WO2014010829A1

WO2014010829A1 - 캐싱을 이용한 악성코드 진단장치 및 방법

Info

Publication number: WO2014010829A1
Application number: PCT/KR2013/005085
Authority: WO
Inventors: 주설우; 이광우; 남진하
Original assignee: 주식회사 안랩
Priority date: 2012-07-09
Filing date: 2013-06-10
Publication date: 2014-01-16

Abstract

본 발명에서는 휴대용 단말기에 설치된 파일에 대한 악성코드 진단 수행 시 애플리케이션 파일을 포함하는 모든 파일에 대해 진단을 수행하되, 상대적으로 부하를 많이 발생시키는 애플리케이션 파일에 대해서는 진단을 수행한 진단 정보를 해당 애플리케이션 파일의 무결성을 입증할 수 있는 고유정보와 함께 캐싱 DB에 저장시킨 후, 캐싱 DB내 저장된 동일한 애플리케이션에 대해서는 악성코드 진단을 수행하지 않고, 이전 진단 정보를 악성코드 유무에 대한 진단 결과로 바로 출력시킴으로서 휴대용 단말기에서 악성코드 진단 수행에 따른 부하 발생이 최소화되도록 한다.

Description

캐싱을 이용한 악성코드 진단장치 및 방법

본 발명은 악성코드 진단에 관한 것으로, 특히 안드로이드(android) OS(operating system) 기반의 스마트폰(smartphone) 등의 휴대용 단말기에 설치된 파일에 대한 악성코드 진단 수행 시 애플리케이션 파일(application file)을 포함하는 모든 파일에 대해 진단을 수행하되, 상대적으로 부하를 많이 발생시키는 애플리케이션 파일에 대해서는 진단을 수행한 진단 정보를 해당 애플리케이션 파일의 무결성(integrity)을 입증할 수 있는 고유정보와 함께 캐싱 DB(data base)에 저장시킨 후, 캐싱 DB내 저장된 동일한 애플리케이션에 대해서는 악성코드 진단을 수행하지 않고, 이전 진단 정보를 악성코드 유무에 대한 진단 결과로 바로 출력시킴으로써 휴대용 단말기에서 악성코드 진단 수행에 따른 부하 발생이 최소화되도록 하는 캐싱을 이용한 악성코드 진단장치 및 방법에 관한 것이다.

근래에 들어 유무선 인터넷뿐만 아니라 이동통신 기술의 발달로, 단순히 전화통화 기능뿐만이 아닌 무선 인터넷 기능 등 다양한 기능을 갖춘 휴대폰이 보급되고 있다. 특히 최근에 보급이 확산되고 있는 스마트폰은 멀티미디어 재생기능 등의 다양한 기능의 응용프로그램의 설치가 가능하여, 사용자들이 여러 용도로 스마트폰을 이용하고 있다.

일반적으로 스마트폰은 휴대전화와 개인휴대단말기(personal digital assistant : PDA)의 장점을 합친 것으로, 휴대 전화기에 일정관리, 팩스 송수신 및 인터넷 접속 등의 데이터 통신기능을 통합시켜 구현된다. 통상 스마트폰에는 와이파이(wifi)와 같은 무선통신모듈이 장착되어 인터넷망을 통한 데이터 송수신도 가능하며, 인터넷 정보검색은 물론 액정디스플레이에 전자펜으로 문자를 입력하거나 약도 등 그림 정보를 송수신할 수 있다.

이러한 스마트폰은 저마다의 운영체제가 존재하며, 해당 운영체제에 의해 실행 가능한 응용프로그램의 개발이 활발히 이루어지고 있다.

위와 같은 스마트폰의 운영체제 중 안드로이드(Android) 플랫폼(platform)은 구글(Google) 사가 주도하는 OHA(Open Handset Alliance)에서 공개한 오픈 소스 플랫폼으로, 리눅스(Linux) 커널, 가상머신(VM : Virtual Machine), 프레임워크(Framework), 응용프로그램을 모두 포함하는 소프트웨어 패키지를 의미한다.

