WO2013100320A1

WO2013100320A1 - 시스템 파일 보호 및 복구를 위한 장치, 방법, 사용자 단말기 및 시스템

Info

Publication number: WO2013100320A1
Application number: PCT/KR2012/007235
Authority: WO
Inventors: 황창연
Original assignee: 주식회사 안랩
Priority date: 2011-12-29
Filing date: 2012-09-07
Publication date: 2013-07-04
Also published as: KR101369251B1; KR20130093775A

Abstract

시스템 파일 보호 및 복구 장치는 컴퓨팅 장치의 운영체제 프로그램 내 시스템 파일을 설정하는 시스템 파일 설정부와, 설정된 시스템 파일에 대해 기설정된 주기로 해쉬값을 산출하고, 산출된 해쉬값을 저장부에 저장하는 해쉬값 산출부와, 상기 산출된 해쉬값에 대응하는 시스템 파일을 암호화하여 상기 저장부에 저장하는 파일 백업부를 포함한다.

Description

시스템 파일 보호 및 복구를 위한 장치, 방법, 사용자 단말기 및 시스템

본 발명은 시스템 파일 보호 기술에 관한 것으로서, 특히 컴퓨터 운영체제 프로그램의 시스템 폴더 내에 위치한 시스템 파일의 위조 및 변조를 방지하고, 위변조된 파일에 대해서는 정상적인 시스템 파일로 복구를 수행하는데 적합한 시스템 파일 보호 및 복구를 위한 장치, 방법, 사용자 단말기 및 시스템에 관한 것이다.

요즘 들어 개인용 컴퓨터, 노트북, 스마트폰 등과 같이 운영체제 프로그램을 사용하는 컴퓨팅 장치에서 운영체제 프로그램 내 시스템 파일을 변조시키는 악성코드가 증가하고 있다.

시스템 파일은 운영체제 프로그램의 기능을 단계별로 적어도 하나의 세그먼트로 분할하여 필요에 따라 호출하여 사용되는 파일이다. 이에 악성코드에 의해 변조된 시스템 파일은 단순히 특정 동작을 수행하지 못하게 하거나, 오류를 유발시키는 동작부터, 개인 정보 유출을 수행하거나, 운영체제 프로그램의 실행 불능, 부팅 에러와 같이 치명적인 오류를 발생시킬 수도 있다.

예를 들어, 마이크로소프트사 윈도우즈 프로그램의 시스템 폴더 내에 존재하는 ws2help.dll, imm32.dll, ddraw.dll 등과 같이 많은 시스템 파일들이 공격 대상이 된다. 이에 시스템 파일이 악성 코드로부터 공격 받아 위변조된 경우, 해당 시스템 파일들이 악성인지 아닌지 여부는 백신 프로그램을 통해 쉽게 판단할 수 있지만 이에 대한 치료에는 어려움이 따르게 된다.

시스템 파일들은 운영체제 프로그램에서 사용되는 파일이기 때문에 잘못 치료될 경우 시스템에 심각한 문제를 발생시키기 때문이다. 즉, 단순히 변조된 시스템 파일을 삭제하고, 해당 시스템 파일을 새로 다운 받아 설치하는 경우, 완벽하게 복구가 되지 않게 된다. 이는 사용자마다 운영체제 프로그램의 다양한 구동과 함께 시스템 파일 내용도 갱신되어 처리되기 때문에 악성 여부를 알더라도 치료를 못하는 경우가 발생될 수 있다.

이러한 악성코드들은 보통 정상적인 시스템 파일들의 파일명을 다양하게 바꿔서 백업을 수행하므로, 이를 백신 프로그램을 통해 자동적으로 처리할 수는 없는 상태이며, 보안 담당자에 의해 백업된 파일명을 일일이 찾아서 교체하도록 해주어야 하기 때문에 번거롭다.

그리고 악성코드가 시스템 파일명으로 변조된 파일을 생성한 후, 정상 시스템 파일을 백업하지 않고 삭제해 버린다면, 이를 치료하는 것은 매우 어렵게 된다.

상기한 바와 같이 종래 기술에 의한 운영체제 프로그램의 보호 방식에 있어서는, 운영체제 프로그램에서 dllcache 등과 같이 폴더 내에 시스템 파일들을 백업해 두어 변조 또는 손상에 대응하고 있다.

그러나 악성코드 제작자 역시 이를 파악할 수 있으므로 이런 보호 방식은 쉽게 무력화할 수 있다. 이에 백신 프로그램을 통해 시스템 파일들을 보호하여 변조를 방지할 수 도 있지만, 악성코드가 백신 프로그램 자체를 무력화할 수 있다.

