WO2014163355A1

WO2014163355A1 - 전자문서 검역방법 및 검역시스템

Info

Publication number: WO2014163355A1
Application number: PCT/KR2014/002741
Authority: WO
Inventors: 배환국; 박경옥
Original assignee: 소프트캠프(주)
Priority date: 2013-04-05
Filing date: 2014-03-31
Publication date: 2014-10-09
Also published as: KR20140121142A

Abstract

본 발명은 전자메일과 첨부파일에 포함된 각종 바이러스 및 악성 코드를 검역하는 전자문서 검역방법 및 검역시스템에 관한 것으로, 검역서버가 수신단말기로 발신된 전자문서를 사전 수신하는 제1단계; 상기 검역서버가 상기 전자문서 내 설정 매크로를 제거하는 제2단계; 및 설정 매크로가 제거된 상기 전자문서를 상기 검역서버가 발신하는 제3단계;를 포함하는 것이다.

Description

전자문서 검역방법 및 검역시스템

본 발명은 전자메일과 첨부파일에 포함된 각종 바이러스 및 악성 코드를 검역하는 전자문서 검역방법 및 검역시스템에 관한 것이다.

최근 인터넷과 같은 통신망이 발달하면서, 통신망을 이용한 상업적, 비상업적 서비스가 기하 급수로 증가하고 있다. 이와 같은 통신망 서비스 중의 하나가 전자메일이다. 전자메일은 송신자가 지정하는 수신자의 전자메일주소로 메시지를 전달할 수 있는 서비스이다. 상대방 전자메일의 주소는 통상적으로 사용자의 컴퓨터에 저장되므로, 메시지를 쉽게 송신할 수 있다.

한편, 컴퓨터 바이러스는 1980년대 중반 이후 개인용 컴퓨터를 바탕으로 본격적으로 발생하여 확산되었으며, 오늘날에는 개인용 컴퓨터뿐만 아니라 네트워크 컴퓨터와 통신망 등에서도 많은 피해를 발생시키고 있다. 즉, 바이러스에 미감염된 컴퓨터에 감염된 프로그램이 들어오면, 컴퓨터 시스템은 사용자가 의도하지 않은 동작들을 수행하는 경우가 발생하는 것이다. 예를 들면, 바이러스에 감염된 컴퓨터는 사용자의 의사와는 무관하게, 자신의 컴퓨터에 저장되어 있는 모든 전자메일의 주소로 바이러스를 포함하고 있는 메시지를 전송한다. 이와 같은 경우에, 바이러스를 포함하고 있는 메시지를 전송받은 또 다른 사용자의 컴퓨터도 감염되게 된다. 이와 같은 전자메일을 통한 바이러스의 확산은 엄청난 피해를 발생하게 되는데, 1999년에는 MELISSA 바이러스의 출현으로 미국에서는 약 3억 8천 오백만 달러의 피해를 보았다. 그리고, 2000년에 출현한 러브레터 바이러스는 약 150억 달러 정도의 피해를 발생시켰다. 따라서, 컴퓨터 바이러스에 감염된 컴퓨터로부터 사용자가 의도하지 않는 전자메일의 발송을 효과적으로 차단하는 것이 요구된다.

그런데 전자메일은 온라인 통신환경에서 널리 활용되는 통신매체로서, 컴퓨터 바이러스 또는 악성코드 등을 이유로 그 사용을 제한하는 것은 사실상 불가능하다. 따라서, 종래에는 전자메일의 바이러스 감염 여부 등을 확인해서, 전자메일을 통한 바이러스의 확산은 방지하고 전자메일의 이용은 활성화할 수 있는 다양한 방안이 제안되었다(선행기술문헌 참조).

