WO2013077565A1

WO2013077565A1 - 악성코드 진단 및 치료 서비스 장치 및 방법

Info

Publication number: WO2013077565A1
Application number: PCT/KR2012/008935
Authority: WO
Inventors: 김경희; 김건우; 정은진
Original assignee: 주식회사 안랩
Priority date: 2011-11-22
Filing date: 2012-10-29
Publication date: 2013-05-30
Also published as: KR101291125B1; KR20130056488A

Abstract

본 발명은 가상화 환경에서의 악성코드 진단 및 치료 서비스 장치에 관한 것으로, 악성코드 진단 및 치료를 위한 서비스 정보에 따라 검사 대상 ID 시그니처(Identification signature)를 저장하는 하이퍼바이저(hypervisor)용 악성코드 진단 및 치료 서비스 장치와, 검사 대상 ID 시그니처를 이용하여 악성코드에 대한 진단 및 치료를 수행하는 게스트 OS(guest Operating System)용 악성코드 진단 및 치료 서비스 장치를 포함할 수 있다.

Description

악성코드 진단 및 치료 서비스 장치 및 방법

본 발명은 악성코드 진단 및 치료 서비스에 관한 것으로, 특히 클라이언트 장치의 가상화 환경을 하이퍼바이저(hypervisor) 환경과 게스트 OS(guest Operating System) 환경으로 구분하여 악성코드 진단 및 치료에 필요한 리소스를 효과적으로 공유하는 악성코드 진단 및 치료 서비스 장치 및 방법에 관한 것이다.

가상화 환경에서는 하나의 물리적 서버에 여러 개의 OS(Operating System)가 동시 설치되어 개별 동작될 수 있다. 이때, 개별 OS도 외부 네트워크를 통해 초기 설정상태와 다른 파일 유입 및 접근을 통한 바이러스 감염 또는 악성코드 유포로 인한 정보 유출 등이 가능하다.

이러한 환경에서는 주로 두 가지 형태의 악성코드 진단 및 치료 기법이 존재한다.

예를 들어, 모든 클라이언트 OS마다 악성코드 진단 및 치료 장치를 두고 진단 및 치료를 행하는 방식과, 하이퍼바이저(Hypervisor)에만 악성코드 진단 및 치료 장치를 설치하고 클라이언트 OS는 진단 및 치료를 하이퍼바이저에 요청하는 방식이 존재한다.

첫 번째 방식은 개별 클라이언트 OS마다 전체 악성코드 진단 및 치료 장치가 설치되기 때문에 시스템 리소스 점유율이 높게 나타난다. 즉, 각각의 클라이언트 OS에 악성코드 진단 및 치료 기능, 업데이트 기능, 악성코드 정보 저장 기능 등이 포함되기 때문에 전체 시스템 점유율이 높아질 수밖에 없다.

두 번째 방식은 검사 대상 파일이 클라이언트 OS에서 직접 제어되기 때문에 검사 및 치료 과정에서 검사 속도가 떨어지는 문제가 존재한다.

이에 본 발명의 실시예에서는, 클라이언트 장치의 가상화 환경을 하이퍼바이저(Hypervisor) 및 게스트 OS 환경으로 구분하여 악성코드 진단 및 치료에 필요한 전체 시스템 리소스를 효율적으로 활용할 수 있는 가상화 환경에서의 악성코드 진단 및 치료 서비스 장치 및 방법을 제공할 수 있다.

본 발명의 실시예에 따른 가상화 환경에서의 악성코드 진단 및 치료 서비스 장치는, 악성코드 진단 및 치료 서비스 제공 장치로부터 제공되는 악성코드 진단 및 치료에 필요한 구성 정보에 따라 악성코드에 대한 진단 및 치료를 수행하거나 업데이트를 수행하거나 ID 시그니처(Identification signature)를 저장하는 하이퍼바이저(hypervisor)용 악성코드 진단 및 치료 서비스 장치와, 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치의 ID 시그니처에 의거한 최소 리소스로 악성코드에 대한 진단 및 치료를 수행하는 게스트 OS(guest Operating System)용 악성코드 진단 및 치료 서비스 장치를 포함할 수 있다.

여기서, 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치는, 하이퍼바이저에 설치된 파일 또는 프로세스에 대한 검사 대상을 위한 실제 파일 I/O(Input / Output)를 이용한 검사 환경과 검사 대상 ID 시그니처를 이용한 검사 환경을 제공할 수 있다.

또한, 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치는, 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치의 상기 검사 대상 ID 시그니처의 악성코드 여부 요청에 대한 진단 결과를 제공할 수 있다.

또한, 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치는, 상기 가상화 환경의 하이퍼바이저에 설치된 접근 가능한 리소스에 대한 파일 I/O 기반의 검사를 수행하거나, 특정 검사 대상에 대한 존재여부 확인 검사를 제공할 수 있다.