이와 같이 시스템 파일이 악성코드에 의해 변조되는 것을 방지하기에는 어려움이 있으므로, 악성코드가 백업한 원본 시스템 파일을 복구하는 방식을 수행하거나, 변조된 시스템 파일에서 악성 부분을 제거하는 방식으로 치료하는 연구를 진행하고 있으나, 이는 시스템 파일의 변조 여부를 진단하는 것 보다 많은 시간이 걸리고, 악성 부분 제거에 따라 운영 체제 프로그램에 심각한 오류가 발생할 수 있는 위험성이 따르게 된다는 문제점이 있었다.

이에 본 발명의 실시예는, 컴퓨터 운영체제 프로그램의 시스템 폴더 내에 위치한 시스템 파일들의 위조 및 변조를 방지하고, 위변조된 파일들에 대해서는 정상적인 파일로 복구를 수행할 수 있는 시스템 파일 보호 및 복구를 위한 장치, 방법, 사용자 단말기 및 시스템을 제공할 수 있다.

또한 본 발명의 실시예는, 컴퓨터 운영체제 프로그램의 시스템 폴더 내에 위치한 시스템 파일들의 위조 및 변조 방지를 위해 중요 시스템 파일들의 해쉬 값을 계산하여 각 파일에 대한 해쉬 정보를 데이터베이스화하고, 해당 시스템 파일을 암호화하여 컴퓨터의 특정 영역에 저장함으로써, 변조된 시스템 파일을 해쉬 정보를 통해 확인하고, 기 저장된 해당 시스템 파일을 복호화하여 복원할 수 있는 시스템 파일 보호 및 복구를 위한 장치, 방법, 사용자 단말기 및 시스템을 제공할 수 있다.

본 발명의 일 실시예에 따른 시스템 파일 보호 및 복구 장치는, 컴퓨팅 장치의 운영체제 프로그램 내 시스템 파일을 설정하는 시스템 파일 설정부와, 설정된 시스템 파일에 대해 기설정된 주기로 해쉬값을 산출하고, 산출된 해쉬값을 저장부에 저장하는 해쉬값 산출부와, 상기 산출된 해쉬값에 대응하는 시스템 파일을 암호화하여 상기 저장부에 저장하는 파일 백업부를 포함할 수 있다.

그리고 상기 저장부는, 상기 설정된 시스템 파일이 저장된 시스템 파일 저장부와, 상기 해쉬값을 순차적으로 저장하는 해쉬값 저장부와, 암호화된 시스템 파일을 순차적으로 저장하는 백업 파일 저장부를 포함할 수 있다.

그리고 상기 저장부는, 상기 해쉬값 및 시스템 파일을 델타백업 형태로 저장할 수 있다.

그리고 상기 해쉬값 산출부는, 상기 산출된 해쉬값이 이전 저장된 해쉬값과 동일하지 않은 경우, 상기 저장부에 저장할 수 있다.

그리고 상기 시스템 파일 보호 및 복구 장치는, 상기 설정된 시스템 파일에 대한 위변조 파일을 도출하는 검사부와, 도출된 위변조 시스템 파일에 대한 해쉬값을 토대로 해당 시스템 파일에 대해 기 저장된 해쉬값으로 위변조된 시스템 파일에 대한 복구를 수행하는 파일 복원부를 더 포함할 수 있다.

그리고 상기 파일 복원부는, 상기 기 저장된 해쉬값과 일치하는 파일을 검색하여 검색된 경우, 상기 위변조 시스템 파일을 삭제한 후, 검색된 파일을 해당 시스템 파일명으로 변경할 수 있다.

그리고 상기 파일 복원부는, 상기 기 저장된 해쉬값과 일치하는 파일을 검색하여 검색되지 않은 경우, 상기 저장부 내 상기 기 저장된 해쉬값에 대응하는 암호화된 시스템 파일을 추출하고, 추출한 암호화된 시스템 파일을 복호화화여 시스템 파일로 복원할 수 있다.

본 발명의 일 실시예에 따른 시스템 파일 보호 및 복구 방법은, 컴퓨팅 장치의 운영체제 프로그램 내 시스템 파일을 설정하는 과정과, 설정된 시스템 파일에 대해 기설정된 주기로 해쉬값을 산출하고, 산출된 해쉬값을 저장부에 저장하는 과정과, 상기 산출된 해쉬값에 대응하는 시스템 파일을 암호화하여 상기 저장부에 저장하는 과정을 포함할 수 있다.

그리고 상기 저장하는 과정은, 상기 해쉬값 및 시스템 파일을 델타백업 형태로 저장할 수 있다.

그리고 상기 산출된 해쉬값을 저장부에 저장하는 과정은, 상기 산출된 해쉬값이 이전 저장된 해쉬값과 동일하지 않은 경우, 상기 저장부에 저장할 수 있다.