하지만, 전자메일에 포함되는 바이러스의 감염형식은 너무나 다양하고 새로우므로, 전자메일의 감염 여부를 확인하기 위한 백신은 최신 바이러스의 감염형식을 뒤따르는 형태를 취할 수밖에 없었다. 특히 데이터의 내용 중에서 사용자가 의도하지 않은 매크로(이하 '악성매크로')의 경우에는 백신이 바이러스로 인식하지 못하고 검역하지도 못하므로, 사용자는 최신 바이러스를 자신의 컴퓨터에 그대로 감염시키거나 악성매크로를 실행시켜서 데이터 처리에 오류를 일으키는 문제가 있었다.

이에 본 발명은 상기와 같은 문제를 해소하기 위해 발명된 것으로서, 전자메일의 첨부파일인 문서파일 원문을 보호하면서도, 포함된 악성매크로를 확인해 제거할 수 있는 전자문서 검역방법 및 검역시스템의 제공을 해결하고자 하는 과제로 한다.

또한, 전자메일에 은닉된 각종 바이러스 또는 웹페이지 등을 확인 및 삭제할 수 있는 전자문서 검역방법 및 검역시스템의 제공을 해결하고자 하는 또 다른 과제로 한다.

상기의 기술적 과제를 달성하기 위하여 본 발명은,

검역서버가 수신단말기로 발신된 전자문서를 사전 수신하는 제1단계;

상기 검역서버가 상기 전자문서 내 설정 매크로를 제거하는 제2단계; 및

설정 매크로가 제거된 상기 전자문서를 상기 검역서버가 발신하는 제3단계;

를 포함하는 전자문서 검역방법이다.

상기의 본 발명은, 일반 컴퓨터 백신프로그램에서는 검역하거나 치료할 수 없었던 전자메일의 첨부파일 내 악성매크로를 제거할 수 있으므로, 해당 첨부파일로 인해 발생하는 수신단말기의 오작동과 각종 바이러스 등의 감염을 최소화할 수 있는 효과가 있다.

또한, 첨부파일 내 악성매크로 제거와 더불어 전자메일 본문에 은닉된 스크립트 또는 ActiveX 등의 실행을 원천적으로 차단하므로, 전자메일의 보안도를 높이는 효과가 있다.

도 1은 본 발명에 따른 검역시스템을 도시한 블록도이고,

도 2는 본 발명에 따른 검역서버의 구성을 도시한 블록도이고,

도 3은 본 발명에 따른 검역방법을 순차 도시한 플로차트이고,

도 4는 본 발명에 따른 검역방법에서 첨부파일 검역단계를 구체적으로 도시한 플로차트이고,

도 5는 본 발명에 따른 검역시스템의 다른 실시 모습을 도시한 블록도이다.

상술한 본 발명의 특징 및 효과는 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시 예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 개시형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 출원에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.

이하, 본 발명을 실시하기 위한 구체적인 내용을 첨부된 도면에 의거하여 상세히 설명한다.

도 1은 본 발명에 따른 검역시스템을 도시한 블록도이고, 도 2는 본 발명에 따른 검역서버의 구성을 도시한 블록도이다.

본 발명에 따른 검역시스템은 송신단말기(10)와 수신단말기(20)가 인터넷과 같은 통신망에 접속하여 전자메일을 송수신할 수 있도록 제1메일서버(30)와 제2메일서버(40)를 포함한다. 이를 좀 더 구체적으로 설명하면, 송신단말기(10)는 상기 통신망을 통해 제1메일서버(30)에 접속해서 전자메일을 작성 및 전송하고, 제2메일서버(40)는 제1메일서버(30)가 전송한 상기 전자메일을 수신해서 접속하는 수신단말기(20)가 상기 전자메일을 확인할 수 있도록 한다. 여기서, 제1메일서버(30)는 발신 전용 서버이고, 제2메일서버(40)는 수신 전용 서버로서, 제1,2메일서버(30, 40)는 동일한 메일시스템의 수발신 서버일 수도 있고, 서로 다른 메일시스템의 수발신 서버일 수도 있다.