현재 안드로이드 플랫폼에 대한 사용자들의 기대가 상승하고, 단말 제조사와 이동 통신 서비스 제공사의 높은 호응으로 안드로이드 플랫폼을 탑재하는 스마트폰 등의 휴대용 단말기가 점점 늘어나고 있다.

위와 같이 안드로이드 플랫폼을 탑재한 휴대용 단말기 사용자가 늘어남에 따라 안드로이드 OS를 타겟으로 하는 악성코드 또한 급격히 증가하고 있다.

이에 따라, 안드로이드 플랫폼을 탑재한 스마트폰 등의 휴대용 단말기의 안전한 사용을 위해서 모바일 백신(mobile vaccine)을 거의 모든 단말에서 사용하고 있지만, 모바일 환경의 특성상 부하에 민감하기 때문에 보안성을 높이기 위한 방법들과 그 사용에 있어서 항상 트레이드 오프(trade off)가 발생하며, 이와 같은 백신 실행에 있어서의 부하는 일반파일보다 안드로이드 애플리케이션의 설치파일인 apk 파일에서 발생하게 되어, 애플리케이션 파일에 대한 악성코드 진단의 효율적인 방법이 필요한 실정이다.

한편, 종래 안드로이드 플랫폼을 탑재한 스마트폰 등의 휴대용 단말기에서의 악성 코드 진단방법으로는 검사를 시도하는 모든 apk파일에 대해 매번 진단을 수행하는 방법과 apk를 진단하는 부하를 최소화하기 위해 apk에 대한 필터(filter)를 사용하여 사전 진단을 하는 방법 등이 대부분이다.

그러나, 모든 apk 파일에 대해 매번 진단을 수행하는 전자의 경우 apk 진단에 따른 단말기의 속도저하와 성능 부하가 심하게 발생하는 문제점이 있으며, apk에 대한 필터를 사용하여 사전 진단하는 후자의 경우 하나의 dex 파일 진단으로 다수의 변종 apk 파일을 진단할 수 있음에도 불구하고 변종 악성코드에 대해서 사전진단을 위한 apk 필터를 변종 악성 코드마다 대응할 수밖에 없어 악성코드 대응에 어려움이 있었다.

따라서, 본 발명은 휴대용 단말기에 설치된 파일에 대한 악성코드 진단 수행 시 애플리케이션 파일을 포함하는 모든 파일에 대해 진단을 수행하되, 상대적으로 부하를 많이 발생시키는 애플리케이션 파일에 대해서는 진단을 수행한 진단 정보를 해당 애플리케이션 파일의 무결성을 입증할 수 있는 고유정보와 함께 캐싱 DB에 저장시킨 후, 캐싱 DB내 저장된 동일한 애플리케이션에 대해서는 악성코드 진단을 수행하지 않고, 이전 진단 정보를 악성코드 유무에 대한 진단 결과로 바로 출력시킴으로서 휴대용 단말기에서 악성코드 진단 수행에 따른 부하 발생이 최소화되도록 하는 캐싱을 이용한 악성코드 진단장치 및 방법을 제공하고자 한다.

상술한 본 발명은 악성코드 진단장치로서, 악성 파일인지 여부에 대한 진단을 수행한 애플리케이션 파일의 고유정보와 진단 정보를 저장하고 있는 캐싱 DB와, 애플리케이션 파일에 대한 진단 수행 시 상기 캐싱 DB내에 해당 애플리케이션 파일에 대한 진단정보가 존재하는 경우, 상기 진단 정보를 진단 결과로 출력시키는 진단 엔진부를 포함한다.

또한, 상기 진단 엔진부는, 상기 진단 수행 시 진단 대상 애플리케이션 파일의 고유정보를 추출하여 상기 캐싱 DB내 일치하는 고유정보가 존재하는지 검사하고, 일치하는 고유정보가 존재하는 경우 해당 애플리케이션 파일에 대해서는 진단을 수행하지 않고, 이전에 수행된 진단 정보를 진단 결과로 출력시키는 것을 특징으로 한다.

