WO2013125866A1 - 컴퓨터 시스템 및 시그니처검증서버 - Google Patents

Abstract

본 발명은, 컴퓨터 시스템 및 시그니처검증서버와, 컴퓨터 시스템의 시그니처 검증 지원 방법 및 시그니처 검증 방법이 개시되어 있다. 본 발명의 실시예들은 악성코드 진단 시 이용되는 시그니처에 대한 오진 검증에 관한 기술로서, 오진 검증이 완료되지 않은 상태의 예비적용시그니처를 다수의 사용자 컴퓨터에 선 배포하여 다수의 사용자 컴퓨터에서 저장된 파일에 대한 악성코드 진단 시 예비적용시그니처를 반영하도록 하고 그 진단결과와 관련하여 수집된 정보를 기초로 예비적용시그니처에 대한 오진 검증을 수행함으로써, 실제 클라이언트백신을 사용할 다수의 사용자 컴퓨터 환경에서 시그니처에 대한 악성코드 진단 시뮬레이션을 실행하는 결과를 도출할 수 있어 기존의 시그니처 오진 검증에서 갖는 물리적, 공간적, 시간적 한계를 극복할 수 있는 기술에 대한 것이다.

Description

컴퓨터 시스템 및 시그니처검증서버

본 발명은 실시예들은 악성코드 진단 시 이용되는 시그니처에 대한 오진 검증에 관한 기술로서, 오진 검증이 완료되지 않은 상태의 예비적용시그니처를 다수의 사용자 컴퓨터에 선 배포하여 다수의 사용자 컴퓨터에서 저장된 파일에 대한 악성코드 진단 시 예비적용시그니처를 반영하도록 하고 그 진단결과와 관련하여 수집된 정보를 기초로 예비적용시그니처에 대한 오진 검증을 수행함으로써, 실제 클라이언트백신을 사용할 다수의 사용자 컴퓨터 환경에서 시그니처에 대한 악성코드 진단 시뮬레이션을 실행하는 결과를 도출할 수 있어 기존의 시그니처 오진 검증에서 갖는 물리적, 공간적, 시간적 한계를 극복할 수 있는 기술들과 관련된다.

악성 코드 진단 방법은, 크게 시그니처를 이용하는 진단 방법과 코드를 이용한 진단 방법으로 나누어 진다. 코드를 이용한 진단 방법은 시간이 많이 걸리고 신속성이 떨어지는 반면, 시그니처를 이용한 진단 방법은 빠르게 대응할 수 있다. 이에, 악성 코드 진단의 99% 이상이 시그니처를 이용하여 이루어지고 있다고 해도 과언이 아니다.

이러한 시그니처를 이용한 악성 코드 진단 방법은, 통상적으로는 1개의 시그니처로 수개를 진단하는 것이 일반적이지만 통계 기술을 이용하는 진단 방법들은 1개의 시그니처로 적게는 수십개 많게는 수만개까지 진단하게 된다.

이러한 상황에서 볼 때 시그니처를 이용한 진단 방법으로 인해 발생하는 오진 비율은, 처리량 대비로는 낮다고 볼 수 있으나 빈도는 높다고 할 수 있다. 특히, 시그니처를 이용한 진단 방법은, 악성 코드 진단의 오진, 즉 악성 코드가 아닌 일반적인 정상 파일을 악성 코드로 진단하는 오진 가능성이 있다.

이에, 시그니처를 작성한 후 이를 검증하는 오진 검증 과정을 거치게 되는데, 기존의 대부분 시그니처 작성업체는 오진 검증 과정으로서 화이트리스트 파일을 다수 모아놓고 시그니처를 테스트/검증하는 폐쇄 검증 방법(폐쇄된 연구실내에서 검증하는 검증 방법)을 취하고 있다.

이러한 폐쇄 검증 방법은, 화이트리스트 파일로만 오진 검증을 수행하기 때문에 경우 화이트리스트 품질 문제가 발생하게 되고, 또한 화이트리스트의 저장 용량을 무한정 확대하기도 어렵고, 또한 모든 파일을 다 수집하여 정리하기도 사실상 불가능하기 때문에 물리적, 공간적, 시간적인 비용이 많이 소요되어 구축에 한계가 따른다.

이에, 본 발명에서는 기존의 작성한 시그니처에 대한 오진 검증 방법의 제약 조건들을 극복하기 위해 좀 더 광범위한 검증 방법을 제안하고자 한다.

본 발명의 실시예들은 악성코드 진단 시 이용되는 시그니처에 대한 오진 검증에 관한 기술로서, 오진 검증이 완료되지 않은 상태의 예비적용시그니처를 다수의 사용자 컴퓨터에 선 배포하여 다수의 사용자 컴퓨터에서 저장된 파일에 대한 악성코드 진단 시 예비적용시그니처를 반영하도록 하고 그 진단결과와 관련하여 수집된 정보를 기초로 예비적용시그니처에 대한 오진 검증을 수행함으로써, 실제 클라이언트백신을 사용할 다수의 사용자 컴퓨터 환경에서 시그니처에 대한 악성코드 진단 시뮬레이션을 실행하는 결과를 도출할 수 있어 기존의 시그니처 오진 검증에서 갖는 물리적, 공간적, 시간적 한계를 극복하고자 한다.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 컴퓨터 시스템은, 적어도 하나의 파일을 저장하는 파일저장부; 오진 검증이 완료되지 않은 상태의 예비적용시그니처를 이용하여, 상기 적어도 하나의 파일에 대한 악성코드 진단을 수행하는 악성코드진단수행부; 및 상기 예비적용시그니처에 대응하여 상기 악성코드 진단 수행 결과 특정 파일이 악성코드로 진단되면, 상기 진단된 진단결과를 기초로 하는 상기 오진 검증에 요구되는 검증관련정보를 특정 시그니처검증서버로 제공하는 검증관련정보제공부를 포함한다.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 시그니처검증서버는, 적어도 하나의 컴퓨터 시스템으로부터 오진 검증이 완료되지 않은 상태의 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단된 진단 결과에 따른 검증관련정보를 수집하는 검증관련정보수집부; 상기 수집된 검증관련정보를 기초로 상기 예비적용시그니처에 대하여 상기 오진 검증을 수행하는 검증수행부; 및 상기 오진 검증을 수행한 검증결과를 상기 예비적용시그니처를 보유한 상기 적어도 하나의 컴퓨터 시스템으로 제공하는 검증결과제공부를 포함한다.

상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법은, 적어도 하나의 파일을 저장하는 파일 저장단계; 오진 검증이 완료되지 않은 상태의 예비적용시그니처를 이용하여, 상기 적어도 하나의 파일에 대한 악성코드 진단을 수행하는 악성코드진단 수행단계; 및 상기 예비적용시그니처에 대응하여 상기 악성코드 진단 수행 결과 특정 파일이 악성코드로 진단되면, 상기 진단된 진단결과를 기초로 하는 상기 오진 검증에 요구되는 검증관련정보를 특정 시그니처검증서버로 제공하는 검증관련정보 제공단계를 포함한다.