본 발명에 따른 검역시스템은 제1메일서버(30)에서 제2메일서버(40)로 전송되는 전자메일을 필터링해서 악성매크로를 포함하는 첨부파일을 확인 및 삭제하는 검역서버(50)를 더 포함한다. 이를 통해 악성매크로는 수신단말기(20)에 무단 입력됨이 방지되고, 수신단말기(20)는 안정된 보안환경에서 전자메일의 첨부파일을 실행할 수 있다.

이를 위한 검역서버(50)를 좀 더 구체적으로 설명하면, 전자메일의 첨부파일에 포함된 악성매크로를 확인해서 이를 삭제하는 매크로모듈(51)과, 전자메일 본문의 스크립트 또는 ActiveX 무력화, 압축파일 처리, 컴퓨터바이러스 검사, 검역 후 인증처리 등을 실행하는 처리모듈(52)과, 검역 후 상기 전자메일이 지정된 제2메일서버(40)로 전송되도록 처리하는 통신모듈(53)을 포함한다.

매크로모듈(51)은 전자메일의 첨부파일인 문서파일에 형성된 매크로(Macro)를 확인하고 이를 삭제한다. '매크로'는 자주 사용하는 여러 개의 명령어를 묶어서 하나의 키 입력 동작으로 이루어지도록 설정하는 것으로서, 'MS OFFICE' 프로그램 중 'Excel'에서 그 기능이 대표적으로 예시될 수 있다. 상기 매크로는 사용자가 임의로 생성해서 해당 문서파일에 설정할 수 있고, 이렇게 설정된 매크로는 단축키로서 유용하게 활용된다.

그런데, 정작 사용자가 설정하지 않은 매크로(악성매크로)의 경우에는 사용자가 생각하지 못한 단축키 조작으로 인해서 원치 않는 컴퓨터 실행이 이루어질 수 있다. 따라서, 본 발명에 따른 검역서버(50)의 매크로모듈(51)은 전자메일의 첨부파일인 해당 문서파일에 설정된 매크로를 제거하는 기능을 포함한다.

'Excel'의 메뉴에서 확인할 수 있는 바와 같이, 매크로 기능을 갖는 전자문서 프로그램은 매크로 생성 및 삭제 기능을 포함하는데, 매크로모듈(51)은 해당 전자문서 프로그램의 매크로 기능을 구성시켜서, 전자메일의 첨부파일인 문서파일 내 매크로를 강제로 삭제할 수 있도록 한다.

이외에도 매크로모듈(51)은 매크로 삭제를 대신해서 전자문서를 이미지화할 수 있고, 이를 통해 매크로의 실행이 원천적으로 차단되도록 할 수 있다. 참고로, 전자문서의 이미지화는 PDF이미지 처리가 예시될 수 있다.

처리모듈(52)은 전자메일 본문의 스크립트 또는 ActiveX 무력화, 압축파일 처리, 컴퓨터바이러스 검사, 검역 후 인증처리 등을 실행한다. 이에 대해서는 본 발명에 따른 검역방법을 설명하면서 상세히 한다.

통신모듈(53)은 검역서버(50)에 수신한 전자메일을 제2메일서버(40)로 전송해서 수신단말기(20)가 수신할 수 있도록 한다. 즉, 통신모듈(53)은 기존 제1,2메일서버(30, 40)를 검역서버(50)가 중계하는 기능을 갖도록 하는 것이다.

도 3은 본 발명에 따른 검역방법을 순차 도시한 플로차트인 바, 이를 참조해 설명한다.

S10; 전자메일 송부단계

송신자는 송신단말기(10)를 활용해서 제1메일서버(30)에 접속한 후, 전자메일 본문을 작성한다. 이때, 상기 전자메일의 첨부파일로 전자문서를 첨부한다.

제1메일서버(30)는 전술한 바와 같이 메일서버의 발신 전용 서버로서, 송신자는 제1메일서버(30)에 접속해서 수신자의 이메일주소를 입력하고, 상기 전자메일의 본문 작성 후 전자문서를 첨부파일로 첨부한다.