또한, 상기 존재여부 확인 검사는, 특정 파일의 ID 시그니처의 악성 여부를 판단하거나, 상기 가상화 환경의 특정 위치에 설치된 대상에 대한 악성 여부를 판단하는 기능을 포함할 수 있다.

또한, 상기 가상화 환경의 특정 위치에 설치된 대상은, 파일 패스(path) 또는 디렉토리 패스 또는 윈도우 레지스트리 중 적어도 하나를 포함할 수 있다.

또한, 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치는, 시스템 설정 및 네트워크 환경에 따라 클라우드 기반의 서비스 또는 업데이트 기반의 서비스를 선택적으로 수행할 수 있다.

또한, 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치는, 플랫폼의 제약이 없는 확인 진단 기능을 제공할 수 있다.

또한, 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치는, 상기 악성코드 진단 및 치료 서비스 제공 장치로부터 상기 악성코드 진단 및 치료에 필요한 구성들을 정기적으로 업데이트 받을 수 있다.

또한, 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치는, 특정 검사 대상의 악성 여부 판단을 위한 최소 리소스를 가지며, 악성코드 진단 및 치료 과정의 특정 검사 기법에 대해서 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치의 검사 기법을 활용할 수 있다.

또한, 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치는, 악성으로 판단된 검사 대상에 대한 치료 기능을 제공할 수 있다.

또한, 상기 치료 기능은, 삭제 또는 복원 또는 감염제거 중 적어도 하나의 기능을 포함할 수 있다.

본 발명의 실시예에 따른 악성코드 진단 및 치료 서비스 장치는, 악성코드 진단 및 치료 기법을 제공하고 악성코드 진단 및 치료 정보를 주기적으로 업데이트하는 악성코드 진단 및 치료 엔진과, 상기 악성코드 진단 및 치료 엔진에 의해 관리되며, 악성코드 진단 및 치료 서비스 제공 장치로부터의 ID 시그니처가 저장되는 하이퍼바이저용 시그니처 데이터베이스와, 클라우드 서비스를 위한 네트워크 쿼리(query) 기능을 포함하며, 가상화 환경 내에서 상기 악성코드 진단 및 치료 기법 또는 상기 ID 시그니처를 다수의 게스트 OS용 악성코드 진단 및 치료 서비스 장치로 제공하는 클라우드 네트워크 쿼리 장치를 포함할 수 있다.

여기서, 상기 악성코드 진단 및 치료 엔진은, 상기 다수의 게스트 OS용 악성코드 진단 및 치료 서비스 장치로 악성코드에 대한 확인 진단 기능을 제공할 수 있다.

또한, 상기 ID 시그니처는, 특정 파일에 대한 유일성을 식별할 수 있는 값 또는 특정 대상의 패스 정보 중 어느 하나를 포함할 수 있다.

본 발명의 실시예에 따른 악성코드 진단 및 치료 서비스 장치는, 파일의 악성 유무를 검사할 때 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치로부터 업데이트된 악성코드 진단 및 치료에 필요한 정보, 또는 검사 대상의 ID 시그니처를 이용하여 악성코드 진단 및 치료를 수행하는 악성코드 진단 및 치료 엔진과, 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치를 연결하여 상기 악성코드 진단 및 치료에 필요한 정보, 또는 검사 대상의 ID 시그니처를 상기 악성코드 진단 및 치료 엔진에 제공하는 클라우드 네트워크 쿼리 장치를 포함할 수 있다.

여기서, 상기 악성코드 진단 및 치료 엔진은, 악성코드 진단 결과, 또는 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치의 특정 대상 ID 시그니처의 악성여부 확인 결과가 악성인 경우에 최종 진단 결과를 악성으로 판단할 수 있다.

또한, 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치는, 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치의 플랫폼에 종속되지 않고 정보 확인이 가능할 수 있다.

본 발명의 실시예에 따른 가상화 환경에서의 악성코드 진단 및 치료 서비스 방법은, 파일 검사 요청에 따라 게스트 OS용 악성코드 진단 및 치료 서비스 장치에서 악성코드 진단 및 치료 엔진을 활성화시키는 과정과, 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치가 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치로 악성코드 진단 및 치료에 필요한 ID 시그니처를 요청하는 과정과, 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치의 데이터베이스에 업데이트된 ID 시그니처를 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치로 제공하는 과정과, 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치로부터 획득한 ID 시그니처에 따라 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치에서 악성코드의 진단을 수행하는 과정과, 상기 악성코드의 진단 결과에 따라 악성 여부를 판단하는 과정과, 상기 악성코드의 진단 결과가 악성으로 판단된 경우에 상기 악성코드를 치료하는 과정을 포함할 수 있다.

여기서, 상기 악성코드 진단은, 상기 게스트 OS용 악성코드 진단 및 치료 장치의 자체 진단을 포함할 수 있다.