그리고 상기 시스템 파일 보호 및 복구 방법은, 상기 설정된 시스템 파일에 대한 위변조 여부를 검사하여 위변조 파일을 도출하는 과정과, 도출된 위변조 시스템 파일에 대한 해쉬값을 토대로 해당 시스템 파일에 대해 기 저장된 해쉬값으로 위변조된 시스템 파일에 대한 복구를 수행하는 과정을 포함할 수 있다.

그리고 상기 복구를 수행하는 과정은, 상기 기 저장된 해쉬값과 일치하는 파일을 검색하여 검색된 경우, 상기 위변조 시스템 파일을 삭제한 후, 검색된 파일을 해당 시스템 파일명으로 변경할 수 있다.

그리고 상기 복구를 수행하는 과정은, 기 저장된 해쉬값과 일치하는 파일을 검색하여 검색되지 않은 경우, 상기 저장부 내 상기 기 저장된 해쉬값에 대응하는 암호화된 시스템 파일을 추출하는 과정과, 추출한 암호화된 시스템 파일을 복호화화여 시스템 파일로 복원하는 과정을 포함할 수 있다.

본 발명의 다른 실시예에 따른 시스템 파일 보호 및 복구 사용자 단말기는, 운영체제 프로그램의 시스템 파일에 대해 기설정된 주기로 해쉬값을 산출하고, 산출된 해쉬값에 대응하는 시스템 파일을 암호화하여 상기 해쉬값 및 시스템 파일을 저장부 또는 유무선 통신망으로 연동되어 인증을 통해 접근 허용된 클라우드 서버의 고유 저장부로 전송하는 파일 보호부와, 상기 시스템 파일에 대한 위변조 여부를 검사하여 검색된 위변조 시스템 파일의 해쉬값을 산출하고, 기 산출되어 저장된 해쉬값으로 상기 위변조 시스템 파일의 복원을 수행하는 진단 및 치료부를 포함할 수 있다.

그리고 상기 진단 및 치료부는, 상기 기 산출되어 저장된 해쉬값과 일치하는 파일을 검색하여 검색된 경우, 상기 위변조 시스템 파일을 삭제한 후, 검색된 파일을 해당 시스템 파일명으로 변경하고, 상기 기 산출되어 저장된 해쉬값과 일치하는 파일을 검색하여 검색되지 않은 경우, 상기 저장부 내 상기 기 산출되어 저장된 해쉬값에 대응하는 암호화된 시스템 파일을 추출한 후, 복호화화여 시스템 파일로 복원할 수 있다.

본 발명의 일 실시예에 따른 시스템 파일 보호 및 복구 시스템은, 인증 절차를 통해 접근 허용된 사용자 단말기에 응용프로그램을 제공하고, 상기 사용자 단말기 별로 해쉬값 및 시스템 파일 복사본을 저장하는 저장부를 포함하는 클라우드 서버와, 운영체제 프로그램의 시스템 파일에 대해 기설정된 주기로 상기 해쉬값을 산출하고, 산출된 해쉬값에 대응하는 시스템 파일을 암호화하여 상기 해쉬값 및 시스템 파일을 상기 클라우드 서버로 전송하고, 상기 시스템 파일에 대한 위변조 여부를 검사하여 검색된 위변조 시스템 파일의 해쉬값을 산출하고, 기 산출되어 저장된 해쉬값으로 상기 위변조 시스템 파일의 복원을 수행하는 사용자 단말기를 포함할 수 있다.

상기와 같은 본 발명의 실시예에 따른 시스템 파일 보호 및 복구를 위한 장치, 방법, 사용자 단말기 및 시스템에 따르면 다음과 같은 효과가 하나 혹은 그 이상이 있다.

본 발명의 실시예에 따른 시스템 파일 보호 및 복구를 위한 장치, 방법, 사용자 단말기 및 시스템에 의하면, 해쉬 정보를 통해 시스템 파일의 변조 여부를 정확히 확인할 수 있으며, 시스템 파일이 변조되고, 정상 시스템 파일의 이름이 변경되어 백업된 경우, 해쉬 정보 확인을 통해 백업된 시스템 파일을 찾아내어 복구시킬 수 있다.

시스템 파일이 변조되고, 백업된 정상 시스템 파일이 존재하지 않는 경우에는 기존에 암호화 백업되어 저장된 해당 시스템 파일을 복구시킬 수 있으므로 악성코드에 의해 백업된 정상 시스템 파일을 수동으로 찾아서 복구해줄 필요가 없으며, 암호화 백업된 시스템 파일을 통해 자동으로 복구를 수행할 수 있는 효과가 있다.

