WO2012008669A1

WO2012008669A1 - Ｄｒｍ 환경에서의 악성 코드 실시간 검사 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체

Info

Publication number: WO2012008669A1
Application number: PCT/KR2011/000513
Authority: WO
Inventors: 박철; 이종일; 이영훈; 진교영
Original assignee: 주식회사 파수닷컴
Priority date: 2010-07-16
Filing date: 2011-01-25
Publication date: 2012-01-19
Also published as: KR101091777B1; EP2595081A1; EP2595081A4; US20130219501A1; JP5603491B2; JP2013531316A

Abstract

DRM 환경에서의 악성 코드 실시간 검사 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체가 개시된다. DRM 모듈은 실행명령이 입력된 DRM이 적용된 파일의 핸들을 기초로 파일에 대한 사용자의 권한을 확인한 후 핸들을 통한 파일 읽기/쓰기 동작시 복호화/암호화를 수행하고, 핸들과 파일의 경로가 포함된 검사 요청 메시지를 출력하며, 파일에 대한 악성 코드 검사 결과에 따라 파일의 열기 동작의 수행 여부를 결정한다. 악성 코드 검사 모듈은 인터페이스 모듈로부터 전달받은 검사 요청 메시지에 포함되어 있는 핸들과 파일의 경로를 기초로 DRM 모듈에 의해 복호화되어 읽혀지는 원본 파일에 대한 악성 코드 감염 여부를 검사한다. 본 발명에 따르면, DRM이 적용되어 암호화된 문서의 악성 코드 감염 여부를 실시간으로 검사하고 치료할 수 있다.

Description

ＤＲＭ 환경에서의 악성 코드 실시간 검사 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체

본 발명은 악성 코드 실시간 검사 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체에 관한 것으로, 보다 상세하게는, DRM이 적용된 파일의 악성 코드 감염 여부를 실시간으로 검사할 수 있는 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체에 관한 것이다.

인터넷의 확산은 시간적, 공간적 제약을 뛰어 넘는 정보 공유라는 긍정적 측면과 해킹, 악성코드 유포 등과 같은 부정적 측면을 동시에 낳고 있다. 이 중에서 바이러스, 스파이웨어, 웜 등과 같은 악성코드를 이용한 타 시스템의 공격, 타 단말기 정보파괴 문제는 현재 일반적인 문제처럼 느껴질 정도로 심각한 실정이다. 이러한 악성코드는 주로 인터넷을 통해 다운받은 파일, 프로그램 등을 통해 유포되며, 이에 대한 대비책으로 널리 사용되는 방법이 백신 프로그램을 이용한 감염 여부의 확인 및 치료이다.

백신 프로그램에 의한 악성 코드의 치료는 일반적인 파일에 대해서는 가장 간단하고 손쉬운 방법이다. 그러나 디지털 저작권(Digital Rights Management : DRM)이 걸려 있는 파일에 대해서는 암호화되어 있는 파일을 복호한 후 백신 프로그램에 의한 검사 및 치료가 가능하다는 문제가 있다. 이러한 문제로 인해 DRM이 적용된 파일에 대해서는 일반 파일과는 상이한 바이러스 검사 및 치료 기법이 요구된다.

먼저, 백신 프로그램이 제공하는 사용자 검사에 의한 DRM 적용 파일에 대한 악성 코드의 검사 및 치료에 대해 살펴본다. 사용자 검사는 사용자 모드(User Mode)에서 동작하기 때문에 DRM에서 제공하는 암호화된 파일에 접근할 수 있는 소프트웨어 개발 키트(Software Development Kit : SDK)를 사용하여 구현된다. 이때 DRM 모듈은 백신 프로그램과 연동하여 동작한다. 사용자가 백신 프로그램을 구동한 후 검사 및 치료를 원하는 DRM 적용 파일을 선택하면, 백신 프로그램은 DRM 모듈을 호출하여 해당 파일에 대한 복호를 요청한다. DRM 모듈은 해당 파일에 대해 '저장' 권한이 있는 것으로 확인되면, 해당 파일을 복호하여 메모리에 치료를 위한 원본 파일로 저장한다. 백신 프로그램은 메모리에 저장되어 있는 원본 파일에 대한 바이러스 검사 및 치료를 수행한 후 다시 DRM 모듈을 호출한다. DRM 모듈은 치료가 종료된 원본 파일을 암호화한 후 저장한다.

