템에서 악성 코드 감염 차단을 수행하는 방법으로서,

상기 에이전트 시스템에서 실행 요청 대상 파일의 일부분에 대한 DNA값을 산출하는 단계와,

상기 산출된 DNA값을 통신망을 통해 상기 서버 시스템에 제공하여 상기 대상 파일에 대한 검사를 요청하는 단계와,

상기 요청에 대한 응답으로 상기 서버 데이터베이스의 검색을 통해 상기 산출된 DNA값을 갖는 파일들을 그룹으로 추출하고, 추출한 그룹 내 상기 파일들의 인덱스 정보와 DNA값을 제공받는 단계와,

상기 제공받은 인덱스 정보를 토대로 상기 대상 파일이 정상으로 판단될 때 상기 대상 파일의 실행을 허용하고, 상기 대상 파일이 정상이 아니라고 판단될 때 상기 대상 파일의 일부분을 선택적으로 포함하는 다른 부분의 DNA값 산출을 통해 상기 대상 파일을 다시 검사하는 단계를 포함하는

악성 코드 감염 차단 방법.
제 16 항에 있어서,

상기 대상 파일이 정상이 아니라고 판단될 때 상기 다른 부분의 DNA값과 상기 서버 데이터베이스로부터 추출한 그룹 내 파일들의 DNA값을 비교하여 해당 DNA값이 일치하는 파일이 그룹 내에 존재하는지를 판단하는 단계와,

상기 판단 결과, 상기 DNA값이 일치하는 파일이 존재하지 않을 경우 상기 대상 파일을 상기 서버 시스템에 전송하여 검사를 요청하는 단계와,

상기 서버 시스템에서 상기 전송받은 대상 파일을 기 설정된 안티바이러스 엔진을 이용하여 검사하는 단계와,

상기 검사 결과에 의거하여 인덱스 정보를 생성하고, 상기 대상 파일의 각 부분별 DNA값을 산출하여 상기 서버 데이터베이스를 업데이트하는 단계와,

상기 인덱스 정보를 상기 서버 시스템으로부터 상기 에이전트 시스템으로 제공하는 단계와,

상기 에이전트 시스템에서 상기 인덱스 정보를 토대로 상기 대상 파일의 실행을 차단 또는 허용하는 단계를 더 포함하는

악성 코드 감염 차단 방법.
제 16 항에 있어서,

상기 서버 데이터베이스 검색 결과 상기 산출된 DNA값을 갖는 파일이 존재하지 않을 경우 상기 에이전트 시스템에서 상기 서버 시스템으로 상기 대상 파일을 전송하는 단계와,

상기 서버 시스템에서 수신한 상기 대상 파일을 기 설정된 안티바이러스 엔진을 이용하여 검사하는 단계와,

상기 검사 결과에 의거하여 인덱스 정보를 생성하고, 상기 대상 파일의 각 부분별 DNA값을 산출하여 상기 서버 데이터베이스를 업데이트하는 단계와,

상기 인덱스 정보를 상기 서버 시스템으로부터 상기 에이전트 시스템으로 제공하는 단계와,

상기 에이전트 시스템에서 상기 인덱스 정보를 토대로 상기 대상 파일의 실행을 차단 또는 허용하는 단계를 더 포함하는

악성 코드 감염 차단 방법.