또한, 상기 가상화 환경에서의 악성코드 진단 및 치료 서비스 방법을 실행시키기 위한 프로그램이 기록된 기록매체를 포함할 수 있다.

본 발명에 의하면, 최소한의 자원 사용을 통해 가상화 환경의 수십 내지 수백 개의 개별 게스트 OS 각각에 대한 악성코드 진단 및 치료 서비스를 제공받을 수 있다. 가상화 환경의 물리적 장치에서 단일 하이퍼바이저용 악성코드 진단 및 치료 장치와 최소화된 개별 게스트 OS용 악성코드 진단 및 치료 장치로 구성된 클라우드 기반의 악성코드 진단 및 치료 서비스로 인해 각각의 게스트 OS는 하이퍼바이저용 악성코드 진단 및 치료 장치가 개별 설치된 것과 동일한 악성코드 진단 및 치료 서비스를 보장받을 수 있다. 또한, 바이러스 감염과 같이 복잡한 치료가 요구되는 상황에서도 모든 범위의 치료 과정이 가능하여 가상화 환경의 게스트 OS에서도 안정적인 컨텐츠 및 시스템 보안이 가능하다.

도 1은 본 발명의 실시예에 적용될 수 있는 가상화 환경에서의 악성코드 진단 및 치료 서비스 시스템에 대한 블록도,

도 2는 본 발명의 실시예에 따른 가상화 환경에서의 악성코드 진단 및 치료 서비스 제공 장치에 대한 상세 블록도,

도 3은 본 발명의 실시예에 따른 가상화 환경에서의 악성코드 진단 및 치료 서비스 장치, 예컨대 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치의 상세 블록도,

도 4는 본 발명의 실시예에 따른 가상화 환경에서의 악성코드 진단 및 치료 서비스 장치, 예컨대 게스트 OS용 악성코드 진단 및 치료 서비스 장치의 상세 블록도,

도 5는 본 발명의 실시예에 따른 가상화 환경에서의 악성코드 진단 및 치료 서비스 과정을 예시적으로 설명하는 흐름도.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.

이하, 본 발명의 실시예에 대해 첨부된 도면을 참조하여 상세히 설명하기로 한다.

도 1은 본 발명의 바람직한 실시예에 따른 가상화 환경에서의 악성코드 진단 및 치료 서비스 시스템에 대한 블록도로서, 악성코드 진단 및 치료 서비스 제공 장치(10), 및 네트워크(20)를 통하여 악성코드 진단 및 치료 서비스 제공 장치(10)에 연결된 클라이언트 장치(100) 등을 포함할 수 있다.

도 1에 도시한 바와 같이, 악성코드 진단 및 치료 서비스 제공 장치(10)는 전체 악성코드 진단 및 치료 서비스를 후술하는 클라이언트 장치(100)로 제공하는 역할을 할 수 있다. 이러한 악성코드 진단 및 치료 서비스 제공 장치(10)는 악성코드 진단 및 치료 서비스를 업데이트(update) 서비스 방식으로 제공하거나, 클라우드(cloud) 서비스 방식으로 제공할 수도 있음을 주지할 필요가 있다.

네트워크(20)는 본 발명의 실시예에 따른 업데이트 기반 또는 클라우드 기반의 악성코드 진단 및 치료 서비스가 클라이언트 장치(100)로 제공될 수 있도록 악성코드 진단 및 치료 서비스 제공 장치(10)와 클라이언트 장치(100)를 서로 연결시키는 역할을 할 수 있다.

이러한 네트워크(20)는, 예를 들어 인터넷(Internet), WCDMA(Wideband Code Division Multiple Access), LTE(Long Term Evolution) 등의 광대역 통신 네트워크, 또는 와이파이(WiFi) 등의 근거리 통신 네트워크를 포함할 수 있으며, 유선 또는 무선에 국한될 필요는 없다.

도 2는 도 1의 악성코드 진단 및 치료 서비스 제공 장치(10)를 보다 구체적으로 도시한 도면으로서, 업데이트용 악성코드 진단 및 치료 서비스 서버(12), 시그니처 DB(signature DataBase)(14), 클라우드 서비스 서버(16) 등을 포함할 수 있다.

업데이트용 악성코드 진단 및 치료 서비스 서버(12)는 업데이트용 악성코드 진단 및 치료를 위한 데이터베이스인 시그니처 DB(14)를 관리하며, 업데이트 기반의 악성코드 진단 및 치료 서비스를 네트워크(20)를 통해 클라이언트 장치(100)로 제공할 수 있다.

시그니처 DB(14)에는 특정 파일에 대한 유일성을 식별할 수 있는 값 또는 특정 항목(예를 들어, 파일, 윈도 레지스트리 등의 항목)에 대한 패스(path) 정보 등을 포함하는 ID 시그니처가 저장될 수 있으며, 특정 ID 시그니처는 업데이트용 악성코드 진단 및 치료 서비스 서버(12)를 통해 관리될 수 있다.

