WO2014163355A1 - 전자문서 검역방법 및 검역시스템 - Google Patents

전자문서 검역방법 및 검역시스템 Download PDF

Info

Publication number
WO2014163355A1
WO2014163355A1 PCT/KR2014/002741 KR2014002741W WO2014163355A1 WO 2014163355 A1 WO2014163355 A1 WO 2014163355A1 KR 2014002741 W KR2014002741 W KR 2014002741W WO 2014163355 A1 WO2014163355 A1 WO 2014163355A1
Authority
WO
WIPO (PCT)
Prior art keywords
mail
quarantine
server
electronic document
macro
Prior art date
Application number
PCT/KR2014/002741
Other languages
English (en)
French (fr)
Inventor
배환국
박경옥
Original Assignee
소프트캠프(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소프트캠프(주) filed Critical 소프트캠프(주)
Publication of WO2014163355A1 publication Critical patent/WO2014163355A1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking

Definitions

  • the present invention relates to an electronic document quarantine method and quarantine system for quarantining various viruses and malicious codes included in an e-mail and an attached file.
  • E-mail is a service that can deliver a message to the recipient's e-mail address specified by the sender.
  • the address of the other party's e-mail is typically stored on the user's computer so that the message can be easily sent.
  • e-mail is a communication medium widely used in an online communication environment, and it is virtually impossible to restrict its use due to computer viruses or malware. Therefore, in the past, various methods have been proposed that can confirm the virus infection of the e-mail, thereby preventing the spread of the virus through the e-mail and activating the use of the e-mail (see the prior art document).
  • the vaccine for checking whether the e-mail is infected has no choice but to follow the latest infection form of the virus.
  • macros that are not intended by the user in the contents of the data hereinafter referred to as 'malicious macros'
  • the vaccine is not recognized as a virus and cannot be quarantined. There was a problem causing an error in data processing.
  • the present invention has been invented to solve the above problems, while providing the electronic document quarantine method and quarantine system that can check and remove the embedded malicious macro while protecting the original document file, which is an attachment of an e-mail. Let's do the task.
  • Another object of the present invention is to provide an electronic document quarantine method and a quarantine system capable of identifying and deleting various viruses or web pages hidden in an e-mail.
  • a first step of the quarantine server previously receiving the electronic document sent to the receiving terminal
  • Electronic document quarantine method comprising a.
  • the present invention can remove the malicious macro in the attachment of the e-mail that could not be quarantined or cured by the general computer antivirus program, thereby minimizing the malfunction of the receiving terminal caused by the attachment and the infection of various viruses. It can be effective.
  • FIG. 1 is a block diagram illustrating a quarantine system according to the present invention
  • FIG. 2 is a block diagram showing the configuration of a quarantine server according to the present invention
  • FIG. 3 is a flowchart sequentially illustrating a quarantine method according to the present invention.
  • FIG. 4 is a flowchart specifically illustrating an attachment file quarantine step in the quarantine method according to the present invention
  • FIG. 5 is a block diagram showing another embodiment of the quarantine system according to the present invention.
  • FIG. 1 is a block diagram showing a quarantine system according to the present invention
  • Figure 2 is a block diagram showing the configuration of a quarantine server according to the present invention.
  • the quarantine system includes a first mail server 30 and a second mail server 40 so that the transmitting terminal 10 and the receiving terminal 20 can send and receive electronic mail by connecting to a communication network such as the Internet. do.
  • the transmission terminal 10 connects to the first mail server 30 through the communication network, composes and transmits an e-mail
  • the second mail server 40 uses the first mail server 30.
  • the first mail server 30 is an outgoing dedicated server
  • the second mail server 40 is a reception only server
  • the first and second mail servers 30 and 40 may be a receiving and receiving server of the same mail system. It can also be a receiving server on different mail systems.
  • the quarantine system further includes a quarantine server 50 for filtering and checking an e-mail transmitted from the first mail server 30 to the second mail server 40 to check and delete an attachment including a malicious macro. do.
  • a quarantine server 50 for filtering and checking an e-mail transmitted from the first mail server 30 to the second mail server 40 to check and delete an attachment including a malicious macro. do.
  • the malicious macro is prevented from being inputted into the receiving terminal 20, and the receiving terminal 20 can execute an attachment of an e-mail in a stable security environment.
  • the quarantine server 50 for this purpose, the macro module 51 to check and delete malicious macros contained in the attachment of the e-mail, and the script or ActiveX disablement of the e-mail body, compressed file processing And a processing module 52 for performing computer virus inspection, post-quarantine authentication, and the like, and a communication module 53 for processing the electronic mail to be transmitted to the designated second mail server 40 after the quarantine.
  • the macro module 51 checks and deletes a macro formed in a document file which is an attachment of an e-mail.
  • 'Macro' is a group of frequently used commands that are configured to be composed of a single key input operation.
  • the function can be representatively illustrated in 'Excel' of the 'MS OFFICE' program.
  • the macro can be arbitrarily generated by the user and set in the corresponding document file, and the macro thus set is useful as a shortcut key.
  • the macro module 51 of the quarantine server 50 includes a function of removing a macro set in the corresponding document file which is an attachment file of an e-mail.
  • an electronic document program having a macro function includes a macro generation and deletion function.
  • the macro module 51 configures a macro function of the electronic document program to attach an e-mail. Forcibly delete macros in document files.
  • the macro module 51 may image the electronic document instead of deleting the macro, thereby allowing the execution of the macro to be blocked.
  • PDF image processing may be exemplified.
  • the processing module 52 executes a script or ActiveX disablement of an e-mail body, a compressed file process, a computer virus check, a post-quarantine authentication process, and the like. This will be described in detail with reference to the quarantine method according to the present invention.
  • the communication module 53 transmits the e-mail received to the quarantine server 50 to the second mail server 40 so that the receiving terminal 20 can receive it. That is, the communication module 53 has a function of relaying the existing first and second mail servers 30 and 40 to the quarantine server 50.
  • FIG. 3 is a flowchart sequentially illustrating a quarantine method according to the present invention, which will be described with reference to the flowchart.
  • the sender connects to the first mail server 30 by using the sending terminal 10 and prepares an e-mail body. At this time, the electronic document is attached as an attachment of the electronic mail.