다음으로 실시간 검사는 드라이버로 구현되어 커널 모드(Kernel Mode)에서 동작하고, 응용 프로그램의 파일 접근(즉, 응용 프로그램의 파일 열기와 닫기)을 후킹하는 방식으로 구현된다. 그러나 DRM은 문서를 복호하기 위해 사용자 인증, 키 접근, 사용내역 전송 등의 작업을 필요로 하기 때문에 커널 모드에서 실행될 수 없다. 따라서 사용자 모드에서 동작하는 DRM이 적용된 파일에 대해서는 커널 모드에서 동작하는 실시간 검사를 적용하는 것이 불가능하다는 문제가 있다.

본 발명이 이루고자 하는 기술적 과제는, DRM이 적용되어 암호화된 파일에 대해 실시간으로 악성 코드의 감염 여부를 검사 및 치료할 수 있는 장치를 제공하는 데 있다.

본 발명이 이루고자 하는 다른 기술적 과제는, DRM이 적용되어 암호화된 파일에 대해 실시간으로 악성 코드의 감염 여부를 검사 및 치료할 수 있는 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 데 있다.

상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 DRM 환경에서의 악성 코드 실시간 검사 장치에 대한 바람직한 실시예는, 사용자가 DRM이 적용된 파일에 대한 실행 명령을 입력하면, 상기 파일에 대응하여 생성한 핸들을 기초로 상기 파일에 대한 사용자의 권한을 확인한 후 상기 파일에 대응하여 생성된 핸들을 통한 파일 읽기/쓰기 동작시 복호화/암호화를 수행하고, 상기 파일에 대응하여 생성된 핸들과 상기 파일의 경로가 포함된 검사 요청 메시지를 출력하며, 상기 파일에 대한 악성 코드 검사 결과에 따라 상기 파일의 열기 동작의 수행 여부를 결정하는 DRM 모듈; 상기 DRM 모듈로부터 입력된 상기 검사 요청 메시지를 전달하는 인터페이스 모듈; 및 상기 인터페이스 모듈로부터 전달받은 상기 검사 요청 메시지에 포함되어 있는 상기 파일에 대응하여 생성된 핸들과 상기 파일의 경로를 기초로 상기 DRM 모듈에 의해 복호화되어 읽혀지는 원본 파일에 대한 악성 코드 감염 여부를 검사하고, 상기 원본 파일에 대한 악성 코드 검사 결과를 상기 인터페이스 모듈을 통해 상기 DRM 모듈로 전달하는 악성 코드 검사 모듈;을 구비한다.

상기의 다른 기술적 과제를 달성하기 위한, 본 발명에 따른 기록매체는, (a) 사용자가 DRM이 적용된 파일에 대한 실행 명령을 입력하면, 상기 파일에 대응하여 생성한 핸들을 기초로 상기 파일에 대한 사용자의 권한을 확인한 후 상기 파일에 대응하여 생성된 핸들을 통한 파일 읽기/쓰기 동작시 복호화/암호화를 수행하고, 상기 파일에 대응하여 생성된 핸들과 상기 파일의 경로가 포함된 검사 요청 메시지를 출력하는 단계; (b) 상기 DRM 모듈로부터 입력된 상기 검사 요청 메시지에 포함되어 있는 상기 파일에 대응하여 생성된 핸들과 상기 파일의 경로를 기초로 상기 복호화되어 읽혀지는 원본 파일에 대한 악성 코드 감염 여부를 검사하고, 상기 원본 파일에 대한 악성 코드 검사 결과를 리턴하는 단계; 및 (c) 상기 파일에 대한 악성 코드 검사 결과에 따라 상기 파일의 열기 동작의 수행 여부를 결정하는 단계;를 가지는 DRM 환경에서의 악성 코드 실시간 검사 방법을DRM 환경에서의 악성 코드 실시간 검사 방법을 컴퓨터에서 실행시키기 위한 프로그램을 보유한다.

본 발명에 따른 DRM 환경에서의 악성 코드 실시간 검사 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체에 의하면, DRM 구현에 있어서 백신 프로그램과 연동할 수 있는 인터페이스를 제공하고, 백신 프로그램을 DRM 지원 응용 프로그램에 로딩함으로써, DRM이 적용되어 암호화된 문서의 악성 코드 감염 여부를 실시간으로 검사하고 치료할 수 있다.

도 1은 본 발명에 따른 DRM 환경에서의 악성 코드 실시간 검사 장치에 대한 바람직한 실시예의 구성을 도시한 도면, 그리고,

도 2는 본 발명에 따른 DRM 환경에서의 악성 코드 실시간 검사 방법에 대한 바람직한 실시예의 수행과정을 도시한 흐름도이다.