클라우드 서비스 서버(16)는 클라우드 기반의 악성코드 진단 및 치료 서비스를 클라이언트 장치(100)에게 제공하는 역할을 할 수 있다.

이와 같은 악성코드 진단 및 치료 서비스 제공 장치(10)의 업데이트 기반 서비스 또는 클라우드 기반 서비스는 클라이언트 장치(100)의 서비스 환경에 따라 선택적으로 제공될 수 있을 것이다.

다시 도 1을 참조하면, 클라이언트 장치(100)는 본 발명의 실시예에 따라 악성코드 진단 및 치료 서비스를 제공하기 위한 장치로서, 하이퍼바이저(Hypervisor)용 악성코드 진단 및 치료 서비스 장치(110)와, 다수의 게스트 OS(guest Operating System)용 악성코드 진단 및 치료 서비스 장치(120/1~120/N) 등을 포함할 수 있으며, 이들 장치들(110)(120/1~120/N)은 가상화 환경 내에서 동작될 수 있다. 도 1에는 하나의 클라이언트 장치(100)를 도시하였으나, 이는 설명의 편의를 위한 것일 뿐, 네트워크(20)를 통해 악성코드 진단 및 치료 서비스 제공 장치(10)와 연결되는 클라이언트 장치는 다수 개 구현될 수 있음을 당업자라면 용이하게 이해할 수 있을 것이다.

이러한 클라이언트 장치(100)는 네트워크(20)를 통해 악성코드 진단 및 치료 서비스 제공 장치(10)로부터 제공되는 클라우드 기반 또는 업데이트 기반의 악성코드 진단 및 치료 서비스를 위한 정보를 제공받을 수 있으며, 가상화 환경을 위한 하이퍼바이저용 악성코드 진단 및 치료 장치와 게스트 OS용 악성코드 진단 및 치료 장치로 구분하고, 각각의 게스트 OS용 악성코드 진단 및 치료 장치에는 악성코드 진단 및 치료에 필요한 최소한의 리소스, 예컨대 백신 처리를 위한 로직(예를 들어, 5Mbyte 미만의 용량을 갖는 로직)만을 실행시키며, 하이퍼바이저용 악성코드 진단 및 치료 장치에는 악성코드 진단 및 치료 기능, 업데이트 기능, ID 시그니처 저장 기능 등을 수행하게 함으로써, 전체 시스템 리소스를 효율적으로 활용하도록 구현할 수 있다.

하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)는 하이퍼바이저에 설치된 파일, 프로세스 등의 검사 대상을 위한 실제 파일 I/O(Input / Output)를 이용한 검사 환경과 검사 대상 ID 시그니처를 이용한 검사 환경을 제공할 수 있으며, 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)로부터의 요청에 대응하여 특정 검사 대상 ID 시그니처를 이용한 악성코드 진단 결과를 제공할 수 있다. 즉, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)는 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)를 통해 ID 시그니처를 확인시킬 수 있다. 또한, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)는 악성코드 진단 및 치료 서비스 제공 장치(10)로부터 악성코드 진단 및 치료에 필요한 구성, 업데이트, ID 시그니처 등을 제공받을 수 있다.

또한, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)는 하이퍼바이저에 설치된 특정 검사 대상들, 예를 들어 파일, 프로세스 등 접근 가능한 리소스에 대한 파일 I/O 기반의 검사를 수행하거나, 특정 검사 대상에 대한 존재여부 확인 검사를 제공할 수 있다. 여기서, 존재여부 확인 검사는, 특정 파일 ID 시그니처의 악성 여부를 판단하거나, 시스템의 특정 위치에 설치된 대상, 예를 들어 파일 패스(path) 또는 디렉토리 패스 또는 윈도우 레지스트리 등에 대한 악성 여부를 판단하는 기능을 포함할 수 있다. 즉, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)는 검사 대상인 파일(프로세스)이 존재할 경우에 검사 방식과 실제 검사 대상에 직접 접근하지 않더라도 해당 검사 대상의 악성 여부를 확인할 수 있다. 이때, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)는 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)에 포함된 구성 외에도 검사 대상 ID 시그니처 검사를 지원하기 위한 악성코드 진단에 필요한 ID 시그니처를 포함할 수 있다.

또한, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)는 시스템 설정 및 네트워크 환경에 따라 클라우드 서비스를 활용한 검사를 진행할 수 있다. 이때, 진단 과정에서 하이퍼바이저에 이미 업데이트된 악성코드 진단 및 치료 서비스의 모든 정보를 이용한 검사 진행뿐만 아니라, 클라우드 방식의 외부 시스템 또는 외부에서 제공되는 악성코드 진단 및 치료 서비스를 모두 사용하여 특정 대상의 악성 여부를 검사할 수 있다.