  • the first mail server 30 is a server dedicated to the sending of the mail server.
  • the sender connects to the first mail server 30, inputs the e-mail address of the recipient, and writes the electronic document after the body of the e-mail is written. Attach as an attachment.
  • the transmitting terminal 10 connected to the first mail server 30 uploads an e-mail to which the electronic document is attached, and the first mail server 30 sends the corresponding e-mail.
  • the first mail server 30 first transmits the e-mail to the designated quarantine server 50, and the quarantine server 50 receives the e-mail and proceeds with quarantine according to the procedure. do.
  • the MX record is set as the quarantine server 50 in the DNS (domain name system) of the first mail server 30.
  • the mail can be transmitted to the quarantine server 50 first, and the first mail server 30 and the quarantine server 50 are connected in a bridge mode so that the e-mail inputted to the first mail server 30 is automatically transferred. It can be to be transmitted to the quarantine server 50 first.
  • the quarantine server 50 forcibly deletes the malicious macro or converts the electronic document into an image file so that the malicious macro of the electronic document, which is an attachment of the electronic mail, is not executed.
  • FIG. 4 is a flowchart specifically illustrating an attachment file quarantine step in the quarantine method according to the present invention.
  • the processing module 52 of the quarantine server 50 checks whether the attachment of the e-mail is a compressed file.
  • the extension of the compressed file is variously known as * .zip, * .rar, * .7z, * .tar, etc., and the processing module 52 checks the extension of the attached file to determine whether the file is a compressed file. do.
  • the processing module 52 releases the compressed state of the attached file. Eventually, the compressed attachment is released, which splits it into one or more executable files.
  • the processing module 52 proceeds to the next step without proceeding to decompress the attachment.
  • the macro module 51 forcibly removes malicious macros from the electronic document identified as an attached file.
  • a method of forcibly removing a malicious macro from the electronic document, the first method of deleting all the macros set in the electronic document to remove the malicious macro in a batch, and converting the electronic document into an image file to execute the malicious macro A second method of blocking the source is proposed.
  • the macro module 51 may have a macro execution function of a program for executing the electronic document in order to implement the first method.
  • the macro module 51 may have a function of outputting a corresponding electronic document and converting it into an image file in order to implement the second method.
  • the macro module 51 should have a function of an execution program of an electronic document including the malicious macro in order to protect the receiving terminal 20 from the malicious macro.
  • the processing module 52 restricts execution of a script or ActiveX configured in the body of the e-mail.
  • the body of an email in HyperText Markup Language (HTML) format may contain a hidden script with a link to a specific uniform resource locator (URL), and the email recipient may not be aware of it and click the content of the link in the email to view the malicious site. I can connect it.
  • the processing module 52 disables all scripts linked to the e-mail body and textizes the entire body. As a result, only the text without the link function remains in the body of the e-mail, through which the receiving terminal 20 is prevented from unauthorized access to the malicious site.
  • the processing module 52 deletes the ActiveX set in the body of the e-mail, so that even the ActiveX set in the e-mail as a malicious code can be collectively deleted.
  • the body of the e-mail can be prevented by a malicious ActiveX to operate in an unintended form, or to prevent the receiving terminal 20 receiving the e-mail from unauthorized access to a specific site.
  • the processing module 52 checks the computer virus infection of the e-mail and the attached file, and if the computer virus infection is confirmed, treats it automatically or after a query. Since a computer vaccine program having a computer virus infection check function for an e-mail and an attached file is a publicly known or public technology, a description of its operation and configuration is omitted here.
  • the processing module 52 inserts a quarantine pen certification mark in the icon image of the attached file as shown in FIG. 1.
  • the recipient can feel the trust in the e-mail by confirming the authentication mark on the received icon image of the e-mail, and can also read the e-mail by clicking it.
  • the authentication mark is inserted into the attached file icon image.
  • the name of the attached file may further include "authentication”.
  • the processing module 52 checks whether the attached file is a compression target. That is, it is to check whether the corresponding attachment files are files identified as compressed files in the compressed file checking step (S21).
  • the processing module 52 compresses the corresponding attachment file to be in the form of the first attachment file.
  • the processing module 52 may insert the authentication mark in the icon image of the compressed attachment file, so that the receiver can be extracted with confidence.
  • the communication module 53 secondly transmits the quarantined e-mail to the second mail server 40 by using a simple mail transfer protocol (SMTP).
  • SMTP simple mail transfer protocol
  • the quarantined e-mail is transmitted to the second mail server 40 according to the designated address.
  • the second mail server 40 receives the electronic mail, and the receiving terminal 20 connects to the second mail server 40 to confirm receipt of the electronic mail. Subsequently, the receiving terminal 20 executes the body of the e-mail, and downloads the attached file and executes it through the corresponding program.
  • the body of the e-mail is only output the corresponding text through the disablement of the script and ActiveX, and the attachment can limit the execution of the malicious macro when executed.
  • FIG. 5 is a block diagram showing another embodiment of the quarantine system according to the present invention, will be described with reference to this.
  • the quarantine system can perform a quarantine function for only electronic documents exchanged between public networks such as the Internet and internal networks such as Ethernet. have.
  • the public network and the internal network are connected through a publicly-connected, public network connection server 70 through the communication, and through this, the receiving terminal 20 of the internal network is a variety of electronic documents flowing from the public network Received through the name connection server 70.
  • the quarantine server 50 completes the quarantine through the above-mentioned quarantine procedure before the electronic document is received into the internal network, and when the quarantine is completed, the internal network is received through the normal reception procedure of the network connection server 70. Allow the terminal 20 to receive it.
  • the internal network can minimize the risk of malfunction due to malicious macros or various infections caused by computer viruses, etc. through the quarantine server 50, thereby maintaining a stable communication environment.
  • Second mail server 50 ; Quarantine server 60,60 '; First and second external server