상기 목적을 달성하기 위한 본 발명의 제 4 관점에 따른 시그니처 검증 방법은, 적어도 하나의 컴퓨터 시스템으로부터 오진 검증이 완료되지 않은 상태의 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단된 진단 결과에 따른 검증관련정보를 수집하는 검증관련정보 수집단계; 상기 수집된 검증관련정보를 기초로 상기 예비적용시그니처에 대하여 상기 오진 검증을 수행하는 검증 수행단계; 및 상기 오진 검증을 수행한 검증결과를 상기 예비적용시그니처를 보유한 상기 적어도 하나의 컴퓨터 시스템으로 제공하는 검증결과 제공단계를 포함한다.

본 발명의 실시예들은 오진 검증이 완료되지 않은 상태의 예비적용시그니처를 다수의 사용자 컴퓨터에 선 배포하여 다수의 사용자 컴퓨터에서 저장된 파일에 대한 악성코드 진단 시 예비적용시그니처를 반영하도록 하고 그 진단결과와 관련하여 수집된 정보를 기초로 예비적용시그니처에 대한 오진 검증을 수행함으로써, 실제 클라이언트백신을 사용할 다수의 사용자 컴퓨터 환경에서 시그니처에 대한 악성코드 진단 시뮬레이션을 실행하는 결과를 이끌어 내어 기존의 시그니처 오진 검증에서 갖는 물리적, 공간적, 시간적 한계를 극복할 수 있다.

도 1은 본 발명의 바람직한 실시예에 따른 컴퓨터 시스템 및 시그니처검증서버를 포함하는 시그니처 검증 시스템을 나타내는 구성도이다.

도 2는 본 발명의 바람직한 실시예에 따른 컴퓨터 시스템의 구성을 나타내는 블록도이다.

도 3은 본 발명의 바람직한 실시예에 따른 시그니처검증서버의 구성을 나타내는 블록도이다.

도 4는 본 발명의 바람직한 실시예에 따른 시그니처 검증 시스템의 제어 흐름을 나타내는 흐름도이다.

도 5는 본 발명의 바람직한 실시예에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법의 동작 흐름을 나타내는 흐름도이다.

도 6은 본 발명의 바람직한 실시예에 따른 시그니처 검증 방법의 동작 흐름을 나타내는 흐름도이다.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.

도 1은 본 발명의 바람직한 실시예에 따른 시그니처 검증 시스템을 도시한 도면이다.

도 1에 도시된 바와 같이, 본 발명에 따른 시그니처 검증 시스템은, 다수의 컴퓨터 시스템(100), 시그니처검증서버(200), 시그니처작성시스템(300), 업데이트서버(400) 등을 포함할 수 있다.

컴퓨터 시스템(100)은, 일반 가정 또는 기업 또는 학교 또는 학원 등의 다양한 사용자소속에서 이용되는 사용자 컴퓨터로서, 다수의 파일을 저장/보유하고 후술할 클라이언트백신을 통해 다수의 파일에 대한 악성코드 진단을 수행한다.

시그니처작성시스템(300)은, 악성코드 진단 시 이용되는 시그니처를 작성하는 시스템으로써, 시그니처를 작성하는 방법은 기존의 다양한 시그니처 작성 방식 중 어느 하나를 채택할 수 있으므로 시그니처 작성 방법에 대한 구체적인 설명을 생략하도록 한다.

특히, 시그니처작성시스템(300)은, 새롭게 작성한 시그니처에 대해서는 오진 검증이 완료되지 않은 상태임을 나타내는 식별자를 포함시켜 작성하는 것이 바람직하다.

업데이트서버(400)은, 시그니처작성시스템(300)에서 작성되는 시그니처를 배포 대상이 되는 컴퓨터 시스템(100)으로 제공/배포하여, 컴퓨터 시스템(100)의 클라이언트백신에 시그니처가 업데이트되도록 한다. 이처럼 업데이트서버(400)가 컴퓨터 시스템(100)으로 시그니처를 배포하여 클라이언트백신을 업데이트하는 방식은 기존에 존재하는 다양한 방식 중 어느 하나를 채택할 수 있으므로 구체적인 설명을 생략하도록 한다.

이에 컴퓨터 시스템(100)은, 기 저장된 다수의 파일에 대한 악성코드 진단을 수행할 수 있다.

즉, 컴퓨터 시스템(100)은, 악성코드 진단 이벤트가 발생하면, 오진 검증이 완료되지 않은 상태의 예비적용시그니처 및 오진 검증이 완료된 상태의 적용시그니처 중 적어도 어느 하나를 이용하여, 기 저장된 다수의 파일에 대한 악성코드 진단을 수행한다.

여기서, 적용시그니처는 악성코드 진단 시 진단결과를 즉시 적용할 수 있는 시그니처 즉 오진 검증이 완료된 상태의 시그니처를 의미하고, 예비적용시그니처는 악성코드 진단 시 반영은 하되 진단결과를 악성코드 진단 시뮬레이션으로 이용하여 즉시 적용할 수 없는 시그니처 즉 오진 검증이 완료되지 않은 상태의 시그니처를 의미한다.

이에, 컴퓨터 시스템(100)은, 악성코드 진단 결과 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단되면, 상기 예비적용시그니처에 대응하여 상기 특정 파일이 악성코드로 진단된 진단결과를 기초로 오진 검증에 요구되는 검증관련정보를 생성하여 특정 시그니처검증서버(200)로 제공할 수 있다.

다시 말해, 컴퓨터 시스템(100)에서 악성코드 진단 시 예비적용시그니처를 반영하는 것은, 컴퓨터 시스템(100)에 보유/저장된 다수의 파일을 대상으로 예비적용시그니처의 악성코드 진단 시뮬레이션을 수행하는 것과 같다.

시그니처검증서버(200)는, 다수의 컴퓨터 시스템(100)으로부터 오진 검증이 완료되지 않은 상태의 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단된 진단 결과에 따른 검증관련정보를 수집할 수 있다.

다시 말해, 시그니처검증서버(200)는, 다수의 컴퓨터 시스템(100)으로부터 각 컴퓨터 시스템(100)에 보유/저장된 다수의 파일을 대상으로 예비적용시그니처의 악성코드 진단 시뮬레이션을 수행한 결과 즉 검증관련정보를 수집하게 되는 것과 같다.

이는, 다수의 각 컴퓨터 시스템(100)에 보유/저장된 파일은 그 종류 및 개수가 무한정으로 다양하고 많을 것이며, 다수의 각 컴퓨터 시스템(100)에서 동시 다발적으로 예비적용시그니처의 악성코드 진단 시뮬레이션이 수행되는 것임을 감안한다면, 물리적, 공간적, 시간적 제약이 없는 광범위한 환경에서 수행된 악성코드 진단 시뮬레이션 결과를 수집하는 것과 같다.

시그니처검증서버(200)는, 전술과 같이 수집된 검증관련정보를 기초로 예비적용시그니처에 대하여 오진 검증을 수행한다.