도 1은 본 발명의 실시예에 따른 시스템 파일 보호 및 복구 장치의 구조를 도시한 블록도,

도 2a 내지 2c는 본 발명의 실시예에 따라 저장부 내에 저장되는 파일 목록을 도시한 도면,

도 3은 본 발명의 실시예에 따른 파일 보호 장치의 동작 절차를 도시한 흐름도,

도 4는 본 발명의 실시예에 따른 진단 및 치료 장치의 동작 절차를 도시한 흐름도,

도 5는 본 발명의 실시예에 따른 진단 및 치료 장치의 파일 복원 절차를 도시한 흐름도,

도 6은 본 발명의 실시예에 따라 클라우드 서버를 이용한 시스템 파일 보호 및 복구 시스템의 구성도.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.

본 발명의 실시예는, 컴퓨터 운영체제 프로그램의 시스템 폴더 내에 위치한 시스템 파일의 위조 및 변조를 방지하고, 위변조된 파일에 대해서는 정상적인 파일로 복구를 수행하기 위한 것으로서, 중요 시스템 파일들의 해쉬 값을 계산하여 계산된 해쉬값을 각 파일에 대한 해쉬 정보로서 데이터베이스화하고, 해당 시스템 파일을 암호화하여 컴퓨터의 특정 영역에 저장함으로써, 변조된 시스템 파일을 해쉬 정보를 통해 확인하고, 기 저장된 해당 시스템 파일을 복호화하여 복원하는 것이다.

이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.

도 1은 본 발명의 실시예에 따른 시스템 파일 보호 및 복구 장치의 구조를 도시한 블록도이다.

도 1을 참조하면, 시스템 파일 보호 및 복구 장치(100)는 진단 및 치료 장치(110), 파일 보호 장치(120) 및 저장부(130) 등을 포함할 수 있다. 여기서 진단 및 치료 장치(110)는 검사부(112) 및 파일 복원부(114) 등을 포함할 수 있으며, 파일 보호 장치(120)는 시스템 파일 설정부(122), 해쉬 산출부(124) 및 파일 백업부(126) 등을 포함할 수 있다. 그리고 저장부(130)는 시스템 파일 저장부(132), 해쉬값 저장부(134) 및 백업 파일 저장부(136) 등을 포함할 수 있다.

구체적으로 시스템 파일 보호 및 복구 장치(100)는 컴퓨터, 노트북, 스마트 폰 등과 같은 컴퓨팅 장치의 운영체제 프로그램 상에서 응용 프로그램으로 구동되거나, 상기 응용 프로그램이 저장된 하드웨어 장치가 컴퓨팅 장치와 연동하여 시스템 파일 보호 및 복구를 수행할 수 있다. 그리고 도시하진 않았으나, 사용자 인터페이스로부터 사용자 제어 명령을 전달 받아 이를 토대로 각 기능 블록을 제어할 수 있다.

이러한 시스템 파일 보호 및 복구 장치(100)는 클라우드 서버와 유무선 통신망으로 연동된 사용자 단말기에서 응용 프로그램으로 구동되어 운영체제 프로그램 내 시스템 파일의 보호 및 복구를 수행할 수 있으며, 변조 위험이 있는 해쉬값 및 시스템 파일 복사본을 클라우드 서버에 저장시킬 수 있다. 이러한 클라우드 컴퓨팅 방식에 대해서는 도 6을 통해 설명하도록 한다.

먼저 시스템 파일 보호 및 복구 장치(100) 내 진단 및 치료 장치(110)는 운영체제 프로그램의 시스템 파일들에 대한 주기적인 검사를 수행한 후, 위변조된 시스템 파일들에 대한 복원을 수행하는 것으로서, 검사부(112)에서는 운영체제 프로그램의 시스템 파일을 기 설정된 시간대 별 또는 사용자로부터 전달받은 제어 명령을 토대로 악성코드 감염 여부를 검사할 수 있다.

시스템 파일에 대한 검사 방식은 시스템 파일 용량의 급격한 변화 여부, 해당 시스템 파일에서 위험요소로 분류된 특정 호출 명령 등을 토대로 검사를 수행할 수 있으며, 해당 해쉬값을 산출한 후, 기 산출된 해쉬값과의 비교를 통해 악성코드를 통한 위변조 여부를 판단할 수도 있다.

파일 복원부(114)는 위변조된 시스템 파일에 대한 복원을 수행하는 것으로서, 악성코드가 시스템 파일명으로 변조된 파일을 생성한 후, 기존 시스템 파일의 파일명이 변경되어 백업된 상태인 경우, 위변조된 시스템 파일을 삭제한 후, 백업된 정상 시스템 파일명을 복원하여 복구할 수 있으며, 파일명이 변경된 정상 시스템 파일이 없는 경우에는 암호화 백업된 해당 시스템 파일의 최근 복사본을 저장부(130)로부터 전달받아 복원을 수행할 수 있다.

이때, 복원 방식은 먼저, 위변조된 시스템 파일을 삭제한 후, 암호화 백업된 해당 시스템 파일에 대한 복호화를 수행하여 복호화된 시스템 파일의 최근 복사본으로 복원을 수행할 수 있다.