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 전자메일과 첨부파일에 포함된 각종 바이러스 및 악성 코드를 검역하는 전자문서 검역방법 및 검역시스템에 관한 것으로, 검역서버가 수신단말기로 발신된 전자문서를 사전 수신하는 제1단계; 상기 검역서버가 상기 전자문서 내 설정 매크로를 제거하는 제2단계; 및 설정 매크로가 제거된 상기 전자문서를 상기 검역서버가 발신하는 제3단계;를 포함하는 것이다.

Description

전자문서 검역방법 및 검역시스템
본 발명은 전자메일과 첨부파일에 포함된 각종 바이러스 및 악성 코드를 검역하는 전자문서 검역방법 및 검역시스템에 관한 것이다.
최근 인터넷과 같은 통신망이 발달하면서, 통신망을 이용한 상업적, 비상업적 서비스가 기하 급수로 증가하고 있다. 이와 같은 통신망 서비스 중의 하나가 전자메일이다. 전자메일은 송신자가 지정하는 수신자의 전자메일주소로 메시지를 전달할 수 있는 서비스이다. 상대방 전자메일의 주소는 통상적으로 사용자의 컴퓨터에 저장되므로, 메시지를 쉽게 송신할 수 있다.
한편, 컴퓨터 바이러스는 1980년대 중반 이후 개인용 컴퓨터를 바탕으로 본격적으로 발생하여 확산되었으며, 오늘날에는 개인용 컴퓨터뿐만 아니라 네트워크 컴퓨터와 통신망 등에서도 많은 피해를 발생시키고 있다. 즉, 바이러스에 미감염된 컴퓨터에 감염된 프로그램이 들어오면, 컴퓨터 시스템은 사용자가 의도하지 않은 동작들을 수행하는 경우가 발생하는 것이다. 예를 들면, 바이러스에 감염된 컴퓨터는 사용자의 의사와는 무관하게, 자신의 컴퓨터에 저장되어 있는 모든 전자메일의 주소로 바이러스를 포함하고 있는 메시지를 전송한다. 이와 같은 경우에, 바이러스를 포함하고 있는 메시지를 전송받은 또 다른 사용자의 컴퓨터도 감염되게 된다. 이와 같은 전자메일을 통한 바이러스의 확산은 엄청난 피해를 발생하게 되는데, 1999년에는 MELISSA 바이러스의 출현으로 미국에서는 약 3억 8천 오백만 달러의 피해를 보았다. 그리고, 2000년에 출현한 러브레터 바이러스는 약 150억 달러 정도의 피해를 발생시켰다. 따라서, 컴퓨터 바이러스에 감염된 컴퓨터로부터 사용자가 의도하지 않는 전자메일의 발송을 효과적으로 차단하는 것이 요구된다.
그런데 전자메일은 온라인 통신환경에서 널리 활용되는 통신매체로서, 컴퓨터 바이러스 또는 악성코드 등을 이유로 그 사용을 제한하는 것은 사실상 불가능하다. 따라서, 종래에는 전자메일의 바이러스 감염 여부 등을 확인해서, 전자메일을 통한 바이러스의 확산은 방지하고 전자메일의 이용은 활성화할 수 있는 다양한 방안이 제안되었다(선행기술문헌 참조).
하지만, 전자메일에 포함되는 바이러스의 감염형식은 너무나 다양하고 새로우므로, 전자메일의 감염 여부를 확인하기 위한 백신은 최신 바이러스의 감염형식을 뒤따르는 형태를 취할 수밖에 없었다. 특히 데이터의 내용 중에서 사용자가 의도하지 않은 매크로(이하 '악성매크로')의 경우에는 백신이 바이러스로 인식하지 못하고 검역하지도 못하므로, 사용자는 최신 바이러스를 자신의 컴퓨터에 그대로 감염시키거나 악성매크로를 실행시켜서 데이터 처리에 오류를 일으키는 문제가 있었다.
이에 본 발명은 상기와 같은 문제를 해소하기 위해 발명된 것으로서, 전자메일의 첨부파일인 문서파일 원문을 보호하면서도, 포함된 악성매크로를 확인해 제거할 수 있는 전자문서 검역방법 및 검역시스템의 제공을 해결하고자 하는 과제로 한다.
또한, 전자메일에 은닉된 각종 바이러스 또는 웹페이지 등을 확인 및 삭제할 수 있는 전자문서 검역방법 및 검역시스템의 제공을 해결하고자 하는 또 다른 과제로 한다.
상기의 기술적 과제를 달성하기 위하여 본 발명은,
검역서버가 수신단말기로 발신된 전자문서를 사전 수신하는 제1단계;
상기 검역서버가 상기 전자문서 내 설정 매크로를 제거하는 제2단계; 및
설정 매크로가 제거된 상기 전자문서를 상기 검역서버가 발신하는 제3단계;
를 포함하는 전자문서 검역방법이다.
상기의 본 발명은, 일반 컴퓨터 백신프로그램에서는 검역하거나 치료할 수 없었던 전자메일의 첨부파일 내 악성매크로를 제거할 수 있으므로, 해당 첨부파일로 인해 발생하는 수신단말기의 오작동과 각종 바이러스 등의 감염을 최소화할 수 있는 효과가 있다.
또한, 첨부파일 내 악성매크로 제거와 더불어 전자메일 본문에 은닉된 스크립트 또는 ActiveX 등의 실행을 원천적으로 차단하므로, 전자메일의 보안도를 높이는 효과가 있다.