그리고, 시그니처검증서버(200)는, 오진 검증을 수행한 검증결과를 상기 예비적용시그니처를 보유한 적어도 하나의 컴퓨터 시스템(100)으로 제공한다.

보다 구체적으로 설명하면, 시그니처검증서버(200)는, 예비적용시그니처에 대하여 오진 검증을 수행한 결과 상기 예비적용시그니처에 의한 진단을 오진으로 판단하면, 상기 예비적용시그니처에 대한 비정상 검증결과를 시그니처작성시스템(400)으로 제공하여, 시그니처작성시스템(400)에서 상기 예비적용시그니처에 대응하는 시그니처를 재작성하도록 할 수 있다.

더불어, 시그니처검증서버(200)는, 상기 예비적용시그니처에 대한 비정상 검증결과를 상기 예비적용시그니처를 보유한 적어도 하나의 컴퓨터 시스템(100)으로 제공하여, 상기 예비적용시그니처를 비활성 상태로 변경하고 이 후 악성코드 진단 시 반영하지 않도록 할 수 있다.

한편, 시그니처검증서버(200)는, 예비적용시그니처에 대하여 오진 검증을 수행한 결과 특정 모니터링기간 동안 오진 판단이 발생하지 않으면, 상기 예비적용시그니처에 대한 정상 검증결과를 상기 예비적용시그니처를 보유한 적어도 하나의 컴퓨터 시스템(100)으로 제공한다.

이에, 컴퓨터 시스템(100)은, 제공한 검증관련정보에 대응하여 시그니처검증서버(200)로부터 정상 검증결과가 회신되는 경우, 해당되는 예비적용시그니처의 상태를 오진 검증이 완료된 적용시그니처 상태로 변경한다.

더불어, 시그니처검증서버(200)는, 상기 예비적용시그니처에 대한 정상 검증결과를 시그니처관리시스템(미도시, 예 : 시그니처작성시스템(400))으로 제공하여, 상기 예비적용시그니처를 오진 검증이 완료된 적용시그니처 상태로 변경하여 관리하도록 할 수 있다.

한편, 예를 들어 다수의 컴퓨터 시스템(100) 중 특정 컴퓨터 시스템(100)이 화이트리스트 파일을 보유/저장하고 있는 컴퓨터 시스템일 수 있다. 이 경우, 특정 컴퓨터 시스템(100)에서 화이트리스트 파일을 대상으로 악성코드 진단을 수행한 진단 결과 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단되면, 시그니처검증서버(200)는 즉시 해당 예비적용시그니처의 진단을 오진으로 판단하고 비정상 검증결과를 특정 컴퓨터 시스템(100) 및 시그니처작성시스템(300)으로 제공할 수 있다.

이하에서는, 도 2를 참조하여 본 발명에 따른 컴퓨터 시스템을 보다 구체적으로 설명하도록 한다.

본 발명에 따른 컴퓨터 시스템(100)은, 적어도 하나의 파일을 저장하는 파일저장부(110)와, 오진 검증이 완료되지 않은 상태의 예비적용시그니처 및 상기 오진 검증이 완료된 상태의 적용시그니처 중 적어도 어느 하나를 이용하여, 상기 적어도 하나의 파일에 대한 악성코드 진단을 수행하는 악성코드진단수행부(120)와, 상기 악성코드 진단 수행 결과 상기 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단되면, 상기 예비적용시그니처에 대응하여 상기 특정 파일이 악성코드로 진단된 진단결과를 기초로 상기 오진 검증에 요구되는 검증관련정보를 생성하여 특정 시그니처검증서버(200)로 제공하는 검증관련정보제공부(130)를 포함한다.

그리고, 본 발명에 따른 컴퓨터 시스템(100)은, 시그니처상태변경부(140)를 더 포함할 수 있다.

파일저장부(110)은, 후술의 악성코드 진단 대상이 되는 적어도 하나의 파일을 보유/저장한다.

악성코드진단수행부(120)는, 오진 검증이 완료되지 않은 상태의 예비적용시그니처 및 오진 검증이 완료된 상태의 적용시그니처 중 적어도 어느 하나를 이용하여, 파일저장부(110)의 적어도 하나의 파일에 대한 악성코드 진단을 수행한다.

이러한, 악성코드진단수행부(120)는, 전술에서 언급한 클라이언트백신에 대응된다.

즉, 악성코드진단수행부(120)는, 업데이트서버(400)로부터 제공/배포되는 시그니처를 수신하여 이를 악성코드 진단 시 이용하기 위해 업데이트한다.

그리고, 악성코드진단수행부(120)는, 악성코드 진단 이벤트가 발생하면, 오진 검증이 완료되지 않은 상태의 예비적용시그니처 및 오진 검증이 완료된 상태의 적용시그니처 중 적어도 어느 하나를 이용하여, 파일저장부(110)의 적어도 하나의 파일에 대한 악성코드 진단을 수행한다.

이에, 악성코드진단수행부(120)는, 악성코드 진단 수행 결과 적용시그니처에 대응하여 특정 파일이 악성코드로 진단되는 경우, 적용시그니처는 오진 검증이 완료된 상태의 시그니처이므로, 진단결과를 즉시 적용하여 악성코드를 치료하는 등 일반적인 진단 절차를 진행할 것이다.

검증관련정보제공부(130)는, 악성코드 진단 수행 결과 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단되면, 상기 예비적용시그니처에 대응하여 상기 특정 파일이 악성코드로 진단된 진단결과를 기초로 오진 검증에 요구되는 검증관련정보를 생성하여 특정 시그니처검증서버(200)로 제공한다.

여기서, 검증관련정보는, 상기 예비적용시그니처의 시그니처식별정보, 상기 진단된 특정 파일의 파일식별정보, 컴퓨터 시스템(100)에 대응하는 사용자가 속하는 진단사용자소속정보, 진단시간정보, 상기 진단된 특정 파일이 컴퓨터 시스템(100) 내에 상존한 파일상존기간정보, 상기 진단된 특정 파일의 악성코드진단이력정보 중 적어도 어느 하나를 포함하는 것이 바람직하다.

이에 예를 들면, 검증관련정보제공부(130)는, 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단되면, 진단에 이용된 예비적용시그니처의 시그니처식별정보와, 진단된 특정 파일의 파일식별정보와, 컴퓨터 시스템(100)에 대응하는 사용자가 속하는 사용자소속이 무엇인지를 나타내는 진단사용자소속정보(예 : 학교)와, 진단된 진단시간정보(예 : 년/월/일/시/분/초)와, 진단된 특정 파일이 컴퓨터 시스템(100) 내에 상존한 파일상존기간정보(예 : 200시간)와, 진단된 특정 파일이 과거 언제 악성코드로 진단된 적이 있는지를 나타내는 악성코드진단이력정보 중 적어도 어느 하나를 포함하는 검증관련정보를 생성한다.

그리고, 검증관련정보제공부(130)는, 생성한 검증관련정보를 시그니처검증서버(200)로 제공한다.