이하에서 첨부된 도면들을 참조하여 본 발명에 따른 DRM 환경에서의 악성 코드 실시간 검사 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체의 바람직한 실시예에 대해 상세하게 설명한다.

도 1은 본 발명에 따른 DRM 환경에서의 악성 코드 실시간 검사 장치에 대한 바람직한 실시예의 구성을 도시한 도면이다.

도 1을 참조하면, 본 발명에 따른 DRM 환경에서의 악성 코드 실시간 검사 장치에 대한 바람직한 실시예(100)는 DRM 모듈(110), 인터페이스 모듈(120), 악성 코드 검사 모듈(130) 및 악성 코드 치료 모듈(140)로 구성된다.

DRM 모듈(110)은 사용자가 DRM이 적용된 파일을 더블 클릭하는 등의 동작을 통해 '파일 열기' 명령을 입력하면, 해당 파일에 대응하여 생성된 핸들을 기초로 해당 파일에 대한 사용자의 권한을 확인한다. 이때 해당 파일에 대응하여 생성된 핸들은 DRM 모듈(110)이 포함된 프로세스 내에서만 유효하다. 만약 사용자에게 해당 파일에 대한 '읽기 권한'이 있는 것으로 확인되면, DRM 모듈(110)은 해당 파일에 대응하여 생성된 핸들을 통한 파일 읽기/쓰기 동작시 복호화/암호화를 수행한다. 다음으로 DRM 모듈(110)은 해당 파일에 대응하여 생성된 핸들과 파일의 경로를 제공하여 인터페이스 모듈(120)을 호출한다. 그리고 인터페이스 모듈(120)로부터 전달받은 악성 코드 검사 결과에 따른 메시지를 사용자에게 출력한다. DRM 모듈(110)이 사용자에게 출력하는 검사 결과는 악성 코드의 검출 여부에 따라 달라진다. 만약 인터페이스 모듈(12)로부터 악성 코드가 검출되지 않았다는 검사 결과가 전달되면, DRM 모듈(110)은 사용자에게 별도의 메시지를 출력하지 않고 해당 파일에 대한 열기 동작을 수행한다. 이와 달리 악성 코드가 검출되었다는 검사 결과가 전달되면, DRM 모듈(110)은 악성 코드 감염 사실을 알리는 메시지를 사용자에게 출력하고, 해당 파일에 대한 핸들을 반환하여 파일 열기 동작을 종료한다.

인터페이스 모듈(120)은 암호화된 파일이 열리기 전에 악성 코드 검사 모듈(130)에 DRM 모듈(110)로부터 넘겨받은 파일에 대응하는 핸들과 파일의 경로를 제공하여 악성 코드 검사를 요청한다. 그리고 악성 코드 검사 모듈(130)에 의한 검사 결과를 DRM 모듈(110)로 출력한다. 이러한 인터페이스 모듈(120)은 DRM 모듈(110)에 일체로 구현될 수도 있다.

악성 코드 검사 모듈(130)은 인터페이스 모듈(120)로부터 제공받은 파일에 대한 핸들과 파일 경로를 기초로 DRM 모듈(110)에 의해 복호화되어 읽혀지는 원본 파일에 대한 악성 코드 감염 여부를 검사한다. 이러한 악성 코드 검사 모듈(130)은 DRM 모듈(110) 지원 응용 프로그램에 로딩되어 실행되므로, 파라미터로 전달받은 핸들을 사용하여 암호화된 파일의 내용을 복호화된 상태로 읽을 수 있다. 또한 악성 코드 검사 모듈(130)은 후킹된 컨텍스트에서 호출되므로, CreateFile() 호출, 메시지 출력 등의 동작을 수행하면 안되고, 해당 파일의 핸들을 사용하여 검사만 수행하여야 한다. 만약 악성 코드의 검사 중에 "검사중입니다"와 같은 메시지를 출력하고자 한다면, 악성 코드 치료 모듈(140)에 해당 메시지의 출력을 요청한다. 이와 같은 메시지의 출력은 악성 코드 검사 결과를 인터페이스 모듈(120)로 리턴하기 전에 수행될 수 있다. 그리고 악성 코드 검사 모듈(130)는 미감염, 감염, 오류 등의 검사 결과를 인터페이스 모듈(120)로 리턴한다. 나아가 악성 코드 검사 모듈(130)은 해당 파일이 악성 코드에 감염된 것으로 확인되면, 해당 파일의 경로를 악성 코드 치료 모듈(140)에 제공하여 감염 사실을 알려준다.