도 1은 본 발명에 따른 검역시스템을 도시한 블록도이고,
도 2는 본 발명에 따른 검역서버의 구성을 도시한 블록도이고,
도 3은 본 발명에 따른 검역방법을 순차 도시한 플로차트이고,
도 4는 본 발명에 따른 검역방법에서 첨부파일 검역단계를 구체적으로 도시한 플로차트이고,
도 5는 본 발명에 따른 검역시스템의 다른 실시 모습을 도시한 블록도이다.
상술한 본 발명의 특징 및 효과는 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시 예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 개시형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 출원에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.
이하, 본 발명을 실시하기 위한 구체적인 내용을 첨부된 도면에 의거하여 상세히 설명한다.
도 1은 본 발명에 따른 검역시스템을 도시한 블록도이고, 도 2는 본 발명에 따른 검역서버의 구성을 도시한 블록도이다.
본 발명에 따른 검역시스템은 송신단말기(10)와 수신단말기(20)가 인터넷과 같은 통신망에 접속하여 전자메일을 송수신할 수 있도록 제1메일서버(30)와 제2메일서버(40)를 포함한다. 이를 좀 더 구체적으로 설명하면, 송신단말기(10)는 상기 통신망을 통해 제1메일서버(30)에 접속해서 전자메일을 작성 및 전송하고, 제2메일서버(40)는 제1메일서버(30)가 전송한 상기 전자메일을 수신해서 접속하는 수신단말기(20)가 상기 전자메일을 확인할 수 있도록 한다. 여기서, 제1메일서버(30)는 발신 전용 서버이고, 제2메일서버(40)는 수신 전용 서버로서, 제1,2메일서버(30, 40)는 동일한 메일시스템의 수발신 서버일 수도 있고, 서로 다른 메일시스템의 수발신 서버일 수도 있다.
본 발명에 따른 검역시스템은 제1메일서버(30)에서 제2메일서버(40)로 전송되는 전자메일을 필터링해서 악성매크로를 포함하는 첨부파일을 확인 및 삭제하는 검역서버(50)를 더 포함한다. 이를 통해 악성매크로는 수신단말기(20)에 무단 입력됨이 방지되고, 수신단말기(20)는 안정된 보안환경에서 전자메일의 첨부파일을 실행할 수 있다.
이를 위한 검역서버(50)를 좀 더 구체적으로 설명하면, 전자메일의 첨부파일에 포함된 악성매크로를 확인해서 이를 삭제하는 매크로모듈(51)과, 전자메일 본문의 스크립트 또는 ActiveX 무력화, 압축파일 처리, 컴퓨터바이러스 검사, 검역 후 인증처리 등을 실행하는 처리모듈(52)과, 검역 후 상기 전자메일이 지정된 제2메일서버(40)로 전송되도록 처리하는 통신모듈(53)을 포함한다.
매크로모듈(51)은 전자메일의 첨부파일인 문서파일에 형성된 매크로(Macro)를 확인하고 이를 삭제한다. '매크로'는 자주 사용하는 여러 개의 명령어를 묶어서 하나의 키 입력 동작으로 이루어지도록 설정하는 것으로서, 'MS OFFICE' 프로그램 중 'Excel'에서 그 기능이 대표적으로 예시될 수 있다. 상기 매크로는 사용자가 임의로 생성해서 해당 문서파일에 설정할 수 있고, 이렇게 설정된 매크로는 단축키로서 유용하게 활용된다.
그런데, 정작 사용자가 설정하지 않은 매크로(악성매크로)의 경우에는 사용자가 생각하지 못한 단축키 조작으로 인해서 원치 않는 컴퓨터 실행이 이루어질 수 있다. 따라서, 본 발명에 따른 검역서버(50)의 매크로모듈(51)은 전자메일의 첨부파일인 해당 문서파일에 설정된 매크로를 제거하는 기능을 포함한다.
'Excel'의 메뉴에서 확인할 수 있는 바와 같이, 매크로 기능을 갖는 전자문서 프로그램은 매크로 생성 및 삭제 기능을 포함하는데, 매크로모듈(51)은 해당 전자문서 프로그램의 매크로 기능을 구성시켜서, 전자메일의 첨부파일인 문서파일 내 매크로를 강제로 삭제할 수 있도록 한다.
이외에도 매크로모듈(51)은 매크로 삭제를 대신해서 전자문서를 이미지화할 수 있고, 이를 통해 매크로의 실행이 원천적으로 차단되도록 할 수 있다. 참고로, 전자문서의 이미지화는 PDF이미지 처리가 예시될 수 있다.
처리모듈(52)은 전자메일 본문의 스크립트 또는 ActiveX 무력화, 압축파일 처리, 컴퓨터바이러스 검사, 검역 후 인증처리 등을 실행한다. 이에 대해서는 본 발명에 따른 검역방법을 설명하면서 상세히 한다.