이처럼, 검증관련정보제공부(130)는, 악성코드진단수행부(120)에서 악성코드 진단을 수행할 때마다 진단되는 적어도 하나의 예비적용시그니처에 대한 검증관련정보를 시그니처검증서버(200)로 제공할 수 있다.

이에, 전술한 바와 같이 시그니처검증서버(200)는, 다수의 컴퓨터 시스템(100) 각각으로부터 오진 검증이 완료되지 않은 상태의 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단된 진단 결과에 따른 검증관련정보를 수집함으로써, 각 컴퓨터 시스템(100)에 보유/저장된 다수의 파일을 대상으로 예비적용시그니처의 악성코드 진단 시뮬레이션을 수행한 결과를 수집하는 것과 같은 결과를 갖게 된다.

시그니처상태변경부(140)는, 시그니처검증서버(200)에서 적어도 하나의 상기 컴퓨터 시스템으로부터 수집되는 상기 검증관련정보를 기초로 상기 예비적용시그니처에 대하여 상기 오진 검증을 수행한 검증결과가 회신되면, 상기 회신되는 검증결과가 정상인 경우 상기 예비적용시그니처의 상태를 상기 오진 검증이 완료된 적용시그니처 상태로 변경한다.

보다 구체적으로 설명하면, 시그니처상태변경부(140)는, 시그니처검증서버(200)로부터 악성코드진단수행부(120)에서 악성코드 진단 시 반영한 예비적용시그니처에 대한 검증결과를 회신받을 수 있다.

이에, 시그니처상태변경부(140)는, 회신된 검증결과가 정상 검증결과이면, 해당 예비적용시그니처의 상태를 오진 검증이 완료된 적용시그니처 상태로 변경한다.

한편, 시그니처상태변경부(140)는, 회신된 검증결과가 비정상 검증결과이면, 해당 예비적용시그니처를 비활성 상태로 변경한다. 이에, 악성코드진단수행부(120)는, 이 후 악성코드 진단 수행 시 비활성 상태의 예비적용시그니처를 반영하지 않을 것이고, 더 나아가 비활성 상태의 예비적용시그니처를 삭제할 수도 있다.

이하에서는, 도 3을 참조하여 본 발명에 따른 시그니처검증서버의 구성을 구체적으로 설명하도록 한다.

본 발명에 따른 시그니처검증서버(200)는, 적어도 하나의 컴퓨터 시스템(100)으로부터 오진 검증이 완료되지 않은 상태의 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단된 진단 결과에 따른 검증관련정보를 수집하는 검증관련정보수집부(210)와, 상기 수집된 검증관련정보를 기초로 상기 예비적용시그니처에 대하여 상기 오진 검증을 수행하는 검증수행부(220)와, 상기 오진 검증을 수행한 검증결과를 상기 예비적용시그니처를 보유한 상기 적어도 하나의 컴퓨터 시스템으로 제공하는 검증결과제공부(230)를 포함한다.

검증관련정보수집부(210)는, 적어도 하나의 컴퓨터 시스템(100)으로부터 오진 검증이 완료되지 않은 상태의 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단된 진단 결과에 따른 검증관련정보를 수집한다.

이는, 검증관련정보수집부(210)는, 다수의 컴퓨터 시스템(100)으로부터 종류 및 개수가 무한정에 가까운 파일을 대상으로 수행되는 악성코드 진단 수행에 의해, 오진 검증이 완료되지 않은 상태의 예비적용시그니처에 대응하여 진단된 검증관련정보 즉 악성코드 진단 시뮬레이션 수행 결과를 수집하는 것과 같다.

그리고, 검증수행부(220)는, 검증관련정보수집부(210)에서 수집된 검증관련정보를 기초로 예비적용시그니처에 대하여 오진 검증을 수행한다.

즉, 검증관련정보수집부(210)는, 다수의 컴퓨터 시스템(100)으로부터 종류 및 개수가 무한정에 가까운 파일을 대상으로 수행되는 악성코드 진단 수행에 의해 수집된 예비적용시그니처 대응 검증관련정보를 기초로, 해당 예비적용시그니처에 대하여 오진 검증을 수행한다.

보다 구체적으로 설명하면, 제1실시예에 따르면 검증수행부(220)는, 다수의 컴퓨터 시스템(100)으로부터 수집된 검증관련정보를 기초로 오진 검증을 수행하여, 해당 예비적용시그니처에 의해 특정 파일이 진단된 진단 횟수가 특정 횟수 이상인 제1조건, 상기 특정 파일이 특정 기준시간 이상 악성코드 검출이 없는 이력을 가지는 제2조건, 상기 특정 파일이 보유된 컴퓨터 시스템(100)에서 특정 상존기간 이상 상존하는 제3조건을 만족하는 경우, 해당 예비적용시그니처에 의한 진단을 오진으로 판단할 수 있다.

다시 말해, 검증수행부(220)는, 오진 검증을 수행하여, 예비적용시그니처에 의해 특정 파일이 진단된 횟수가 특정 횟수 이상이고 이러한 특정 파일이 특정 기준시간 이상 동안 악성코드 검출 이력이 없으면서 보유된 컴퓨터 시스템(100)에서 특정 상존기간 이상 충분히 상존해 있었다고 판단되면, 해당 예비적용시그니처에 의한 진단을 오진으로 판단할 수 있다.

이때, 검증수행부(220)는, 전술과 같은 경우 해당 예비적용시그니처에 의한 진단을 오진으로 판단하는 대신, 오진 가능성이 높은 것으로 판단하고 오진 가능성이 높은 것으로 판단하는 횟수가 특정 판단횟수(예 : 3회) 이상이면 비로소 해당 예비적용시그니처에 의한 진단을 오진으로 판단할 수도 있다.

또는, 제2실시예에 따르면 검증수행부(220)는, 다수의 컴퓨터 시스템(100)으로부터 수집된 검증관련정보를 기초로 오진 검증을 수행하여, 특정 진단사용자소속에서 해당 예비적용시그니처에 의해 발생하는 진단 횟수가 특정 집중발생시간 동안 특정 집중발생횟수 이상 진단되는 제4조건을 만족하는 경우, 해당 예비적용시그니처에 의한 진단을 오진으로 판단할 수 있다.

다시 말해, 검증수행부(220)는, 오진 검증을 수행하여, 특정 진단사용자소속(예 : 학교)에서 단시간(특정 집중발생시간) 동안 해당 예비적용시그니처에 의해 발생하는 진단 횟수가 집중적으로(집중발생횟수 이상) 발생한다고 판단되면, 해당 예비적용시그니처에 의한 진단을 오진으로 판단할 수 있다.

이때, 검증수행부(220)는, 전술과 같은 경우 해당 예비적용시그니처에 의한 진단을 오진으로 판단하는 대신, 오진 가능성이 높은 것으로 판단하고 오진 가능성이 높은 것으로 판단하는 횟수가 특정 판단횟수(예 : 3회) 이상이면 비로소 해당 예비적용시그니처에 의한 진단을 오진으로 판단할 수도 있다.