또한, 상기 진단 엔진부는, 상기 캐싱 DB내 일치하는 고유정보가 존재하지 않는 애플리케이션 파일에 대해서는 진단을 수행한 후, 상기 애플리케이션의 고유정보와 진단정보를 상기 캐싱 DB내 저장시키는 것을 특징으로 한다.

또한, 상기 고유정보는, 상기 애플리케이션 파일에 대한 파일특성정보, 시스템 특성정보 또는 진단정책 정보 중 적어도 어느 하나 이상을 포함하는 것을 특징으로 한다.

또한, 상기 파일 특성 정보는, 상기 애플리케이션 파일의 파일크기, 파일 이름 또는 파일 최종 변경 시각 정보를 적어도 하나 이상 포함하는 것을 특징으로 한다.

또한, 상기 시스템 특성 정보는, 상기 애플리케이션 파일의 아이노드 넘버를 포함하는 것을 특징으로 한다.

또한, 상기 진단장치는, 상기 고유정보에 대한 변경이 발생하는 경우 변경된 고유정보를 상기 캐싱 DB에 갱신시켜 저장하는 리프레쉬 제어부를 더 포함하는 것을 특징으로 한다.

또한, 상기 애플리케이션 파일은, 상기 애플리케이션의 설치파일인 apk파일인 것을 특징으로 한다.

또한, 상기 휴대용 단말기는, 안드로이드 OS가 탑재된 스마트폰, 테블릿 PC 또는 PDA인 것을 특징으로 한다.

또한, 본 발명은 악성코드 진단방법으로서, 악성파일인지 여부에 대한 진단을 수행한 애플리케이션 파일의 고유정보와 진단 정보를 캐싱 DB에 저장시키는 단계와, 애플리케이션 파일에 대한 진단 수행 시, 상기 캐싱 DB내에 해당 애플리케이션 파일에 대한 진단정보가 존재하는 경우 상기 진단 정보를 진단 결과로 출력시키는 단계를 포함한다.

또한, 상기 진단결과로 출력시키는 단계는, 상기 진단 수행 시 진단 대상 애플리케이션 파일의 고유정보를 추출하여 상기 캐싱 DB내 일치하는 고유정보가 존재하는지 여부를 검사하는 단계와, 상기 고유정보가 서로 일치하는 경우 해당 애플리케이션 파일에 대해서는 진단을 수행하지 않고, 이전에 수행된 진단 정보를 진단 결과로 출력시키는 단계를 포함하는 것을 특징으로 한다.

또한, 상기 캐싱 DB내 일치하는 고유정보가 존재하지 않는 경우, 해당 애플리케이션 파일에 대해서는 진단을 수행한 후, 상기 애플리케이션의 고유정보와 진단정보를 상기 캐싱 DB내 새로이 저장시키는 단계를 더 포함하는 것을 특징으로 한다.

또한, 상기 방법은, 상기 고유정보에 대한 변경이 발생하는 경우 변경된 고유정보를 상기 캐싱 DB에 갱신시켜 저장하는 단계를 더 포함하는 것을 특징으로 한다.

또한, 상기 파일 특성 정보는, 상기 애플리케이션 파일의 파일크기, 파일 이름, 파일 최종 변경 시각 정보를 적어도 하나 이상 포함하는 것을 특징으로 한다.

본 발명은 휴대용 단말기에 설치된 파일에 대한 악성코드 진단 수행 시 애플리케이션 파일을 포함하는 모든 파일에 대해 진단을 수행하되, 상대적으로 부하를 많이 발생시키는 애플리케이션 파일에 대해서는 진단을 수행한 진단 정보를 해당 애플리케이션 파일의 무결성을 입증할 수 있는 고유정보와 함께 캐싱 DB에 저장시킨 후, 캐싱 DB내 저장된 동일한 애플리케이션에 대해서는 악성코드 진단을 수행하지 않고, 이전 진단 정보를 악성코드 유무에 대한 진단 결과로 바로 출력시킴으로서 휴대용 단말기에서 악성코드 진단 수행에 따른 부하 발생이 최소화되도록 할 수 있는 이점이 있다.