통신모듈(53)은 검역서버(50)에 수신한 전자메일을 제2메일서버(40)로 전송해서 수신단말기(20)가 수신할 수 있도록 한다. 즉, 통신모듈(53)은 기존 제1,2메일서버(30, 40)를 검역서버(50)가 중계하는 기능을 갖도록 하는 것이다.
도 3은 본 발명에 따른 검역방법을 순차 도시한 플로차트인 바, 이를 참조해 설명한다.
S10; 전자메일 송부단계
송신자는 송신단말기(10)를 활용해서 제1메일서버(30)에 접속한 후, 전자메일 본문을 작성한다. 이때, 상기 전자메일의 첨부파일로 전자문서를 첨부한다.
제1메일서버(30)는 전술한 바와 같이 메일서버의 발신 전용 서버로서, 송신자는 제1메일서버(30)에 접속해서 수신자의 이메일주소를 입력하고, 상기 전자메일의 본문 작성 후 전자문서를 첨부파일로 첨부한다.
전자메일의 메일 발신 기술은 공지,공용의 기술이므로, 여기서는 그 설명을 생략한다.
제1메일서버(30)에 접속한 송신단말기(10)는 전자문서가 첨부된 전자메일을 업로드하고, 제1메일서버(30)는 해당 전자메일을 발신한다.
S20; 첨부파일 검역단계
본 발명에 따른 검역시스템에서 제1메일서버(30)는 상기 전자메일을 지정된 검역서버(50)로 1차 전송하고, 검역서버(50)는 상기 전자메일을 수신한 후 절차에 따라 검역을 진행한다.
제1메일서버(30)에 위치한 전자메일을 검역서버(50)로 전송하기 위해서, 제1메일서버(30)의 DNS(domain name system)에 MX 레코드를 검역서버(50)로 설정함으로써 상기 전자메일이 검역서버(50)로 1차 전송되도록 할 수 있고, 제1메일서버(30)와 검역서버(50)를 브릿지모드로 연결해서 제1메일서버(30)에 입력된 상기 전자메일이 자동으로 검역서버(50)에 1차 전송되도록 할 수 있다.
전술한 바와 같이, 검역서버(50)는 전자메일의 첨부파일인 전자문서의 악성매크로가 실행되지 않도록, 상기 악성매크로를 강제로 삭제하거나, 상기 전자문서를 이미지파일로 변환한다.
검역서버(50)에서 이루어지는 검역기능에 대해 도면을 참조해 좀 더 구체적으로 설명한다.
도 4는 본 발명에 따른 검역방법에서 첨부파일 검역단계를 구체적으로 도시한 플로차트이다.
S21; 압축파일 확인단계
검역서버(50)의 처리모듈(52)은 전자메일의 첨부파일이 압축파일 여부를 확인한다. 압축파일의 확장자는 공지된 바와 같이 *.zip, *.rar, *.7z, *.tar 등 다양하며, 처리모듈(52)은 첨부파일의 확장자를 확인해서 해당 파일이 압축파일인지 여부를 확인한다.
S22; 압축해제 단계
압축파일 확인단계(S21)에서 첨부파일이 압축파일로 확인되면, 처리모듈(52)은 상기 첨부파일의 압축상태를 해제한다. 결국, 압축상태의 첨부파일은 해제되고, 이를 통해 실행가능한 하나 이상의 파일로 분리된다.
물론, 압축파일 확인단계(S21)에서 첨부파일이 압축파일이 아닌 것으로 확인되면, 처리모듈(52)은 상기 첨부파일의 압축 해제 과정을 진행하지 않고 다음 단계를 진행한다.
S23; 매크로 제거단계
매크로모듈(51)은 첨부파일로 확인된 전자문서에서 악성매크로를 강제로 제거한다. 상기 전자문서에서 악성매크로를 강제로 제거하는 방법으로, 해당 전자문서에 설정된 모든 매크로를 삭제해서 악성매크로까지 일괄적으로 제거하는 제1방법과, 해당 전자문서를 이미지파일로 변환해서 악성매크로의 실행을 원천적으로 차단하는 제2방법이 제안된다. 따라서, 매크로모듈(51)은 상기 제1방법을 실시하기 위해서 해당 전자문서를 실행하기 위한 프로그램의 매크로 실행 기능을 갖출 수 있다. 또한, 매크로모듈(51)은 상기 제2방법을 실시하기 위해서 해당 전자문서를 출력한 후 이미지파일로 변환하는 기능을 갖출 수 있다. 결국, 매크로모듈(51)은 악성매크로로부터 수신단말기(20)를 보호하기 위해서, 상기 악성매크로를 포함하는 전자문서의 실행 프로그램의 기능을 갖추어야 한다.
S24; 전자메일 본문 무력화단계
처리모듈(52)은 전자메일의 본문에 구성된 스크립트(script) 또는 ActiveX의 실행이 이루어지지 않도록 제한한다.
HTML(HyperText Markup Language) 형식의 전자메일 본문에는 특정 URL(uniform resource locator)이 링크된 은닉된 스크립트가 포함될 수 있고, 전자메일 수신자는 이를 인지하지 못하고 전자메일 내 해당 링크 내용을 클릭해서 악성 사이트에 접속할 수 있다. 따라서 처리모듈(52)은 전자메일 본문에 링크된 모든 스크립트를 무력화하고, 상기 본문 전체를 텍스트화한다. 결국, 전자메일의 본문은 어디에도 링크기능이 없는 텍스트만 남고, 이를 통해 수신단말기(20)는 악성 사이트로의 무단 접속이 방지된다.