또한, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)는 윈도우, 리눅스 등과 같은 플랫폼에 대한 제약이 없는 확인 진단 기능을 제공할 수 있다. 즉, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)가 설치되는 플랫폼에서 확인 불가능한 경우(예를 들어, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치는 리눅스 환경이고, 게스트 OS용 악성코드 진단 및 치료 서비스 장치는 윈도우 환경인 경우)에도 진단 대상(예를 들어, 윈도우 레지스트리 패스(path))에 대한 악성 유무 확인 기능을 제공함으로써, 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)에는 최소한의 리소스만 사용되도록 구현할 수 있다.

또한, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)는 악성코드 진단 및 치료 서비스 제공 장치(10)로부터 악성코드 진단 및 치료에 필요한 구성들을 정기적으로 업데이트 받아 최신의 악성코드도 진단할 수 있게 한다. 특정 가상화 환경의 물리적 장치는 일반적으로 최소 개수의 하이퍼바이저로 구성되기 때문에 각각의 하이퍼바이저에는 악성코드 진단 및 치료 장치가 사용하는 리소스 제약이 적은 상태이므로 최대한의 악성코드 진단 및 치료 구성을 업데이트 받을 수 있다.

다수의 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)는 특정 검사 대상의 악성 여부 판단을 위한 리소스, 예컨대 악성코드로 감염된 대상의 검사를 위한 최소한의 리소스를 각각 가지고 있으며, 악성코드 진단 및 치료 과정에서 일부 검사 기법에 대해서는 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)의 검사 기법을 활용할 수도 있다.

또한, 각각의 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)는 악성으로 판단된 검사 대상에 대한 치료 서비스를 수행할 수 있다. 각각의 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)는 복합적 진단 및 치료를 필요로 하는 악성코드에 대한 모든 정보를 가지고 있기 때문에, 자체 악성코드 진단 및 치료 서비스만으로 치료(삭제, 복원, 감염제거 등) 서비스를 수행할 수 있다. 진단 과정에서 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)의 검사 기법을 사용한 경우라도 자체 악성코드 진단 및 치료 서비스를 활용하여 감염된 악성코드의 치료(삭제, 복원, 감염제거 등)가 가능하다.

도 3은 이러한 클라이언트 장치(100)에서 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)를 구체적으로 도시한 도면으로서, 악성코드 진단 및 치료 기법을 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)로 제공하고 새로운 악성코드 진단 및 치료 정보를 업데이트하는 악성코드 진단 및 치료 엔진(112), 악성코드 진단 및 치료 서비스 제공 장치(10)로부터의 ID 시그니처가 저장되는 하이퍼바이저용 시그니처 DB(114), 클라우드 서비스를 제공받기 위한 네트워크 쿼리(query) 기능을 갖는 클라우드 네트워크 쿼리 장치(116) 등을 포함할 수 있다.

악성코드 진단 및 치료 엔진(112)은 하이퍼바이저용 시그니처 DB(114)를 관리하며, 각각의 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)로 악성코드에 대한 확인 진단 기능을 제공할 수 있다.

즉, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)에서 제공하는 진단 및 치료 과정에서 실제 특정 파일에 대한 접근을 통한 분석 과정을 이용한 악성 여부 판단뿐 아니라, 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)로부터 요청되는 특정 정보에 대한 확인 진단 기능도 제공할 수 있다. 이러한 확인 진단 기능은 실제 검사 대상 파일, 레지스트리 등에 대한 I/O 없이도 제공될 수 있다.

또한, 악성코드 진단 및 치료 엔진(112)은 악성코드 진단 및 치료 서비스 제공 장치(10)로부터 새로운 악성코드 진단 및 치료 정보를 지속적으로 업데이트 받을 수 있는데, 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)에 비해 업데이트 주기가 짧을 수 있다.

하이퍼바이저용 시그니처 DB(114)에는 게스트 OS용 악성코드 진단 및 치료에 필요한 진단 및 치료 정보 외에도, 빠른 조회를 보장하는 대상 ID 시그니처로 구성된 다수의 블랙 리스트 기반의 악성코드 정보가 저장될 수 있으며, 저장된 정보들은 필요에 따라 악성코드 진단 및 치료 엔진(112)에 의해 취사 선택될 수 있다.

클라우드 네트워크 쿼리 장치(116)는 특정 악성코드 진단 과정에서 검사 대상의 ID 시그니처를 이용한 하이퍼바이저용 악성코드 진단 및 치료 기법을 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)로 제공하거나, ID 시그니처 정보를 조회하는 역할을 할 수 있다.

상대적으로 리소스 사용이 높은 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)는 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)보다 단순한 정보로 구성되어 리소스 사용은 높지만 빠른 조회 및 효율적인 정보 관리를 통해 게스트 OS의 특정 대상 악성 여부 확인 요청에 신속하게 대응할 수 있다.