도 1은 본 발명의 실시예에 따른 악성코드 진단장치가 적용되는 안드로이드 기반 휴대용 단말기의 상세 블록 구성도,

도 2는 본 발명의 실시예에 따른 캐싱을 이용한 악성코드 진단장치의 상세 블록 구성도,

도 3은 본 발명의 실시예에 따른 캐싱을 이용한 악성코드 진단 제어 흐름도.

이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.

도 1은 본 발명의 실시예에 따른 악성코드 진단장치가 적용되는 안드로이드 기반 휴대용 단말기의 상세 블록 구성을 도시한 것이다.

이러한 휴대용 단말기는 스마트폰, 테블릿 PC 등의 단말기를 포함할 수 있다.

이하, 도 1을 참조하여 휴대용 단말기의 각 구성요소와 악성코드 진단장치의 동작을 상세히 설명하기로 한다.

먼저, 키입력부(104)는 휴대용 단말기(100)의 다양한 동작 요청을 위한 다수의 숫자키 및 기능키로 구성될 수 있으며, 사용자가 소정의 키를 누를 때 해당하는 키데이터를 발생하여 제어부(108)로 출력한다. 위와 같은 키입력부(104)는 제조사별, 국가별로 문자 배열의 차이가 있다. 또한, 키입력부(104)는 스마트폰(smart phone), 테블릿 PC 등에서는 물리적인 키패드(keypad) 대신, 소프트웨어 방식으로 필요시마다 표시부(102)상에 터치 스크린(touch screen) 형식으로 표시될 수도 있다.

통신부(112)는 유선망 또는 무선망을 통해 인터넷에 연결되어 데이터 송수신을 수행하며, 안드로이드 마켓 등의 사이트로부터 사용자에 의해 다운로드 선택된 애플리케이션 파일을 수신할 수 있다.

표시부(102)는 제어부(108)의 제어에 따라 휴대용 단말기(100)의 각종 정보를 표시하며, 키입력부(104)에서 발생되는 키데이터 및 제어부(108)의 각종 정보신호를 입력받아 디스플레이한다.

제어부(108)는 메모리부(106)에 저장된 동작 프로그램에 따라 휴대용 단말기(100)의 전반적인 동작을 제어한다. 위와 같은 동작 프로그램은 단말기(100)의 동작에 필요한 기본적인 운영 시스템(operating system) 뿐만 아니라, 표시부(102)와 키입력부(104)를 연결하고, 데이터의 입/출력을 관리하거나, 단말기(100)의 내부 애플리케이션(application) 등을 동작시키도록 제조 시 미리 프로그램밍(programing)되는 소프트웨어(software)를 통칭한다.

또한, 제어부(108)는 안드로이드 마켓 등에서 사용자에 의해 선택된 애플리케이션 파일을 통신부(112)를 통해 수신받은 후, 이를 설치하여 휴대용 단말기(100)에서 해당 애플리케이션이 실행될 수 있도록 제어한다.

이때, 위와 같이 휴대용 단말기(100)에 설치되는 다양한 애플리케이션에는 악의적인 사용자에 의해 제작된 악성 애플리케이션이 존재할 수 있으며, 이와 같은 악성 애플리케이션의 설치 시 휴대용 단말기(100)의 사용자 개인 정보를 탈취하거나 단말기 기능을 손상시키는 등의 여러 가지 문제점이 있을 수 있다.

따라서, 본 발명에 따라 예를 들어 휴대용 단말기(100)에 탑재되는 진단장치(110)에서는 휴대용 단말기(100)에 설치되는 애플리케이션 파일을 포함하는 모든 파일에 대한 악성코드 유무의 진단 수행 시 휴대용 단말기(100)에 설치된 모든 파일에 대해 진단을 수행하되, 휴대용 단말기(100)에서 상대적으로 부하를 많이 발생시키는 애플리케이션 파일에 대해서는 이전에 진단을 수행하였던 이전 진단 정보를 저장하였다가 무결성이 입증되는 동일한 애플리케이션인 경우 다시 진단을 수행하지 않고, 이전 진단 정보를 진단 결과로 바로 출력시킴으로서 악성코드 진단 수행에 따른 부하 발생이 최소화되도록 할 수 있다.