또는, 제3실시예에 따르면 검증수행부(220)는, 다수의 컴퓨터 시스템(100)으로부터 수집된 검증관련정보를 기초로 오진 검증을 수행하여, 해당 예비적용시그니처를 배포한 후 특정 배포초기시간 이내에 해당 예비적용시그니처에 의해 발생하는 진단 횟수가 특정 다량발생횟수 이상 진단되는 제5조건, 해당 예비적용시그니처에 의해 상기 특정 배포초기시간 이내에 진단되는 파일 간의 특징매칭율이 특정 매칭기준 이하인 제6조건 중 적어도 어느 하나를 만족하는 경우, 해당 예비적용시그니처에 의한 진단을 오진으로 판단할 수 있다.

다시 말해, 검증수행부(220)는, 오진 검증을 수행하여, 해당 예비적용시그니처를 배포한 초기(특정 배포초기시간 이내)에 해당 예비적용시그니처에 의해 발생하는 진단 횟수가 특정 다량발생횟수 이상으로 다량 발생되면서, 해당 예비적용시그니처에 의해 진단된 파일 간의 특징(예 : 코드크기) 매칭율이 특정 매칭기준 이하로 상당히 상이하다고 판단되면, 해당 예비적용시그니처에 의한 진단을 오진으로 판단할 수 있다.

이때, 검증수행부(220)는, 전술과 같은 경우 해당 예비적용시그니처에 의한 진단을 오진으로 판단하는 대신, 오진 가능성이 높은 것으로 판단하고 오진 가능성이 높은 것으로 판단하는 횟수가 특정 판단횟수(예 : 3회) 이상이면 비로소 해당 예비적용시그니처에 의한 진단을 오진으로 판단할 수도 있다.

이처럼, 검증수행부(220)는, 전술의 제1 및 제2 및 제3 실시예 각각을 채택하여, 또는 각 실시예를 조합 채택하여 오진 검증을 수행할 수 있다.

한편, 검증수행부(220)는, 전술과 같이 예비적용시그니처에 의한 진단을 오진으로 판단하면, 오진 판단된 예비적용시그니처에 대한 오진 판단 근거 정보(예 : 진단된 파일식별정보, 파일 크기, 오진 판단 상황 등)를 분석가에 리포트하여, 분석가가 이를 참고로 예비적용시그니처에 대한 최종 오진 여부를 판단하도록 할 수 있다.

검증결과제공부(230)는, 검증수행부(220)에서 오진 검증을 수행한 검증결과를 해당 예비적용시그니처를 보유한 적어도 하나의 컴퓨터 시스템(100)으로 제공한다.

보다 구체적으로 설명하면, 검증결과제공부(230)는, 검증수행부(220)에서 상기 오진 검증을 수행한 결과 예비적용시그니처에 의한 진단을 오진으로 판단하면, 상기 예비적용시그니처에 대한 비정상 검증결과를 특정 시그니처작성시스템(300)으로 제공하여 상기 예비적용시그니처에 대응하는 시그니처를 재작성하도록 할 수 있다.

즉, 검증결과제공부(230)는, 검증수행부(220)에서 예비적용시그니처에 대하여 오진 검증을 수행한 결과 예비적용시그니처에 의한 진단을 오진으로 판단하면, 상기 예비적용시그니처에 대한 비정상 검증결과를 시그니처작성시스템(400)으로 제공하여, 시그니처작성시스템(400)에서 상기 예비적용시그니처에 대응하는 시그니처를 재작성하도록 할 수 있다.

더불어, 검증결과제공부(230)는, 상기 예비적용시그니처에 대한 비정상 검증결과를 상기 예비적용시그니처를 보유한 적어도 하나의 컴퓨터 시스템(100)으로 제공하여, 상기 예비적용시그니처를 비활성 상태로 변경하고 이 후 악성코드 진단 시 반영하지 않도록 할 수 있다.

한편, 검증결과제공부(230)는, 검증수행부(220)에서 예비적용시그니처에 대하여 오진 검증을 수행한 결과 특정 모니터링기간 동안 오진 판단이 발생하지 않으면, 상기 예비적용시그니처에 대한 정상 검증결과를 상기 예비적용시그니처를 보유한 상기 적어도 하나의 컴퓨터 시스템(100)으로 제공한다.

이에, 컴퓨터 시스템(100)은, 전술과 같이 해당되는 예비적용시그니처의 상태를 오진 검증이 완료된 적용시그니처 상태로 변경한다.

더불어, 검증결과제공부(230)는, 상기 예비적용시그니처에 대한 정상 검증결과를 시그니처관리시스템(미도시, 예 : 시그니처작성시스템(400))으로 제공하여, 상기 예비적용시그니처를 오진 검증이 완료된 적용시그니처 상태로 변경하여 관리하도록 할 수 있다.

이상에서 설명한 바와 같이 본 발명에 따른 컴퓨터 시스템 및 시그니처검증서버에 따르면, 오진 검증이 완료되지 않은 상태의 예비적용시그니처를 다수의 사용자 컴퓨터에 선 배포하여 다수의 사용자 컴퓨터에서 저장된 파일에 대한 악성코드 진단 시 예비적용시그니처를 반영하도록 하고 그 진단결과와 관련하여 수집된 정보를 기초로 예비적용시그니처에 대한 오진 검증을 수행함으로써, 실제 클라이언트백신을 사용할 다수의 사용자 컴퓨터 환경에서 시그니처에 대한 악성코드 진단 시뮬레이션을 실행하는 결과를 도출할 수 있어 기존의 시그니처 오진 검증에서 갖는 물리적, 공간적, 시간적 한계를 극복할 수 있다.

이하에서는, 도 4 내지 도 6을 참조하여 본 발명에 따른 시그니처 검증 방법을 설명하도록 한다. 여기서, 설명의 편의를 위해 전술한 도 1 내지 도 3에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다.

먼저, 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 시그니처 검증 시스템의 제어 흐름을 설명하도록 한다.

다수의 컴퓨터 시스템(100)은 업데이트서버(400)로부터 배포/제공되는 시그니처(예비적용시그니처 포함)를 수신하여(S10), 클라이언트백신을 업데이트한다.

이러한 컴퓨터 시스템(100)은, 악성코드 진단 이벤트가 발생하면, 오진 검증이 완료되지 않은 상태의 예비적용시그니처 및 오진 검증이 완료된 상태의 적용시그니처 중 적어도 어느 하나를 이용하여, 기 저장된 다수의 파일에 대한 악성코드 진단을 수행한다(S20).

컴퓨터 시스템(100)은, 악성코드 진단 결과 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단되면 상기 예비적용시그니처에 대응하여 상기 특정 파일이 악성코드로 진단된 진단결과를 기초로 오진 검증에 요구되는 검증관련정보를 생성하고(S30), 검증관련정보를 특정 시그니처검증서버(200)로 제공한다(S40).

이에, 시그니처검증서버(200)는, 다수의 컴퓨터 시스템(100)으로부터 오진 검증이 완료되지 않은 상태의 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단된 진단 결과에 따른 검증관련정보를 수집할 수 있다(S50).