도 4는 클라이언트 장치(100)의 다수의 게스트 OS용 악성코드 진단 및 치료 서비스 장치(120/1~120/N)에서 임의의 게스트 OS용 악성코드 진단 및 치료 서비스 장치, 예를 들어 게스트 OS용 악성코드 진단 및 치료 서비스 장치1(120/1)을 구체적으로 나타낸 도면이다.

도 4에도 도시한 바와 같이, 게스트 OS용 악성코드 진단 및 치료 서비스 장치1(120/1)은 악성코드 진단 및 치료 엔진(122), 클라우드 네트워크 쿼리 장치(124) 등을 포함할 수 있다.

악성코드 진단 및 치료 엔진(122)은 파일의 악성 유무를 검사할 때 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)로부터 업데이트된 게스트 OS용 악성코드 진단 및 치료 기법을 이용할 수 있다.

또한, 악성코드 진단 및 치료 엔진(122)은 클라우드 네트워크 쿼리 장치(124)를 통해 하이퍼바이저용 악성코드 진단 및 치료 기법을 이용하여 특정 진단 과정의 검사 대상 ID 시그니처에 대한 악성 여부를 검사할 수 있다.

구체적으로, 악성코드 진단 및 치료 엔진(122)은 해당 장치의 진단 결과 또는 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)로부터 제공되는 특정 대상 ID 시그니처에 대한 악성여부 확인 결과가 악성인 경우에 최종 진단 결과를 악성으로 판단할 수 있다.

이러한 악성코드 진단 및 치료 엔진(122)은 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)를 통해 새로운 악성코드 진단 및 치료 정보를 업데이트 받을 수 있는데, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)와 비교하여 상대적으로 업데이트 주기가 길 수 있다.

이때, 악성코드 진단 및 치료 엔진(122)은 치료와 관련된 모든 기능을 포함하고 있으므로 진단 과정에서 하이퍼바이저용 악성코드 진단 및 치료 장치(110)의 정보를 이용했더라도 자체 치료가 가능하다. 특히, 바이러스 감염된 것으로 판명된 경우에도 정상파일로의 복원(치료)이 가능하다.

게스트 OS용 악성코드 진단 및 치료 서비스 장치1(120/1)은, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)가 설치된 플랫폼과 상관없이 정보 확인이 가능하다. 예를 들어, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)의 설치환경은 리눅스 플랫폼이고, 게스트 OS용 악성코드 진단 및 치료 서비스 장치1(120/1)의 설치환경은 윈도우인 경우에도, 윈도우 파일 및 레지스트리에 대한 확인 진단을 제공할 수 있다. 이때, 게스트 OS용 악성코드 진단 및 치료 서비스 장치1(120/1)과 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)는 서버 주소와 포트에 대해 변경이 가능한 통신 프로토콜을 사용할 수 있다.

도 5는 본 발명의 실시예에 따른 가상화 환경에서의 악성코드 진단 및 치료 서비스 과정을 예시적으로 설명하는 흐름도이다.

도 5에 도시한 바와 같이, 임의의 게스트 OS용 악성코드 진단 및 치료 서비스 장치, 예를 들어 게스트 OS용 악성코드 진단 및 치료 서비스 장치1(120/1)에서 파일 검사 요청이 발생되면, 악성코드 진단 및 치료 엔진(122)을 활성화시킬 수 있다(S100)(S102).

이때, 게스트 OS용 악성코드 진단 및 치료 서비스 장치1(120/1)은 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)로 악성코드 진단 및 치료에 필요한 ID 시그니처를 요청할 수 있으며, 이에 따라 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)는 하이퍼바이저용 시그니처 DB(114)에 업데이트된 ID 시그니처를 게스트 OS용 악성코드 진단 및 치료 서비스 장치1(120/1)로 제공할 수 있다(S104).

즉, 게스트 OS용 악성코드 진단 및 치료 서비스 장치1(120/1)는 악성코드 진단 및 치료에 필요한 전체 파일이 없더라도 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)의 ID 시그니처를 이용하면 되기 때문에, 최소한의 리소스만 필요하며 빈번하게 업데이트를 수행하지 않아도 된다.

이와 같은 ID 시그니처를 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)로부터 획득한 게스트 OS용 악성코드 진단 및 치료 서비스 장치1(120/1)은 악성코드 진단을 수행할 수 있다(S106). 이때의 악성코드 진단은 해당 게스트 OS용 악성코드 진단 및 치료 장치1(120/1)의 자체 진단일 수도 있고, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치(110)로부터 제공된 ID 시그니처의 악성여부 진단일 수도 있다.

게스트 OS용 악성코드 진단 및 치료 서비스 장치1(120/1)은 이러한 악성코드 진단 결과에 악성 여부를 판단할 수 있으며(S108), 악성으로 판단된 경우에는 해당 악성코드를 치료(삭제, 복원, 감염제거 등)할 수 있다(S110).