도 2는 본 발명의 실시예에 따른 휴대용 단말기의 악성코드를 진단하는 진단장치의 상세 블록 구성을 도시한 것으로, 캐싱 DB(202), 진단 엔진부(200), 리프레쉬 제어부(refresh controller)(240) 등을 포함한다.

이하, 도 1을 참조하여 본 발명의 악성코드 진단장치(110) 각부에서의 동작을 상세히 살펴보기로 한다.

먼저, 캐싱 DB(202)는 휴대용 단말기(100)에 설치된 모든 파일 중 악성코드에 대한 진단이 수행된 애플리케이션 파일의 무결성 입증을 위한 고유정보와 이전 진단정보를 저장한다.

이러한, 애플리케이션 파일은 안드로이드 애플리케이션의 설치파일인 apk 파일이 될 수 있으며, 고유정보는 애플리케이션 파일의 파일크기, 파일 이름, 파일 최종 변경 시각(생성시각 포함), 애플리케이션 파일의 아이노드 넘버(inode number), 백신의 설정정보 등을 포함할 수 있다.

이때, 애플리케이션 파일의 파일크기, 파일 이름, 파일 최종 변경 시각 등의 정보는 애플리케이션 파일의 파일특성정보로 분류될 수 있고, 애플리케이션 파일의 아이노드 넘버 등의 정보는 시스템 특성정보로 분류될 수 있다. 또한, 애플리케이션의 악성코드 여부의 진단을 위해 사용자가 설정하는 백신의 설정정보 등의 정보는 진단 정책 정보로 분류될 수 있다.

진단 엔진부(200)는 휴대용 단말기(100)에 설치되는 애플리케이션 파일을 포함하는 모든 파일에 대한 악성코드 유무의 진단 수행 시 휴대용 단말기(100)에 설치된 모든 파일에 대해 진단을 수행한다. 그러나 상대적으로 부하를 많이 발생시키는 애플리케이션 파일에 대해서는 이전에 진단을 수행하였던 진단 정보를 저장하였다가 무결성이 입증되는 동일한 애플리케이션인 경우 다시 진단을 수행하지 않고, 이전 진단 정보를 진단 결과로 바로 출력시킴으로서 부하 발생이 최소화되도록 할 수 있다.

즉, 진단 엔진부(200)는 휴대용 단말기(100)에 설치된 모든 파일에 대한 악성코드 유무를 진단하는 과정에서, 진단 대상인 파일이 애플리케이션 파일인 것으로 판단되는 경우, 해당 애플리케이션 파일의 고유정보를 추출하고, 추출된 진단 대상 애플리케이션 파일의 고유정보와 캐싱 DB(202)내 저장된 고유정보 중 일치하는 고유정보가 존재하는지 검사한다. 이때, 캐싱 DB(202)내 서로 일치하는 고유정보가 존재하는 경우 해당 애플리케이션 파일은 무결성이 유지된 동일한 애플리케이션 파일로 인정하여 캐싱 DB(202)에 저장되어 있는 이전 진단 정보를 진단 결과로서 제공할 수 있다.

이때, 고유정보는 애플리케이션 파일의 파일크기, 파일 이름, 파일 최종 변경 시각, 애플리케이션 파일의 아이노드 넘버, 진단 정책 등을 포함할 수 있음은 전술한 바와 같다. 이에 따라, 진단 엔진부(200)는 캐싱 DB(202)내 위와 같이 애플리케이션의 무결성을 입증하기 위한 애플리케이션 파일의 파일크기, 파일 이름, 파일 최종 변경 시각, 애플리케이션 파일의 아이노드 넘버, 진단 정책 등의 고유정보가 모두 일치하는 고유정보가 존재하는지를 검사하여 캐싱 DB(202)내 서로 일치하는 고유정보가 존재하는 경우, 해당 애플리케이션 파일은 무결성이 유지된 동일한 애플리케이션 파일로 인정하여 이전 진단 정보를 진단 결과로서 제공하는 것이다.