파일 보호 장치(120)는 해당 운영체제 프로그램의 시스템 파일에 대한 해쉬값을 산출하고, 산출된 해쉬값 및 해당 시스템 파일을 저장부(130)에 전달할 수 있으며, 진단 및 치료장치(110)의 요청에 따라 해쉬값 산출 및 파일 백업을 수행할 수 있다.

시스템 파일 설정부(122)는 운영체제 프로그램 내에서 중요한 시스템 파일 또는 검사가 필요한 파일들을 설정할 수 있다. 이는 각 운영체제 프로그램 별로 시스템 폴더 영역이 있으므로, 해당 폴더 내 파일들을 시스템 파일로 설정하거나, 사용자 제어 명령을 토대로 요청된 폴더 또는 파일을 시스템 파일로 설정할 수 있다. 설정된 파일은 저장부(130)로 전달하여 저장부(130) 내 시스템 파일 저장부(132)에 저장될 수 있다.

도 2a 내지 2c는 본 발명의 실시예에 따라 저장부(130) 내에 저장되는 파일 목록을 도시한 도면으로서, 시스템 파일 저장부(132)에는 도 2a에 도시된 바와 같이 윈도우즈 운영체제 프로그램의 시스템 파일인 ws2help.dll, imm32.dll, ddraw.dll, rpcss.dll, comres.dll 등이 저장될 수 있다.

해쉬 산출부(124)는 시스템 파일 설정부(122)로부터 전달 받은 시스템 파일 각각에 대한 해쉬값을 기설정된 주기(예컨대, 1일마다, 5일마다 또는 응용프로그램 설치 시 마다 등)로 산출할 수 있으며, 산출된 해쉬값은 저장부(130) 내 해쉬값 저장부(134)에 전달하여 저장할 수 있다.

다만, 해쉬값 저장은 설정된 방식에 따라 각 시스템 파일에 대한 모든 해쉬값을 순차적으로 저장할 수도 있으며, 이 이전에 저장된 해쉬값과 산출된 해쉬값을 비교하여 동일한 경우에는 저장을 수행하지 않을 수도 있다.

도 2b의 해쉬값 저장부(134)를 예로 들면, 시스템 파일 ws2help.dll에 대해 산출된 해쉬값이 ws_hash1, ws_hash2 인 경우로서, 저장 방식이 "모든 해쉬값의 순차적인 저장"으로 설정된 경우에는 기존에 저장된 ws_hash1, ws_hash2 다음에 ws_hash3를 추가적으로 저장할 수 있다.

이때, "동일한 해쉬값을 저장하지 않는 방식"으로 설정된 경우에는 해쉬 산출부(124)에서 ws_hash2과, ws_hash3의 값을 비교하여 동일한 경우에는 ws_hash3을 저장하지 않을 수 있다.

파일 백업부(126)는 해쉬값이 산출된 시스템 파일을 복사한 후, 암호화하여 백업을 수행하는 것으로서, 암호화된 시스템 파일 복사본은 백업 파일 저장부(136)에 전달되어 저장을 수행할 수 있다. 도 2c의 백업 파일 저장부(136)에 저장되는 시스템 파일 복사본은 해쉬값 저장부(134)에 저장되는 해쉬값과 대응되도록 저장할 수 있다.

한편, 백업 파일 저장부(136)가 단순히 운영체제 프로그램 내 접근 가능한 위치에 저장되는 경우에는 이를 확인한 악성코드로부터 시스템 파일 복사본에도 위변조가 수행될 수 있다.

이에 백업 파일 저장부(136)는 윈도우즈 운영체제 프로그램의 "system volume information" 폴더와 같이 접근권한을 통해 접근을 방지하거나, 시스템 파일 보호 및 복구 장치(100)의 접근만을 가능하도록 설정할 수 있다.

그리고 저장부(130)의 저장 방식은 델타 백업(delta backup) 방식으로 저장을 수행할 수 있다. 즉, 해쉬값이나 시스템 파일 복사본의 저장을 수행하는 경우에 해당 파일 전체를 백업하는 것이 아니라 파일 안에서 추가되거나 삭제, 수정 등 변경된 블록과 위치에 관한 정보만을 백업함으로써, 백업량을 할 수 있으며, 백업 시간과 저장 공간 또한 절약할 수 있다.

이러한 시스템 파일 보호 및 복구 장치(100)의 동작 방식에 대해서는 도 3 내지 도 5를 토대로 설명하도록 한다.

도 3은 본 발명의 실시예에 따른 파일 보호 장치의 동작 절차를 도시한 흐름도이다.