한편, 상술한 바와 같이 다양한 실시예를 제시하고 있는 본 발명의 악성코드 진단 및 치료 서비스 방법은, 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 실행할 수 있는 프로그램으로 구현할 수 있는데, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함할 수 있다. 이러한 컴퓨터가 읽을 수 있는 기록매체는, 예를 들어 ROM, 플래시 메모리, 자기 기억 장치 등과 같은 비휘발성 메모리(non-volatile memory)와, RAM과 같은 휘발성 메모리(volatile memory) 등을 포함할 수 있으며, 컴퓨터로 실행할 수 있는 코드 또는 프로그램은 본 발명의 실시예에 따른 악성코드 진단 및 치료 서비스를 위한 클라이언트 장치 내에 저장되거나, 네트워크로 연결된 컴퓨터 시스템에 분산 저장될 수 있을 것이다.

또한, 본 발명의 실시예에 따른 악성코드 진단 및 치료 서비스를 수행할 수 있는 프로그램은 클라이언트 단말 장치 내의 기록매체에 저장되는 것으로 설명하였으나, 이는 실시예의 설명을 위해 예시한 것일 뿐, 본 발명의 권리범위를 한정하는 것은 아니다. 예컨대, 네트워크 상의 가상화 장치(또는 서버)에 상술한 정보들이 영구적으로 저장되고, 클라이언트 장치에는 상술한 정보들이 일시적으로 보관되는 클라우드 컴퓨팅(cloud computing) 환경을 포함할 수 있을 것이다. 즉, 상술한 정보들을 네트워크 상의 가상화 장치에 저장하고, 이 정보들을 클라이언트 장치를 통해 언제 어디서든 이용할 수도 있음을 주지할 필요가 있다.

이상 설명한 바와 같이, 본 발명의 실시예에 의하면, 가상화 환경을 위한 악성코드 진단 및 치료를 위한 서비스를 구현하였다. 특히, 기업의 경우 외부로의 접근을 제한하는 경우가 있는데, 이 경우도 문제없이 적용 가능하다. 별도의 장치가 필요 없이 백신 설치만으로 가능하며 중/소 규모의 기업의 서버와 다수의 게스트 OS와 가상장치로 구성된 가상화 구조에 적용될 수 있다. 또한, 가용 리소스가 부족한 전용장비를 위한 악성코드 진단 및 치료 시스템이 설치되는 경우에 악성코드 진단 및 치료 과정의 리소스 사용 부하로 인해 별도의 서버 장치에서 특정 파일에 대한 진단 및 치료를 수행하고 있는데, 기존에는 사전에 검사할 파일을 게스트 OS에서 하이퍼바이저로 전달하는 과정 등이 필요하지만, 본 발명에서는 클라이언트에서 전체 파일을 서버로 업로드하지 못한 경우에도 특정 검사 대상 ID 시그니처 만으로 하이퍼바이저용 악성코드 진단 치료 장치를 이용하여 악성 여부를 판단할 수 있고, 개별 단말기에서 바이러스에 감염된 경우에도 게스트 OS용 악성코드 진단 및 치료 장치를 이용하여 치료를 제공받을 수 있다.

Claims

가상화 환경에서의 악성코드 진단 및 치료 서비스 장치에 있어서,

악성코드 진단 및 치료를 위한 서비스 정보에 따라 검사 대상 ID 시그니처(Identification signature)를 저장하는 하이퍼바이저(hypervisor)용 악성코드 진단 및 치료 서비스 장치와,

상기 검사 대상 ID 시그니처를 이용하여 악성코드에 대한 진단 및 치료를 수행하는 게스트 OS(guest Operating System)용 악성코드 진단 및 치료 서비스 장치를 포함하는

악성코드 진단 및 치료 서비스 장치.
제 1 항에 있어서,

상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치는, 하이퍼바이저에 설치된 검사 대상을 위한 실제 파일 I/O(Input / Output)를 이용한 검사 환경과 상기 검사 대상 ID 시그니처를 이용한 검사 환경을 제공하는

악성코드 진단 및 치료 서비스 장치.
제 2 항에 있어서,

상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치는, 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치로부터의 요청에 대응하여 상기 검사 대상 ID 시그니처를 이용한 악성코드 진단 결과를 제공하는

악성코드 진단 및 치료 서비스 장치.
제 1 항에 있어서,

상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치는, 상기 가상화 환경의 하이퍼바이저에 설치된 접근 가능한 리소스에 대한 파일 I/O 기반의 검사를 수행하거나, 특정 검사 대상에 대한 존재여부 확인 검사를 선택적으로 수행하는

악성코드 진단 및 치료 서비스 장치.
제 4 항에 있어서,

상기 존재여부 확인 검사는, 상기 검사 대상 ID 시그니처의 악성 여부를 판단하거나, 상기 가상화 환경의 특정 위치에 설치된 검사 대상에 대한 악성 여부를 판단하는