또한, 위와 같은 고유정보 중 애플리케이션 파일의 아이노드 넘버는 휴대용 단말기의 파일 시스템에서 휴대용 단말기(100)에 설치되는 애플리케이션에게 제공하는 번호로서, 애플리케이션이 삭제되었다가 다시 설치되는 경우 동일한 아이노드 번호를 제공받는 것은 거의 불가능한 것으로 간주되는 바, 진단 엔진부(200)는 아이노드 번호를 포함하는 나머지 예시한 정보를 이용하여 애플리케이션 파일의 무결성을 확보할 수도 있다.

리프레쉬 제어부(204)는 캐싱 DB(202)에 애플리케이션 파일에 대한 고유정보 등에 대한 갱신(update)을 수행하는 장치로, 고유정보가 변경되었거나 진단 정책 등이 변경되는 경우 캐싱 DB(202)를 리프레쉬(refresh)한 후, 새로운 애플리케이션 파일의 고유정보 또는 진단정책 정보 등을 캐싱 DB(202)에 갱신 저장시킨다.

도 3은 본 발명의 실시예에 따른 악성코드 진단장치(110)에서 휴대용 단말기(100)내 설치된 파일에서 악성 코드의 유무를 진단하는 동작 제어 흐름을 도시한 것이다. 이하, 도 1, 도 2 및 도 3을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.

먼저, 휴대용 단말기(100)에 설치된 파일에 대한 악성코드 유무 진단이 요청되는 경우, 악성코드 진단장치(110)의 진단 엔진부(200)는 휴대용 단말기(100)에 설치된 모든 파일에 대해 진단을 수행하되, 파일 유형 분석을 수행하여(S300) apk 파일 형식을 가지는 애플리케이션 파일을 검색한다.

이때, apk 파일 형식을 가지는 애플리케이션 파일이 검색되는 경우(S302), 진단 엔진부(200)는 해당 애플리케이션 파일의 고유정보를 추출하고, 캐싱 DB(202)를 조회하여 진단 대상 애플리케이션 파일의 고유정보와 캐싱 DB(202)내 저장된 고유정보 중 일치하는 고유정보가 존재하는지 검사한다(S304). 이때, 캐싱 DB(202)내 서로 일치하는 고유정보가 존재하는 경우(S306), 해당 애플리케이션 파일은 무결성이 유지된 동일한 애플리케이션 파일로 인정하여 해당 애플리케이션 파일에 대해 저장된 진단 정보를 진단 결과로서 제공한다(S314).

이때, 진단 엔진부(200)는 캐싱 DB(202)내 위와 같이 애플리케이션의 무결성을 확보하기 위한 애플리케이션 파일의 파일크기, 파일 이름, 파일 최종 변경 시각, 애플리케이션 파일의 아이노드 넘버, 진단 정책 등의 고유정보가 모두 일치하는 고유정보가 존재하는지를 검사하여 캐싱 DB(202)내 서로 일치하는 고유정보가 존재하는 경우 해당 애플리케이션 파일은 무결성이 유지된 동일한 애플리케이션 파일로 인정할 수 있다.

그러나, 이와 달리, 캐싱 DB(202)를 조회한 결과, 추출된 진단 대상 애플리케이션 파일의 고유정보와 캐싱 DB(202)내 저장된 고유정보 중 일치하는 고유정보가 존재하지 않는 경우(S304), 진단 엔진부(200)는 해당 애플리케이션 파일에 대해 apk 파일의 압축을 해제하고 해쉬값 등과 같은 시그니처 정보를 이용하여 악성코드 유무에 대한 진단을 수행한다(S308).

이에 따라, 애플리케이션 파일내 악성코드 유무가 진단되며, 진단 엔진부(200)는 악성코드 유무에 대한 정보를 포함하는 해당 애플리케이션의 진단 정보를 얻게 된다.