시그니처검증서버(200)는, 전술과 같이 수집된 검증관련정보를 기초로 예비적용시그니처에 대하여 오진 검증을 수행한다(S60).

그리고, 시그니처검증서버(200)는, 오진 검증을 수행한 검증결과를 상기 예비적용시그니처를 보유한 적어도 하나의 컴퓨터 시스템(100)으로 제공한다.

보다 구체적으로 설명하면, 시그니처검증서버(200)는, 예비적용시그니처에 대하여 오진 검증을 수행한 결과 상기 예비적용시그니처에 의한 진단을 오진으로 판단하면(S70), 상기 예비적용시그니처에 대한 비정상 검증결과를 시그니처작성시스템(400)으로 제공하여(S80), 시그니처작성시스템(400)에서 상기 예비적용시그니처에 대응하는 시그니처를 재작성하도록 할 수 있다(S85).

더불어, 시그니처검증서버(200)는, 상기 예비적용시그니처에 대한 비정상 검증결과를 상기 예비적용시그니처를 보유한 적어도 하나의 컴퓨터 시스템(100)으로 제공하여(S90), 상기 예비적용시그니처를 비활성 상태로 변경하고 이 후 악성코드 진단 시 반영하지 않도록 할 수 있다(S95).

한편, 시그니처검증서버(200)는, 예비적용시그니처에 대하여 오진 검증을 수행한 결과 특정 모니터링기간 동안 오진 판단이 발생하지 않으면, 상기 예비적용시그니처에 대한 정상 검증결과를 상기 예비적용시그니처를 보유한 적어도 하나의 컴퓨터 시스템(100)으로 제공한다(S100).

이에, 컴퓨터 시스템(100)은, 제공한 검증관련정보에 대응하여 시그니처검증서버(200)로부터 정상 검증결과가 회신되는 경우, 해당되는 예비적용시그니처의 상태를 오진 검증이 완료된 적용시그니처 상태로 변경한다(S110).

더불어, 시그니처검증서버(200)는, 상기 예비적용시그니처에 대한 정상 검증결과를 시그니처관리시스템(미도시, 예 : 시그니처작성시스템(400))으로 제공하여(S120), 상기 예비적용시그니처를 오진 검증이 완료된 적용시그니처 상태로 변경하여 관리하도록 할 수 있다.

이하에서는, 도 5를 참조하여 본 발명의 바람직한 실시예에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법을 설명하도록 한다.

본 발명에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법은, 후술의 악성코드 진단 대상이 되는 적어도 하나의 파일을 보유/저장한다(S200).

본 발명에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법은, 오진 검증이 완료되지 않은 상태의 예비적용시그니처 및 오진 검증이 완료된 상태의 적용시그니처 중 적어도 어느 하나를 이용하여, 기 저장된 적어도 하나의 파일에 대한 악성코드 진단을 수행한다(S210).

이에 본 발명에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법은, 악성코드 진단 수행 결과 특정 파일에 대한 악성코드가 진단되면, 진단에 이용된 시그니처가 적용시그니처인지 또는 예비적용시그니처인지 판단한다(S230).

본 발명에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법은, 악성코드 진단 수행 결과 적용시그니처에 대응하여 특정 파일이 악성코드로 진단되는 경우, 적용시그니처는 오진 검증이 완료된 상태의 시그니처이므로, 진단결과를 즉시 적용하여 악성코드를 치료하는 등 일반적인 진단 절차를 진행할 것이다(S240).

한편, 본 발명에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법은, 악성코드 진단 수행 결과 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단되면, 상기 예비적용시그니처에 대응하여 상기 특정 파일이 악성코드로 진단된 진단결과를 기초로 오진 검증에 요구되는 검증관련정보를 생성하여 특정 시그니처검증서버(200)로 제공한다(S250).

그리고, 본 발명에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법은, 시그니처검증서버(200)로부터 S210단계의 악성코드 진단 시 반영한 예비적용시그니처에 대한 검증결과를 회신받을 수 있다(S260).

이에, 본 발명에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법은, 회신된 검증결과가 정상 검증결과인지 또는 비정상 검증결과인지 판단하고(S270), 정상 검증결과이면, 해당 예비적용시그니처의 상태를 오진 검증이 완료된 적용시그니처 상태로 변경한다(S280).

한편, 본 발명에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법은, 회신된 검증결과가 비정상 검증결과이면, 해당 예비적용시그니처를 비활성 상태로 변경한다(S290). 이에, 본 발명에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법은, 이 후 악성코드 진단 수행 시 비활성 상태의 예비적용시그니처를 반영하지 않을 것이고, 더 나아가 비활성 상태의 예비적용시그니처를 삭제할 수도 있다.

이하에서는, 도 6을 참조하여 본 발명의 바람직한 실시예에 따른 시그니처 검증 방법을 설명하도록 한다.

본 발명에 따른 시그니처 검증 방법은, 적어도 하나의 컴퓨터 시스템(100)으로부터 오진 검증이 완료되지 않은 상태의 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단된 진단 결과에 따른 검증관련정보를 수집한다(S300).

이는, 본 발명에 따른 시그니처 검증 방법은, 다수의 컴퓨터 시스템(100)으로부터 종류 및 개수가 무한정에 가까운 파일을 대상으로 수행되는 악성코드 진단 수행에 의해, 오진 검증이 완료되지 않은 상태의 예비적용시그니처에 대응하여 진단된 검증관련정보 즉 악성코드 진단 시뮬레이션 수행 결과를 수집하는 것과 같다.

그리고, 본 발명에 따른 시그니처 검증 방법은, S300단계에서 수집된 검증관련정보를 기초로 예비적용시그니처에 대하여 오진 검증을 수행한다(S310).

즉, 본 발명에 따른 시그니처 검증 방법은, 다수의 컴퓨터 시스템(100)으로부터 종류 및 개수가 무한정에 가까운 파일을 대상으로 수행되는 악성코드 진단 수행에 의해 수집된 예비적용시그니처 대응 검증관련정보를 기초로, 해당 예비적용시그니처에 대하여 오진 검증을 수행한다.

여기서, 본 발명에 따른 시그니처 검증 방법에서 오진 검증을 수행하는 절차는, 전술의 도 3을 참조하여 설명한 검증수행부(220)의 제1 및 제2 및 제3실시예에 대응되므로, 구체적인 설명을 생략하도록 한다.

그리고, 본 발명에 따른 시그니처 검증 방법은, S310단계에서 오진 검증을 수행한 검증결과를 해당 예비적용시그니처를 보유한 적어도 하나의 컴퓨터 시스템(100)으로 제공한다.

보다 구체적으로 설명하면, 본 발명에 따른 시그니처 검증 방법은, 예비적용시그니처에 대하여 오진 검증을 수행한 결과 예비적용시그니처에 의한 진단을 오진으로 판단하면(S320), 상기 예비적용시그니처에 대한 비정상 검증결과를 시그니처작성시스템(400)으로 제공하여(S330), 시그니처작성시스템(400)에서 상기 예비적용시그니처에 대응하는 시그니처를 재작성하도록 할 수 있다.