악성코드 진단 및 치료 서비스 장치.
제 5 항에 있어서,

상기 가상화 환경의 특정 위치에 설치된 대상은, 파일 패스(path) 또는 디렉토리 패스 또는 윈도우 레지스트리 중 적어도 하나를 포함하는

악성코드 진단 및 치료 서비스 장치.
제 1 항에 있어서,

상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치는, 시스템 설정 및 네트워크 환경에 따라 클라우드 기반의 서비스 또는 업데이트 기반의 서비스를 선택적으로 수행하는

악성코드 진단 및 치료 서비스 장치.
제 1 항에 있어서,

상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치는, 플랫폼의 제약이 없는 확인 진단 기능을 제공하는

악성코드 진단 및 치료 서비스 장치.
제 1 항에 있어서,

상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치는, 특정 검사 대상의 악성 여부 판단을 위한 최소 리소스를 가지며, 악성코드 진단 및 치료 시 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치의 검사 기법을 이용하는

악성코드 진단 및 치료 서비스 장치.
제 1 항에 있어서,

상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치는 악성으로 판단된 검사 대상에 대한 치료 기능을 제공하는

악성코드 진단 및 치료 서비스 장치.
악성코드 진단 및 치료 기법을 포함하고 악성코드 진단 및 치료 정보를 업데이트하는 악성코드 진단 및 치료 엔진과,

검사 대상 ID 시그니처가 저장되는 하이퍼바이저용 시그니처 데이터베이스와,

클라우드 서비스를 위한 네트워크 쿼리(query) 기능을 포함하며, 가상화 환경 내에서 상기 악성코드 진단 및 치료 기법 또는 상기 검사 대상 ID 시그니처를 게스트 OS용 악성코드 진단 및 치료 서비스 장치로 제공하는 클라우드 네트워크 쿼리 장치를 포함하는

하이퍼바이저용 악성코드 진단 및 치료 서비스 장치.
제 11 항에 있어서,

상기 악성코드 진단 및 치료 엔진은, 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치로부터 요청되는 특정 정보에 대한 확인 진단 기능을 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치로 제공하는

하이퍼바이저용 악성코드 진단 및 치료 서비스 장치.
제 11 항에 있어서,

상기 ID 시그니처는, 특정 파일에 대한 유일성을 식별할 수 있는 값 또는 특정 대상의 패스 정보 중 어느 하나를 포함하는

하이퍼바이저용 악성코드 진단 및 치료 서비스 장치.
하이퍼바이저용 악성코드 진단 및 치료 서비스 장치로부터 업데이트되는 악성코드 진단 및 치료에 필요한 정보, 또는 검사 대상의 ID 시그니처를 이용하여 악성코드 진단 및 치료를 수행하는 악성코드 진단 및 치료 엔진과,

상기 악성코드 진단 및 치료에 필요한 정보, 또는 검사 대상의 ID 시그니처를 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치를 통해 상기 악성코드 진단 및 치료 엔진에 제공하는 클라우드 네트워크 쿼리 장치를 포함하는

게스트 OS용 악성코드 진단 및 치료 서비스 장치.
제 14 항에 있어서,

상기 악성코드 진단 및 치료 엔진은, 악성코드 진단 결과, 또는 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치의 특정 대상 ID 시그니처의 악성여부 확인 결과가 악성인 경우에 최종 진단 결과를 악성으로 판단하는

게스트 OS용 악성코드 진단 및 치료 서비스 장치.
제 14 항에 있어서,

상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치는, 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치의 플랫폼에 종속되지 않고 정보 확인이 가능한

게스트 OS용 악성코드 진단 및 치료 서비스 장치.
게스트 OS용 악성코드 진단 및 치료 서비스 장치와, 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치를 포함하는 가상화 환경에서의 악성코드 진단 및 치료 서비스 방법에 있어서,

파일 검사 요청에 따라 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치에서 악성코드 진단 및 치료 엔진을 활성화시키는 과정과,

상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치가 상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치로 악성코드 진단 및 치료에 필요한 ID 시그니처를 요청하는 과정과,

상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치에서 업데이트된 ID 시그니처를 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치로 제공하는 과정과,

상기 하이퍼바이저용 악성코드 진단 및 치료 서비스 장치로부터 제공받은 ID 시그니처에 따라 상기 게스트 OS용 악성코드 진단 및 치료 서비스 장치에서 악성코드의 진단을 수행하는 과정과,

상기 악성코드의 진단 결과에 따라 악성 여부를 판단하는 과정과,

상기 악성코드의 진단 결과가 악성으로 판단된 경우에 상기 악성코드를 치료하는 과정을 포함하는

가상화 환경에서의 악성코드 진단 및 치료 서비스 방법.
제 17 항에 있어서,

상기 악성코드 진단은, 상기 게스트 OS용 악성코드 진단 및 치료 장치의 자체 진단을 포함하는

가상화 환경에서의 악성코드 진단 및 치료 서비스 방법.