도 3을 참조하면, 300단계에서 파일 보호 장치(120) 내 시스템 파일 설정부(122)는 해당 운영체제 프로그램에 대한 시스템 파일을 설정하고, 302단계에서 해쉬 산출부(124)는 설정된 시스템 파일 각각에 대해 주기적으로 해쉬를 산출하게 된다.

이를 통해 304단계에서 해쉬 산출부(124)는 산출된 해쉬값을 해쉬값 저장부(134)에 전달하여 저장되도록 하고, 306단계에서 파일 백업부(126)는 산출된 해쉬값에 대응하는 시스템 파일을 백업 파일 저장부(136)로 전달하여 저장되도록 한다.

도 4는 본 발명의 실시예에 따른 진단 및 치료 장치의 동작 절차를 도시한 흐름도이다.

도 4를 참조하면, 400단계에서 진단 및 치료 장치(110) 내 검사부(112)에서는 시스템 파일에 대한 위변조 여부를 검사하여 402단계에서 위변조 파일이 발견된 경우에는, 404단계에서 해쉬 산출부(124)에 해쉬값 산출을 요청하고, 해쉬 산출부(124)에서는 발견된 위변조 파일에 대한 해쉬값을 산출하게 된다.

이후, 406단계에서 파일 복원부(114)는 발견된 위변조 시스템 파일에 대한 해쉬값을 토대로 해당 시스템 파일에 대해 저장된 해쉬값, 즉 위변조 시점 이전에 저장된 해쉬값으로 위변조 파일에 대한 복구를 수행하게 된다.

물론 시스템 파일의 복구 후에 위변조 여부 검사를 재차 수행하는 경우, 해당 시스템 파일이 위변조 파일로 다시 발견될 수도 있다. 이는 복구한 시스템 파일도 이미 위변조된 상태이므로, 이런 경우에는 도 4의 동작을 반복하여 복구한 시스템 파일의 저장 시점 바로 이전에 저장된 시스템 파일로 복구를 수행하게 된다.

도 5는 본 발명의 실시예에 따른 진단 및 치료 장치의 파일 복원 절차를 도시한 흐름도이다.

도 5를 참조하면, 진단 및 치료 장치(110) 내 파일 복원부(114)에서는 500단계에서 위변조 시스템 파일에 대해 최근 저장된 해쉬값을 해쉬값 저장부(134)에서 검색하여 추출하게 된다. 즉, 해당 시스템 파일이 위변조 되기 전에 저장된 해쉬값을 추출한 후, 502단계에서는 추출한 해쉬값과 일치하는 파일을 시스템 폴더 내 파일 또는 운영체제 프로그램 전체 폴더 내 각 파일들과 비교 검색을 수행하게 된다.

이에 504단계에서 검색을 통해 일치 파일이 존재하는 경우, 즉 악성코드가 정상 시스템 파일에 대해 파일명을 변경하여 백업해 둔 경우에는 506단계로 진행하여 위변조 파일을 삭제한 후, 백업된 정상 시스템 파일의 변경 파일명을 원래의 시스템 파일명으로 변경하여 복원을 수행하게 된다.

그러나 504단계에서 검색을 통해 일치 파일이 존재하지 않는 경우에는 508단계로 진행하여 바로 이전 해쉬값에 해당하는 시스템 파일의 복사본을 백업 파일 저장부(136)에서 추출하게 된다. 이때, 추출된 시스템 파일의 복사본은 암호화 되어 있으므로, 이에 대한 복호화를 수행한 후, 510단계에서 위변조 파일을 삭제하고, 복호화된 시스템 파일로 교체하게 된다.

도 6은 본 발명의 실시예에 따라 클라우드 서버를 이용한 시스템 파일 보호 및 복구 시스템의 구성도이다.

도 6을 참조하면, 클라우드 서버(650)를 이용한 시스템 파일 보호 및 복구 시스템은 인터넷, 전용회선, 무선망 등과 같은 유무선 통신망을 통해 다수의 사용자 단말기(600, 610, 620)와 연결된다. 이에 클라우드 서버(650)가 3대의 사용자 단말기(600, 610, 620)와 연결되는 경우를 예시한 것으로서, 추가적으로 복수의 사용자 단말기들과 연결될 수 있다.

클라우드 서버(650)는 사용자 단말기(600, 610, 620)와 접속하여 각 사용자 단말기(600, 610, 620)에 대한 사용자 인증(예컨대, 아이디/비밀번호 입력 방식)을 수행하고, 각각의 사용자 단말기들(600, 610, 620)로부터 전송된 해쉬값 및 시스템 파일 복사본을 각 사용자 단말기에 대응하는 저장부(130-1, 130-2, 130-3)에 저장할 수 있다.