더불어, 본 발명에 따른 시그니처 검증 방법은, 상기 예비적용시그니처에 대한 비정상 검증결과를 상기 예비적용시그니처를 보유한 적어도 하나의 컴퓨터 시스템(100)으로 제공하여(S330), 상기 예비적용시그니처를 비활성 상태로 변경하고 이 후 악성코드 진단 시 반영하지 않도록 할 수 있다.

한편, 본 발명에 따른 시그니처 검증 방법은, 예비적용시그니처에 대하여 오진 검증을 수행한 결과 오진 판단이 발생하지 않고 특정 모니터링기간이 경과하면(S340), 상기 예비적용시그니처에 대한 정상 검증결과를 상기 예비적용시그니처를 보유한 상기 적어도 하나의 컴퓨터 시스템(100)으로 제공한다(S350).

이에, 컴퓨터 시스템(100)은, 전술과 같이 해당되는 예비적용시그니처의 상태를 오진 검증이 완료된 적용시그니처 상태로 변경한다.

더불어, 본 발명에 따른 시그니처 검증 방법은, 상기 예비적용시그니처에 대한 정상 검증결과를 시그니처관리시스템(미도시, 예 : 시그니처작성시스템(400))으로 제공하여(S350), 상기 예비적용시그니처를 오진 검증이 완료된 적용시그니처 상태로 변경하여 관리하도록 할 수 있다.

이상에서 설명한 바와 같이 본 발명에 따른 컴퓨터 시스템의 시그니처 검증 지원 방법 및 시그니처 검증 방법에 따르면, 오진 검증이 완료되지 않은 상태의 예비적용시그니처를 다수의 사용자 컴퓨터에 선 배포하여 다수의 사용자 컴퓨터에서 저장된 파일에 대한 악성코드 진단 시 예비적용시그니처를 반영하도록 하고 그 진단결과와 관련하여 수집된 정보를 기초로 예비적용시그니처에 대한 오진 검증을 수행함으로써, 실제 클라이언트백신을 사용할 다수의 사용자 컴퓨터 환경에서 시그니처에 대한 악성코드 진단 시뮬레이션을 실행하는 결과를 도출할 수 있어 기존의 시그니처 오진 검증에서 갖는 물리적, 공간적, 시간적 한계를 극복할 수 있다.

본 발명의 일실시예에 따른 단말 장치의 보안 문서 실행 방법과 문서 관리 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.

Claims (19)

1. 적어도 하나의 파일을 저장하는 파일저장부;

   오진 검증이 완료되지 않은 상태의 예비적용시그니처를 이용하여, 상기 적어도 하나의 파일에 대한 악성코드 진단을 수행하는 악성코드진단수행부; 및

   상기 예비적용시그니처를 이용하여 상기 악성코드 진단을 수행한 결과 특정 파일이 악성코드로 진단되면, 상기 진단된 진단결과를 기초로 하는 상기 오진 검증에 요구되는 검증관련정보를 특정 시그니처검증서버로 제공하는 검증관련정보제공부를 포함하는 것을 특징으로 하는 컴퓨터 시스템.
2. 제 1 항에 있어서,

   상기 시그니처검증서버로부터, 적어도 하나의 상기 컴퓨터 시스템으로부터 수집되는 상기 검증관련정보를 기초로 상기 예비적용시그니처에 대하여 상기 오진 검증을 수행한 검증결과가 회신되면, 상기 회신되는 검증결과가 정상인 경우 상기 예비적용시그니처의 상태를 상기 오진 검증이 완료된 적용시그니처 상태로 변경하는 시그니처상태변경부를 더 포함하는 것을 특징으로 하는 컴퓨터 시스템.
3. 적어도 하나의 컴퓨터 시스템으로부터 오진 검증이 완료되지 않은 상태의 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단된 진단 결과에 따른 검증관련정보를 수집하는 검증관련정보수집부;

   상기 수집된 검증관련정보를 기초로 상기 예비적용시그니처에 대하여 상기 오진 검증을 수행하는 검증수행부; 및

   상기 오진 검증을 수행한 검증결과를 상기 예비적용시그니처를 보유한 상기 적어도 하나의 컴퓨터 시스템으로 제공하는 검증결과제공부를 포함하는 것을 특징으로 하는 시그니처검증서버.
4. 제 3 항에 있어서,

   상기 검증수행부는,

   상기 적어도 하나의 컴퓨터 시스템으로부터 수집된 검증관련정보를 기초로, 상기 예비적용시그니처에 의해 상기 특정 파일이 진단된 진단 횟수가 특정 횟수 이상인 제1조건, 상기 특정 파일이 특정 기준시간 이상 악성코드 검출이 없는 이력을 가지는 제2조건, 상기 특정 파일이 보유된 컴퓨터 시스템에서 특정 상존기간 이상 상존하는 제3조건 중 적어도 어느 하나를 만족하는 경우, 상기 예비적용시그니처에 의한 진단을 오진으로 판단하는 것을 특징으로 하는 시그니처검증서버.
5. 제 3 항에 있어서,

   상기 검증수행부는,

   상기 적어도 하나의 컴퓨터 시스템으로부터 수집된 검증관련정보를 기초로, 특정 진단사용자소속에서 상기 예비적용시그니처에 의해 발생하는 진단 횟수가 특정 집중발생시간 동안 특정 집중발생횟수 이상 진단되는 제4조건을 만족하는 경우, 상기 예비적용시그니처에 의한 진단을 오진으로 판단하는 것을 특징으로 하는 시그니처검증서버.
6. 제 3 항에 있어서,

   상기 검증수행부는,

   상기 적어도 하나의 컴퓨터 시스템으로부터 수집된 검증관련정보를 기초로, 상기 예비적용시그니처를 상기 적어도 하나의 컴퓨터 시스템으로 배포한 후 특정 배포초기시간 이내에 상기 예비적용시그니처에 의해 발생하는 진단 횟수가 특정 다량발생횟수 이상 진단되는 제5조건, 상기 예비적용시그니처에 의해 상기 특정 배포초기시간 이내에 진단되는 파일 간의 특징매칭율이 특정 매칭기준 이하인 제6조건 중 적어도 어느 하나를 만족하는 경우, 상기 예비적용시그니처에 의한 진단을 오진으로 판단하는 것을 특징으로 하는 시그니처검증서버.
7. 제 3 내지 제 6 항 중 어느 한 항에 있어서,

   상기 검증결과제공부는,

   상기 검증수행부에서 상기 오진 검증을 수행한 결과 상기 예비적용시그니처에 의한 진단을 오진으로 판단하면 상기 예비적용시그니처에 대한 비정상 검증결과를 특정 시그니처작성시스템으로 제공하여, 상기 특정 시그니처작성시스템에서 상기 예비적용시그니처에 대응하는 시그니처를 재작성하도록 하는 것을 특징으로 하는 시그니처검증서버.
8. 제 3 내지 제 6 항 중 어느 한 항에 있어서,