한편, 처리모듈(52)은 전자메일의 본문에 설정된 ActiveX를 삭제해서 악성코드로서 전자메일에 설정된 ActiveX까지 일괄적으로 삭제될 수 있도록 한다. 결국, 전자메일의 본문은 악성 ActiveX에 의해서 수신자가 의도하지 않는 형태로 동작하거나, 상기 전자메일을 수신한 수신단말기(20)가 특정 사이트 등에 무단 접속하는 것을 방지할 수 있다.
S25; 컴퓨터바이러스 검사단계
처리모듈(52)은 전자메일 및 첨부파일의 컴퓨터바이러스 감염 여부를 검사하고, 컴퓨터바이러스 감염이 확인되면 이를 자동 또는 질의 후 치료한다. 전자메일 및 첨부파일에 대한 컴퓨터바이러스 감염 여부 검사 기능을 갖는 일명 컴퓨터백신프로그램은 공지,공용의 기술이므로, 여기서는 그 동작과 구성에 대한 설명은 생략한다.
S26; 검역필 인증단계
악성매크로 제거 또는 컴퓨터바이러스 검사 중 선택된 하나 이상의 검역과정이 완료되면, 처리모듈(52)은 도 1에서 보인 바와 같이 첨부파일의 아이콘이미지에 검역필 인증마크를 삽입한다. 결국, 수신자는 수신한 전자메일의 첨부파일 아이콘이미지에서 인증마크를 확인함으로써 상기 전자메일에 대한 신뢰감을 느낄 수 있고, 더불어서 상기 전자메일을 클릭해 열람할 수 있게 된다.
본 발명에 따른 실시 예에서는 첨부파일 아이콘이미지에 인증마크가 삽입되도록 하였으나, 이외에도 첨부파일 명을 "인증"을 추가 기재할 수도 있다.
S27; 압축대상 확인단계
처리모듈(52)은 첨부파일이 압축대상인지를 확인한다. 즉, 해당 첨부파일들이 압축파일 확인단계(S21)에서 압축파일로 확인된 파일이었는지를 확인하는 것이다.
S28; 압축단계
압축대상 확인단계(S27)에서 압축대상으로 확인되면, 처리모듈(52)은 해당 첨부파일을 압축해서 최초 첨부파일 형태가 되도록 한다. 한편, 처리모듈(52)은 압축된 첨부파일의 아이콘이미지에도 인증마크를 삽입해서, 수신자가 신뢰를 갖고 압축을 해제하도록 할 수 있다.
S30; 전자메일 복원단계
통신모듈(53)은 검역이 완료된 전자메일을 SMTP(simple mail transfer protocol)를 이용해서 제2메일서버(40)로 2차 전송한다.
상기 전자메일의 최종 수신지는 제2메일서버(40)의 지정 어드레스로 이미 입력되어 있으므로, 검역이 완료된 해당 전자메일은 지정 어드레스에 따라 제2메일서버(40)로 전송한다.
S40; 전자메일 수신단계
제2메일서버(40)는 상기 전자메일을 수신하고, 수신단말기(20)는 제2메일서버(40)에 접속해서 상기 전자메일의 수신을 확인한다. 계속해서, 수신단말기(20)는 상기 전자메일의 본문을 실행하고, 아울러 첨부파일을 다운로드해서 해당 프로그램을 통해 실행한다.
참고로, 상기 전자메일의 본문은 스크립트 및 ActiveX의 무력화를 통해 해당 텍스트만이 출력되고, 첨부파일은 그 실행시 악성매크로의 실행을 제한할 수 있다.
도 5는 본 발명에 따른 검역시스템의 다른 실시 모습을 도시한 블록도인 바, 이를 참조해 설명한다.
앞서 설명한 검역시스템은 전자메일에 적용된 경우를 예시하였으나, 본 발명에 따른 실시 예에서의 검역시스템은 인터넷 등의 공중망과, 이더넷 등의 내부망 간에 교환되는 전자문서 만에 대한 검역 기능을 수행할 수 있다.
이를 좀 더 구체적으로 설명하면, 공중망과 내부망은 공지,공용의 망연계서버(70)를 매개로 연결돼 통신하고, 이를 통해 내부망의 수신단말기(20)는 공중망으로부터 유입되는 각종 전자문서를 명연계서버(70)를 통하여 수신한다. 여기서, 검역서버(50)는 전자문서가 내부망으로 수신되기 전 전술한 검역 절차를 통해 검역을 완료하고, 해당 검역이 완료되면 망연계서버(70)의 통상적인 수신절차를 통해 내부망의 수신단말기(20)가 이를 수신할 수 있도록 한다.
결국, 내부망은 검역서버(50)를 통해 악성매크로에 의한 오작동 또는 컴퓨터바이러스 등에 의한 각종 감염 등의 위험을 최소화하고, 이를 통해 해당 통신환경을 안정적으로 유지할 수 있다.
앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예들을 참조해 설명했지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
10; 발신단말기 20; 수신단말기 30; 제1메일서버
40; 제2메일서버 50; 검역서버 60,60'; 제1,2외부서버
70; 망연계서버