그리고 사용자 단말기(600, 610, 620)는 유무선 통신망에 접속하여 클라우드 서버(650)와 연결을 수행할 수 있는 다양한 컴퓨팅 장치들을 포함할 수 있다. 이러한 사용자 단말기(600, 610, 620)는 각각 파일 보호 장치(120-1, 120-2, 120-3)와, 진단 및 치료 장치(110-1, 110-2, 110-3)를 포함할 수 있다. 해당 장치들은 하드웨어로 장착되거나, 응용프로그램으로 운영체제 프로그램에 설치될 수 있다.

이에 대한 동작 방식을 설명하면 예를 들어, 사용자 단말기(600)에서는 파일 보호 장치(120-1)로 시스템 파일들에 대한 해쉬값을 산출하여, 산출된 해쉬값 및 이에 대응하는 시스템 파일 복사본을 클라우드 서버(650) 내 저장부(130-1)에 저장시킬 수 있다.

이와 같이 저장부(130-1)를 클라우드 서버(650) 내에 인증방식으로 연결시킴으로써, 저장된 해쉬값 및 시스템 파일 복사본에 대한 위변조를 방지할 수 있다는 장점이 있다.

이상 설명한 바와 같이, 본 발명의 실시예에 따른 시스템 파일 보호 및 복구를 위한 장치, 방법, 사용자 단말기 및 시스템은, 컴퓨터 운영체제 프로그램의 시스템 폴더 내에 위치한 시스템 파일들의 위조 및 변조를 방지하고, 위변조된 파일들에 대해서는 정상적인 파일로 복구를 수행하기 위한 것으로서, 중요 시스템 파일들의 해쉬 값을 계산하여 각 파일에 대한 해쉬 정보를 데이터베이스화하고, 해당 시스템 파일을 암호화하여 컴퓨터의 특정 영역에 저장함으로써, 변조된 시스템 파일을 해쉬 정보를 통해 확인하고, 기 저장된 해당 시스템 파일을 복호화하여 복원을 수행한다.

한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.

Claims

컴퓨팅 장치의 운영체제 프로그램 내 시스템 파일을 설정하는 시스템 파일 설정부와,

설정된 시스템 파일에 대해 기설정된 주기로 해쉬값을 산출하고, 산출된 해쉬값을 저장부에 저장하는 해쉬값 산출부와,

상기 산출된 해쉬값에 대응하는 시스템 파일을 암호화하여 상기 저장부에 저장하는 파일 백업부

를 포함하는 시스템 파일 보호 및 복구 장치.
제 1 항에 있어서,

상기 저장부는,

상기 설정된 시스템 파일이 저장된 시스템 파일 저장부와,

상기 해쉬값을 순차적으로 저장하는 해쉬값 저장부와,

암호화된 시스템 파일을 순차적으로 저장하는 백업 파일 저장부

를 포함하는 것을 특징으로 하는 시스템 파일 보호 및 복구 장치.
제 2 항에 있어서,

상기 저장부는,

상기 해쉬값 및 시스템 파일을 델타백업 형태로 저장하는 것을 특징으로 하는 시스템 파일 보호 및 복구 장치.
제 1 항에 있어서,

상기 해쉬값 산출부는,

상기 산출된 해쉬값이 이전 저장된 해쉬값과 동일하지 않은 경우, 상기 저장부에 저장하는 것을 특징으로 하는 시스템 파일 보호 및 복구 장치.
제 1 항에 있어서,

상기 시스템 파일 보호 및 복구 장치는,

상기 설정된 시스템 파일에 대한 위변조 여부를 검사하여 위변조 시스템 파일을 도출하는 검사부와,

도출된 위변조 시스템 파일에 대한 해쉬값을 산출하고, 산출된 해쉬값을 토대로 해당 시스템 파일에 대해 기 저장된 해쉬값으로 위변조된 시스템 파일에 대한 복구를 수행하는 파일 복원부

를 더 포함하는 것을 특징으로 하는 시스템 파일 보호 및 복구 장치.
제 5 항에 있어서,

상기 파일 복원부는,

상기 기 저장된 해쉬값과 일치하는 파일을 검색하여 검색된 경우, 상기 위변조 시스템 파일을 삭제한 후, 검색된 파일을 해당 시스템 파일명으로 변경하는 것을 특징으로 하는 시스템 파일 보호 및 복구 장치.
제 5 항에 있어서,

상기 파일 복원부는,

상기 기 저장된 해쉬값과 일치하는 파일을 검색하여 검색되지 않은 경우, 상기 저장부 내 상기 기 저장된 해쉬값에 대응하는 암호화된 시스템 파일을 추출하고,

추출한 암호화된 시스템 파일을 복호화화여 시스템 파일로 복원하는 것을 특징으로 하는 시스템 파일 보호 및 복구 장치.
컴퓨팅 장치의 운영체제 프로그램 내 시스템 파일을 설정하는 과정과,