악성 코드 치료 모듈(140)은 악성 코드 검사 모듈(130)로부터 전달받은 해당 파일의 경로를 기초로 사용자의 선택에 의해 악성 코드를 치료한다. 이러한 악성 코드 치료 동작은 사용자 검사(즉, 수동 검사)와 동일하게 DRM 모듈(110)에서 제공하는 SDK를 사용하여 구현될 수 있다. 따라서 악성 코드 검사 모듈(130)이 해당 파일로부터 악성 코드를 검출한 이후에는 기존의 수동 검사와 동일한 방식에 의해 악성 코드의 치료가 수행된다. 이와 같이 악성 코드 치료 모듈(140)이 별도의 동작에 의해 치료 동작을 수행하는 이유는 DRM 모듈(110), 인터페이스 모듈(120) 및 악성 코드 검사 모듈(130)은 동일한 프로세스에서 동작하므로 파일 핸들을 공유하여 파일 내용을 복호화된 상태로 접근할 수 있지만, 악성 코드 치료 모듈(140)은 이들과는 상이한 프로세스에서 동작하므로 파일 핸들을 공유할 수 없어 파일 내용을 복호화된 상태로 접근할 수 없기 때문이다.

도 2를 참조하면, 사용자가 DRM이 적용된 파일에 대한 '파일 열기' 명령을 입력하면, DRM 모듈(110)은 해당 파일에 대응하여 생성된 핸들을 기초로 해당 파일에 대한 사용자의 권한을 확인한다(S200). 만약 사용자에게 해당 파일에 대한 '읽기 권한'이 있는 것으로 확인되면(S205), DRM 모듈(110)은 해당 파일에 대응하여 생성된 핸들을 통한 파일 읽기/쓰기 동작시 복호화/암호화를 수행한다(S210). 다음으로 DRM 모듈(110)은 해당 파일에 대응하여 생성된 핸들과 파일의 경로를 제공하여 인터페이스 모듈(120)을 호출한다(S215). 다음으로 인터페이스 모듈(120)은 암호화된 파일이 열리기 전에 악성 코드 검사 모듈(130)에 DRM 모듈(110)로부터 넘겨받은 해당 파일에 대응하는 핸들과 파일의 경로를 제공하여 악성 코드 검사를 요청한다(S220). 악성 코드 검사 모듈(130)은 인터페이스 모듈(120)로부터 제공받은 파일에 대한 핸들과 파일 경로를 기초로 DRM 모듈(110)에 의해 복호화되어 읽혀지는 원본 파일에 대한 악성 코드 감염 여부를 검사한다(S225).

다음으로 악성 코드 검사 모듈(130)은 인터페이스 모듈(120)로 검사 결과를 리턴한다(S230). 인터페이스 모듈(120)은 악성 코드 검사 모듈(130)로부터 리턴된 검사 결과를 DRM 모듈(110)로 전달한다(S235). DRM 모듈(110)은 전달받은 검사 결과를 확인한다(S240). 만약 악성 코드가 발견된 것으로 확인되면, DRM 모듈(110)은 해당 파일에 대응하여 생성된 핸들을 반환하고 파일 열기 동작을 종료한다(S245). 이러한 파일 열기 동작의 종료는 S205 단계에서 사용자에게 해당 파일에 대한 '읽기 권한'이 없는 것으로 확인된 경우에도 동일하게 수행된다. 이와 달리 악성 코드가 발견되지 않은 것으로 확인되면, DRM 모듈(110)은 해당 파일에 대한 열기 동작을 계속 수행한다(S250).

한편 악성 코드 검사 모듈(130)은 악성 코드가 발견된 파일의 경로를 악성 코드 치료 모듈(140)로 제공하여 악성 코드에 대한 치료를 요청한다. 이러한 악성 코드에 대한 치료 요청 동작은 설정 상태에 따라 선택적으로 수행될 수 있다. 이때 악성 코드 치료 모듈(140)은 DRM 모듈(110)로 검사 결과가 리턴된 이후에 악성 코드 검사 모듈(130)로부터 전달받은 해당 파일의 경로를 기초로 해당 파일의 악성 코드 감염에 대한 메시지를 사용자에게 출력하고, 사용자로부터 치료 여부를 선택받는다. 만약 사용자가 치료를 선택하면, 악성 코드 치료 모듈(140)은 해당 파일에 대한 치료 동작을 수행한다. 이러한 악성 코드 치료 모듈(140)에 의한 치료 동작은 종래의 DRM이 적용된 파일에 대한 수동 치료 과정과 동일하다.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.

이상에서 본 발명의 바람직한 실시예에 대해 도시하고 설명하였으나, 본 발명은 상술한 특정의 바람직한 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변경은 청구범위 기재의 범위 내에 있게 된다.