이어, 위와 같이 악성코드 유무에 대한 진단을 수행한 후, 진단 엔진부(200)는 악성코드 진단이 수행된 해당 애플리케이션 파일이 캐싱 DB(202)에 진단 정보를 저장해야 하는 캐싱 대상 파일인지를 검사한다. 이때, 예를 들어 악성코드 진단이 수행된 애플리케이션 파일에 대해서는 캐싱 DB(202)에 진단 정보가 저장되어 있지 않은 상태라면 캐싱 대상으로 설정되도록 할 수 있다.

즉, 진단 엔진부(200)는 캐싱 DB(202)내 동일한 고유정보가 존재하지 않아 악성코드 진단을 수행한 애플리케이션 파일에 대해서는 진단을 수행한 후, 이를 캐싱 대상으로 판단하여 캐싱 DB(202)에 해당 애플리케이션 파일의 고유정보와 진단 정보를 저장시키고(S312), 애플리케이션 파일에 대한 진단 정보를 진단 결과로 출력시킨다(S314).

위와 같이, 진단 엔진부(200)는 휴대용 단말기(100)에 설치된 파일에 대한 악성코드 진단 수행 시 애플리케이션 파일을 포함하는 모든 파일에 대해 진단을 수행하되, 상대적으로 부하를 많이 발생시키는 애플리케이션 파일에 대해서는 이전에 수행하였던 진단 정보를 저장하였다가 무결성이 입증되는 동일한 애플리케이션인 경우 다시 진단을 수행하지 않고, 이전 진단 정보를 진단 결과로 바로 출력시킴으로서 휴대용 단말기(100)에서 부하 발생이 최소화되도록 할 수 있다.

또한, 캐싱 DB(202)내 이전 진단 정보가 존재하지 않거나 고유정보의 값이 서로 달라 무결성이 입증되지 않는 애플리케이션 파일에 대해서는 악성코드 진단을 수행한 후, 악성코드 진단 수행에 따른 진단 정보를 캐싱 DB(202)에 저장함으로써 추후 동일한 애플리케이션 파일에 대한 악성코드 진단 수행이 반복되지 않도록 할 수 있다.

상기한 바와 같이, 본 발명에서는 휴대용 단말기에 설치된 파일에 대한 악성코드 진단 수행 시 애플리케이션 파일을 포함하는 모든 파일에 대해 진단을 수행하되, 상대적으로 부하를 많이 발생시키는 애플리케이션 파일에 대해서는 진단을 수행한 진단 정보를 해당 애플리케이션 파일의 무결성을 입증할 수 있는 고유정보와 함께 캐싱 DB에 저장시킨 후, 캐싱 DB내 저장된 동일한 애플리케이션에 대해서는 악성코드 진단을 수행하지 않고, 이전 진단 정보를 악성코드 유무에 대한 진단 결과로 바로 출력시킴으로서 휴대용 단말기에서 악성코드 진단 수행에 따른 부하 발생이 최소화되도록 한다.

한편 상술한 본 발명의 설명에서는 구체적인 실시예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.

Claims

악성코드 진단장치로서,

악성 파일인지 여부에 대한 진단을 수행한 애플리케이션 파일의 고유정보와 진단 정보를 저장하고 있는 캐싱 DB와,

애플리케이션 파일에 대한 진단 수행 시 상기 캐싱 DB내에 해당 애플리케이션 파일에 대한 진단정보가 존재하는 경우, 상기 진단 정보를 진단 결과로 출력시키는 진단 엔진부

를 포함하는 악성코드 진단장치.
제 1 항에 있어서,

상기 진단 엔진부는,

상기 진단 수행 시 진단 대상 애플리케이션 파일의 고유정보를 추출하여 상기 캐싱 DB내 일치하는 고유정보가 존재하는지 검사하고, 일치하는 고유정보가 존재하는 경우 해당 애플리케이션 파일에 대해서는 진단을 수행하지 않고, 이전에 수행된 진단 정보를 진단 결과로 출력시키는 것을 특징으로 하는 악성코드 진단장치.
제 2 항에 있어서,