Claims (5)

  1. 검역서버가 수신단말기로 발신된 전자문서를 사전 수신하는 제1단계;
    상기 검역서버가 상기 전자문서 내 설정 매크로를 제거하는 제2단계; 및
    설정 매크로가 제거된 상기 전자문서를 상기 검역서버가 발신하는 제3단계;
    를 포함하는 것을 특징으로 하는 전자문서 검역방법.
  2. 제 1 항에 있어서,
    상기 전자문서는 전자메일의 첨부파일인 것을 특징으로 하는 전자문서 검역방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 제2단계는
    상기 전자문서의 설정 매크로가 제거되도록 상기 전자문서를 이미지화해서 이미지파일로 변환하는 단계를 더 포함하는 것을 특징으로 하는 전자문서 검역방법.
  4. 제 2 항에 있어서,
    상기 제3단계 이전에, 상기 검역서버는 상기 전자메일 본문의 스크립트 동작이 정지되도록, 상기 본문을 텍스트화하는 것을 특징으로 하는 전자문서 검역방법.
  5. 제 1 항 또는 제 2 항에 있어서,
    상기 제2단계와 제3단계 사이에서, 상기 전자문서의 아이콘이미지에 인증마크를 삽입하는 단계를 더 포함하는 것을 특징으로 하는 전자문서 검역방법.
PCT/KR2014/002741 2013-04-05 2014-03-31 전자문서 검역방법 및 검역시스템 WO2014163355A1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20130037465A KR20140121142A (ko) 2013-04-05 2013-04-05 전자문서 검역방법 및 검역시스템
KR10-2013-0037465 2013-04-05