설정된 시스템 파일에 대해 기설정된 주기로 해쉬값을 산출하고, 산출된 해쉬값을 저장부에 저장하는 과정과,

상기 산출된 해쉬값에 대응하는 시스템 파일을 암호화하여 상기 저장부에 저장하는 과정

을 포함하는 시스템 파일 보호 및 복구 방법.
제 8 항에 있어서,

상기 저장하는 과정은,

상기 해쉬값 및 시스템 파일을 델타백업 형태로 저장하는 것을 특징으로 하는 시스템 파일 보호 및 복구 방법.
제 8 항에 있어서,

상기 산출된 해쉬값을 저장부에 저장하는 과정은,

상기 산출된 해쉬값이 이전 저장된 해쉬값과 동일하지 않은 경우, 상기 저장부에 저장하는 것을 특징으로 하는 시스템 파일 보호 및 복구 방법.
제 8 항에 있어서,

상기 시스템 파일 보호 및 복구 방법은,

상기 설정된 시스템 파일에 대한 위변조 여부를 검사하여 위변조 시스템 파일을 도출하는 과정과,

도출된 위변조 시스템 파일에 대한 해쉬값을 산출하는 과정과,

산출된 해쉬값을 토대로 해당 시스템 파일에 대해 기 저장된 해쉬값으로 위변조된 시스템 파일에 대한 복구를 수행하는 과정

을 포함하는 것을 특징으로 하는 시스템 파일 보호 및 복구 방법.
제 11 항에 있어서,

상기 복구를 수행하는 과정은,

상기 기 저장된 해쉬값과 일치하는 파일을 검색하여 검색된 경우, 상기 위변조 시스템 파일을 삭제한 후, 검색된 파일을 해당 시스템 파일명으로 변경하는 것을 특징으로 하는 시스템 파일 보호 및 복구 방법.
제 11 항에 있어서,

상기 복구를 수행하는 과정은,

기 저장된 해쉬값과 일치하는 파일을 검색하여 검색되지 않은 경우, 상기 저장부 내 상기 기 저장된 해쉬값에 대응하는 암호화된 시스템 파일을 추출하는 과정과,

추출한 암호화된 시스템 파일을 복호화화여 시스템 파일로 복원하는 과정

을 포함하는 것을 특징으로 하는 시스템 파일 보호 및 복구 방법.
제 8 항 내지 제 13 항 중에서 어느 한 항의 시스템 파일 보호 및 복구 방법을 수행하는 컴퓨터 프로그램이 기록된 기록매체.
운영체제 프로그램의 시스템 파일에 대해 기설정된 주기로 해쉬값을 산출하고, 산출된 해쉬값에 대응하는 시스템 파일을 암호화하여 상기 해쉬값 및 시스템 파일을 저장부 또는 유무선 통신망으로 연동되어 인증을 통해 접근 허용된 클라우드 서버의 고유 저장부로 전송하는 파일 보호부와,

상기 시스템 파일에 대한 위변조 여부를 검사하여 검색된 위변조 시스템 파일의 해쉬값을 산출하고, 기 산출되어 저장된 해쉬값으로 상기 위변조 시스템 파일의 복원을 수행하는 진단 및 치료부

를 포함하는 시스템 파일 보호 및 복구 사용자 단말기.
제 15 항에 있어서,

상기 진단 및 치료부는,

상기 기 산출되어 저장된 해쉬값과 일치하는 파일을 검색하여 검색된 경우, 상기 위변조 시스템 파일을 삭제한 후, 검색된 파일을 해당 시스템 파일명으로 변경하고,

상기 기 산출되어 저장된 해쉬값과 일치하는 파일을 검색하여 검색되지 않은 경우, 상기 저장부 내 상기 기 산출되어 저장된 해쉬값에 대응하는 암호화된 시스템 파일을 추출한 후, 복호화화여 시스템 파일로 복원하는 것을 특징으로 하는 시스템 파일 보호 및 복구 사용자 단말기.
인증 절차를 통해 접근 허용된 사용자 단말기에 응용프로그램을 제공하고, 상기 사용자 단말기 별로 해쉬값 및 시스템 파일 복사본을 저장하는 저장부를 포함하는 클라우드 서버와,

운영체제 프로그램의 시스템 파일에 대해 기설정된 주기로 상기 해쉬값을 산출하고, 산출된 해쉬값에 대응하는 시스템 파일을 암호화하여 상기 해쉬값 및 시스템 파일을 상기 클라우드 서버로 전송하고, 상기 시스템 파일에 대한 위변조 여부를 검사하여 검색된 위변조 시스템 파일의 해쉬값을 산출하고, 기 산출되어 저장된 해쉬값으로 상기 위변조 시스템 파일의 복원을 수행하는 사용자 단말기

를 포함하는 시스템 파일 보호 및 복구 시스템.