상기 진단 엔진부는,

상기 캐싱 DB내 일치하는 고유정보가 존재하지 않는 애플리케이션 파일에 대해서는 진단을 수행한 후, 상기 애플리케이션의 고유정보와 진단정보를 상기 캐싱 DB내 저장시키는 것을 특징으로 하는 악성코드 진단장치.
제 2 항에 있어서,

상기 고유정보는,

상기 애플리케이션 파일에 대한 파일특성정보, 시스템 특성정보 또는 진단정책 정보 중 적어도 어느 하나 이상을 포함하는 것을 특징으로 하는 악성코드 진단장치.
제 4 항에 있어서,

상기 파일 특성 정보는,

상기 애플리케이션 파일의 파일크기, 파일 이름 또는 파일 최종 변경 시각 정보를 적어도 하나 이상 포함하는 것을 특징으로 하는 악성코드 진단장치.
제 4 항에 있어서,

상기 시스템 특성 정보는,

상기 애플리케이션 파일의 아이노드 넘버를 포함하는 것을 특징으로 하는 악성코드 진단장치.
제 2 항에 있어서,

상기 진단장치는,

상기 고유정보에 대한 변경이 발생하는 경우 변경된 고유정보를 상기 캐싱 DB에 갱신시켜 저장하는 리프레쉬 제어부를 더 포함하는 것을 특징으로 하는 악성코드 진단장치.
제 1 항에 있어서,

상기 애플리케이션 파일은,

상기 애플리케이션의 설치파일인 apk파일인 것을 특징으로 하는 악성코드 진단장치.
제 1 항에 있어서,

상기 휴대용 단말기는,

안드로이드 OS가 탑재된 스마트폰, 테블릿 PC 또는 PDA인 것을 특징으로 하는 악성코드 진단장치.
악성코드 진단방법으로서,

악성파일인지 여부에 대한 진단을 수행한 애플리케이션 파일의 고유정보와 진단 정보를 캐싱 DB에 저장시키는 단계와,

애플리케이션 파일에 대한 진단 수행 시, 상기 캐싱 DB내에 해당 애플리케이션 파일에 대한 진단정보가 존재하는 경우 상기 진단 정보를 진단 결과로 출력시키는 단계

를 포함하는 악성코드 진단방법.
제 10 항에 있어서,

상기 진단결과로 출력시키는 단계는,

상기 진단 수행 시 진단 대상 애플리케이션 파일의 고유정보를 추출하여 상기 캐싱 DB내 일치하는 고유정보가 존재하는지 여부를 검사하는 단계와,

상기 고유정보가 서로 일치하는 경우 해당 애플리케이션 파일에 대해서는 진단을 수행하지 않고, 이전에 수행된 진단 정보를 진단 결과로 출력시키는 단계

를 포함하는 것을 특징으로 하는 악성코드 진단방법.
제 11 항에 있어서,

상기 캐싱 DB내 일치하는 고유정보가 존재하지 않는 경우, 해당 애플리케이션 파일에 대해서는 진단을 수행한 후, 상기 애플리케이션의 고유정보와 진단정보를 상기 캐싱 DB내 새로이 저장시키는 단계를 더 포함하는 것을 특징으로 하는 악성코드 진단방법.
제 11 항에 있어서,

상기 방법은,

상기 고유정보에 대한 변경이 발생하는 경우 변경된 고유정보를 상기 캐싱 DB에 갱신시켜 저장하는 단계를 더 포함하는 것을 특징으로 하는 악성코드 진단방법.
제 10 항에 있어서,

상기 고유정보는,

상기 애플리케이션 파일에 대한 파일특성정보, 시스템 특성정보 또는 진단정책 정보 중 적어도 어느 하나 이상을 포함하는 것을 특징으로 하는 악성코드 진단방법.
제 14 항에 있어서,

상기 파일 특성 정보는,

상기 애플리케이션 파일의 파일크기, 파일 이름, 파일 최종 변경 시각 정보를 적어도 하나 이상 포함하는 것을 특징으로 하는 악성코드 진단방법.
제 14 항에 있어서,

상기 시스템 특성 정보는,

상기 애플리케이션 파일의 아이노드 넘버를 포함하는 것을 특징으로 하는 악성코드 진단방법.