   상기 검증결과제공부는,

   상기 검증수행부에서 상기 예비적용시그니처에 대하여 상기 오진 검증을 수행한 결과 특정 모니터링기간 동안 상기 오진 판단이 발생하지 않으면, 상기 예비적용시그니처에 대한 정상 검증결과를 상기 예비적용시그니처를 보유한 상기 적어도 하나의 컴퓨터 시스템으로 제공하는 것을 특징으로 하는 시그니처검증서버.
9. 적어도 하나의 파일을 저장하는 파일 저장단계;

   오진 검증이 완료되지 않은 상태의 예비적용시그니처를 이용하여, 상기 적어도 하나의 파일에 대한 악성코드 진단을 수행하는 악성코드진단 수행단계; 및

   상기 예비적용시그니처를 이용하여 상기 악성코드 진단을 수행한 결과 특정 파일이 악성코드로 진단되면, 상기 진단된 진단결과를 기초로 하는 상기 오진 검증에 요구되는 검증관련정보를 특정 시그니처검증서버로 제공하는 검증관련정보 제공단계를 포함하는 것을 특징으로 하는 컴퓨터 시스템의 시그니처 검증 지원 방법.
10. 제 9 항에 있어서,

    상기 시그니처검증서버에서 적어도 하나의 상기 컴퓨터 시스템으로부터 수집되는 상기 검증관련정보를 기초로 상기 예비적용시그니처에 대하여 상기 오진 검증을 수행한 검증결과가 회신되면, 상기 회신되는 검증결과가 정상인 경우 상기 예비적용시그니처의 상태를 상기 오진 검증이 완료된 적용시그니처 상태로 변경하는 시그니처상태 변경단계를 더 포함하는 것을 특징으로 하는 컴퓨터 시스템의 시그니처 검증 지원 방법.
11. 제 9 항에 있어서,

    상기 검증관련정보는,

    상기 예비적용시그니처의 시그니처식별정보, 상기 진단된 특정 파일의 파일식별정보, 상기 컴퓨터 시스템에 대응하는 사용자가 속하는 진단사용자소속정보, 진단시간정보, 상기 진단된 특정 파일이 상기 컴퓨터 시스템 내에 상존한 파일상존기간정보, 상기 진단된 특정 파일의 악성코드진단이력정보 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 컴퓨터 시스템의 시그니처 검증 지원 방법.
12. 적어도 하나의 컴퓨터 시스템으로부터 오진 검증이 완료되지 않은 상태의 예비적용시그니처에 대응하여 특정 파일이 악성코드로 진단된 진단 결과에 따른 검증관련정보를 수집하는 검증관련정보 수집단계;

    상기 수집된 검증관련정보를 기초로 상기 예비적용시그니처에 대하여 상기 오진 검증을 수행하는 검증 수행단계; 및

    상기 오진 검증을 수행한 검증결과를 상기 예비적용시그니처를 보유한 상기 적어도 하나의 컴퓨터 시스템으로 제공하는 검증결과 제공단계를 포함하는 것을 특징으로 하는 시그니처검증서버의 시그니처 검증 방법.
13. 제 12 항에 있어서,

    상기 검증관련정보는,

    상기 예비적용시그니처의 시그니처식별정보, 상기 진단된 특정 파일의 파일식별정보, 상기 컴퓨터 시스템에 대응하는 사용자가 속하는 진단사용자소속정보, 진단시간정보, 상기 진단된 특정 파일이 상기 컴퓨터 시스템 내에 상존한 파일상존기간정보, 상기 진단된 특정 파일의 악성코드진단이력정보 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 시그니처검증서버의 시그니처 검증 방법.
14. 제 13 항에 있어서,

    상기 검증 수행단계는,

    상기 적어도 하나의 컴퓨터 시스템으로부터 수집된 검증관련정보를 기초로, 상기 예비적용시그니처에 의해 상기 특정 파일이 진단된 진단 횟수가 특정 횟수 이상인 제1조건, 상기 특정 파일이 특정 기준시간 이상 악성코드 검출이 없는 이력을 가지는 제2조건, 상기 특정 파일이 보유된 컴퓨터 시스템에서 특정 상존기간 이상 상존하는 제3조건 중 적어도 어느 하나를 만족하는 경우, 상기 예비적용시그니처에 의한 진단을 오진으로 판단하는 것을 특징으로 하는 시그니처검증서버의 시그니처 검증 방법.
15. 제 13 항에 있어서,

    상기 검증 수행단계는,

    상기 적어도 하나의 컴퓨터 시스템으로부터 수집된 검증관련정보를 기초로, 특정 진단사용자소속에서 상기 예비적용시그니처에 의해 발생하는 진단 횟수가 특정 집중발생시간 동안 특정 집중발생횟수 이상 진단되는 제4조건을 만족하는 경우, 상기 예비적용시그니처에 의한 진단을 오진으로 판단하는 것을 특징으로 하는 시그니처검증서버의 시그니처 검증 방법.
16. 제 13 항에 있어서,

    상기 검증 수행단계는,

    상기 적어도 하나의 컴퓨터 시스템으로부터 수집된 검증관련정보를 기초로, 상기 예비적용시그니처를 상기 적어도 하나의 컴퓨터 시스템으로 배포한 후 특정 배포초기시간 이내에 상기 예비적용시그니처에 의해 발생하는 진단 횟수가 특정 다량발생횟수 이상 진단되는 제5조건, 상기 예비적용시그니처에 의해 상기 특정 배포초기시간 이내에 진단되는 파일 간의 특징매칭율이 특정 매칭기준 이하인 제6조건 중 적어도 어느 하나를 만족하는 경우, 상기 예비적용시그니처에 의한 진단을 오진으로 판단하는 것을 특징으로 하는 시그니처검증서버의 시그니처 검증 방법.
17. 제 14 내지 제 16 항 중 어느 한 항에 있어서,

    상기 검증 수행단계에서 상기 오진 검증을 수행한 결과 상기 예비적용시그니처에 의한 진단을 오진으로 판단하면 상기 예비적용시그니처에 대한 비정상 검증결과를 특정 시그니처작성시스템으로 제공하여, 상기 특정 시그니처작성시스템에서 상기 예비적용시그니처에 대응하는 시그니처를 재작성하도록 하는 단계를 더 포함하는 것을 특징으로 하는 시그니처검증서버의 시그니처 검증 방법.
18. 제 14 내지 제 16 항 중 어느 한 항에 있어서,

    상기 검증결과 제공단계는,

    상기 검증 수행단계에서 상기 예비적용시그니처에 대하여 상기 오진 검증을 수행한 결과 특정 모니터링기간 동안 상기 오진 판단이 발생하지 않으면, 상기 예비적용시그니처에 대한 정상 검증결과를 상기 예비적용시그니처를 보유한 상기 적어도 하나의 컴퓨터 시스템으로 제공하는 것을 특징으로 하는 시그니처검증서버의 시그니처 검증 방법.
19. 제9항 내지 제18항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.

Images