Claims

사용자가 DRM이 적용된 파일에 대한 실행 명령을 입력하면, 상기 파일에 대응하여 생성한 핸들을 기초로 상기 파일에 대한 사용자의 권한을 확인한 후 상기 파일에 대응하여 생성된 핸들을 통한 파일 읽기/쓰기 동작시 복호화/암호화를 수행하고, 상기 파일에 대응하여 생성된 핸들과 상기 파일의 경로가 포함된 검사 요청 메시지를 출력하며, 상기 파일에 대한 악성 코드 검사 결과에 따라 상기 파일의 열기 동작의 수행 여부를 결정하는 DRM 모듈;

상기 DRM 모듈로부터 입력된 상기 검사 요청 메시지를 전달하는 인터페이스 모듈; 및

상기 인터페이스 모듈로부터 전달받은 상기 검사 요청 메시지에 포함되어 있는 상기 파일에 대응하여 생성된 핸들과 상기 파일의 경로를 기초로 상기 DRM 모듈에 의해 복호화되어 읽혀지는 원본 파일에 대한 악성 코드 감염 여부를 검사하고, 상기 원본 파일에 대한 악성 코드 검사 결과를 상기 인터페이스 모듈을 통해 상기 DRM 모듈로 전달하는 악성 코드 검사 모듈;을 포함하는 것을 특징으로 하는 DRM 환경에서의 악성 코드 실시간 검사 장치.
제 1항에 있어서,

상기 악성 코드 검사 모듈로부터 전달받은 상기 파일의 경로를 기초로 사용자의 선택에 의해 악성 코드를 치료하는 악성 코드 치료 모듈을 더 포함하는 것을 특징으로 하는 DRM 환경에서의 악성 코드 실시간 검사 장치.
제 2항에 있어서,

상기 악성 코드 치료 모듈은 상기 DRM 모듈로 악성 코드 검사 결과가 리턴된 이후에 상기 악성 코드 검사 모듈로부터 전달받은 해당 파일의 경로를 기초로 상기 파일의 악성 코드 감염에 대한 메시지를 사용자에게 출력한 후 사용자로부터 치료 여부를 선택받는 것을 특징으로 하는 DRM 환경에서의 악성 코드 실시간 검사 장치.
제 1항 또는 제 2항에 있어서,

상기 DRM 모듈은 상기 파일에서 악성 코드가 검출된 것으로 확인되면, 악성 코드 감염 사실과 치료 여부를 문의하는 메시지를 사용자에게 출력하고, 상기 파일에 대한 핸들을 반환하여 파일 열기 동작을 종료하는 것을 특징으로 하는 DRM 환경에서의 악성 코드 실시간 검사 장치.
제 1항 또는 제 2항에 있어서,

상기 악성 코드 검사 모듈은 악성 코드의 검사 중에 상기 악성 코드 치료 모듈에 사용자에게 악성 코드 검사 중임을 알리는 메시지의 출력을 요청하는 것을 특징으로 하는 DRM 환경에서의 악성 코드 실시간 검사 장치.
(a) 사용자가 DRM이 적용된 파일에 대한 실행 명령을 입력하면, 상기 파일에 대응하여 생성한 핸들을 기초로 상기 파일에 대한 사용자의 권한을 확인한 후 상기 파일에 대응하여 생성된 핸들을 통한 파일 읽기/쓰기 동작시 복호화/암호화를 수행하고, 상기 파일에 대응하여 생성된 핸들과 상기 파일의 경로가 포함된 검사 요청 메시지를 출력하는 단계;

(b) 상기 DRM 모듈로부터 입력된 상기 검사 요청 메시지에 포함되어 있는 상기 파일에 대응하여 생성된 핸들과 상기 파일의 경로를 기초로 상기 복호화되어 읽혀지는 원본 파일에 대한 악성 코드 감염 여부를 검사하고, 상기 원본 파일에 대한 악성 코드 검사 결과를 리턴하는 단계; 및

(c) 상기 파일에 대한 악성 코드 검사 결과에 따라 상기 파일의 열기 동작의 수행 여부를 결정하는 단계;를 포함하는 것을 특징으로 하는 DRM 환경에서의 악성 코드 실시간 검사 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
제 6항에 있어서,

상기 (c)단계에서, 상기 파일에서 악성 코드가 검출된 것으로 확인되면 악성 코드 감염 사실과 치료 여부를 문의하는 메시지를 사용자에게 출력하고, 상기 파일에 대한 핸들을 반환하여 파일 열기 동작을 종료하는 것을 특징으로 하는 기록매체.