Publications (1)

Publication Number Publication Date
WO2014163355A1 true WO2014163355A1 (ko) 2014-10-09

Family

ID=51658592

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2014/002741 WO2014163355A1 (ko) 2013-04-05 2014-03-31 전자문서 검역방법 및 검역시스템

Country Status (2)

Country Link
KR (1) KR20140121142A (ko)
WO (1) WO2014163355A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101595379B1 (ko) * 2015-02-04 2016-02-18 (주)이월리서치 악성코드가 첨부된 전자메일의 통제 및 차단 시스템

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1237065A2 (en) * 1996-09-05 2002-09-04 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US6697950B1 (en) * 1999-12-22 2004-02-24 Networks Associates Technology, Inc. Method and apparatus for detecting a macro computer virus using static analysis
US7409425B2 (en) * 2003-11-13 2008-08-05 International Business Machines Corporation Selective transmission of an email attachment
US7506155B1 (en) * 2000-06-22 2009-03-17 Gatekeeper Llc E-mail virus protection system and method
WO2010090435A2 (ko) * 2009-02-05 2010-08-12 주식회사 안철수연구소 선별적 가상화를 이용한 악성 코드 사전 차단 장치 및 그 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1237065A2 (en) * 1996-09-05 2002-09-04 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US6697950B1 (en) * 1999-12-22 2004-02-24 Networks Associates Technology, Inc. Method and apparatus for detecting a macro computer virus using static analysis
US7506155B1 (en) * 2000-06-22 2009-03-17 Gatekeeper Llc E-mail virus protection system and method
US7409425B2 (en) * 2003-11-13 2008-08-05 International Business Machines Corporation Selective transmission of an email attachment
WO2010090435A2 (ko) * 2009-02-05 2010-08-12 주식회사 안철수연구소 선별적 가상화를 이용한 악성 코드 사전 차단 장치 및 그 방법

Also Published As

Publication number Publication date
KR20140121142A (ko) 2014-10-15

Similar Documents

Publication Publication Date Title
WO2018212455A1 (ko) 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템
CN106797375B (zh) 恶意软件代理的行为检测
US20010039624A1 (en) Processes systems and networks for secured information exchange using computer hardware
CN102546576A (zh) 一种网页挂马检测和防护方法、系统及相应代码提取方法
WO2018182126A1 (ko) 안전 소프트웨어 인증 시스템 및 방법
EP0959586A2 (en) System and method for securing a computer communication network
WO2012169862A2 (ko) 컨텐츠 이름 기반의 네트워크 장치 및 컨텐츠 보호 방법
WO2022139078A1 (ko) 보안 레벨 기반의 계층적 아키텍처를 이용한 이메일 보안 서비스 제공 장치 및 그 동작 방법
WO2018143605A1 (ko) 전자메일 제공 시스템 및 그 방법
JP2005128792A (ja) 通信装置、プログラムおよび記憶媒体
WO2015194829A2 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 추가 비지정 도메인 네임을 구비한 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
WO2023153730A1 (ko) 유출 정보 보호 시스템 및 방법
WO2022145501A1 (ko) 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법
WO2014185627A1 (ko) 데이터 프로세싱 시스템 보안 장치와 보안방법
JP2013246474A (ja) 中継サーバおよび代理アクセス方法
WO2024122924A1 (ko) 피싱 피해 모니터링 시스템 및 그 방법
JP2006094258A (ja) 端末装置、そのポリシー強制方法およびそのプログラム
JP5322288B2 (ja) 通信処理装置、通信処理方法、及びプログラム
WO2014163355A1 (ko) 전자문서 검역방법 및 검역시스템
WO2010090357A1 (ko) 웹사이트 주소 검증 시스템 및 주소 검증 방법
WO2018088680A1 (ko) 차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법
WO2015088195A1 (ko) 링크정보의 악성코드에 대응한 단말기의 로컬환경 보호방법과 보호시스템
WO2011126254A2 (ko) 단말 장치 및 상기 단말 장치의 파일 배포처 확인 방법
US10250625B2 (en) Information processing device, communication history analysis method, and medium
WO2015023088A1 (ko) 이메일의 첨부파일 처리시스템과 처리방법

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14779424

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14779424

Country of ref document: EP

Kind code of ref document: A1