전자메일의 메일 발신 기술은 공지,공용의 기술이므로, 여기서는 그 설명을 생략한다.

제1메일서버(30)에 접속한 송신단말기(10)는 전자문서가 첨부된 전자메일을 업로드하고, 제1메일서버(30)는 해당 전자메일을 발신한다.

S20; 첨부파일 검역단계

본 발명에 따른 검역시스템에서 제1메일서버(30)는 상기 전자메일을 지정된 검역서버(50)로 1차 전송하고, 검역서버(50)는 상기 전자메일을 수신한 후 절차에 따라 검역을 진행한다.

제1메일서버(30)에 위치한 전자메일을 검역서버(50)로 전송하기 위해서, 제1메일서버(30)의 DNS(domain name system)에 MX 레코드를 검역서버(50)로 설정함으로써 상기 전자메일이 검역서버(50)로 1차 전송되도록 할 수 있고, 제1메일서버(30)와 검역서버(50)를 브릿지모드로 연결해서 제1메일서버(30)에 입력된 상기 전자메일이 자동으로 검역서버(50)에 1차 전송되도록 할 수 있다.

전술한 바와 같이, 검역서버(50)는 전자메일의 첨부파일인 전자문서의 악성매크로가 실행되지 않도록, 상기 악성매크로를 강제로 삭제하거나, 상기 전자문서를 이미지파일로 변환한다.

검역서버(50)에서 이루어지는 검역기능에 대해 도면을 참조해 좀 더 구체적으로 설명한다.

도 4는 본 발명에 따른 검역방법에서 첨부파일 검역단계를 구체적으로 도시한 플로차트이다.

S21; 압축파일 확인단계

검역서버(50)의 처리모듈(52)은 전자메일의 첨부파일이 압축파일 여부를 확인한다. 압축파일의 확장자는 공지된 바와 같이 *.zip, *.rar, *.7z, *.tar 등 다양하며, 처리모듈(52)은 첨부파일의 확장자를 확인해서 해당 파일이 압축파일인지 여부를 확인한다.

S22; 압축해제 단계

압축파일 확인단계(S21)에서 첨부파일이 압축파일로 확인되면, 처리모듈(52)은 상기 첨부파일의 압축상태를 해제한다. 결국, 압축상태의 첨부파일은 해제되고, 이를 통해 실행가능한 하나 이상의 파일로 분리된다.

물론, 압축파일 확인단계(S21)에서 첨부파일이 압축파일이 아닌 것으로 확인되면, 처리모듈(52)은 상기 첨부파일의 압축 해제 과정을 진행하지 않고 다음 단계를 진행한다.

S23; 매크로 제거단계

매크로모듈(51)은 첨부파일로 확인된 전자문서에서 악성매크로를 강제로 제거한다. 상기 전자문서에서 악성매크로를 강제로 제거하는 방법으로, 해당 전자문서에 설정된 모든 매크로를 삭제해서 악성매크로까지 일괄적으로 제거하는 제1방법과, 해당 전자문서를 이미지파일로 변환해서 악성매크로의 실행을 원천적으로 차단하는 제2방법이 제안된다. 따라서, 매크로모듈(51)은 상기 제1방법을 실시하기 위해서 해당 전자문서를 실행하기 위한 프로그램의 매크로 실행 기능을 갖출 수 있다. 또한, 매크로모듈(51)은 상기 제2방법을 실시하기 위해서 해당 전자문서를 출력한 후 이미지파일로 변환하는 기능을 갖출 수 있다. 결국, 매크로모듈(51)은 악성매크로로부터 수신단말기(20)를 보호하기 위해서, 상기 악성매크로를 포함하는 전자문서의 실행 프로그램의 기능을 갖추어야 한다.

S24; 전자메일 본문 무력화단계

처리모듈(52)은 전자메일의 본문에 구성된 스크립트(script) 또는 ActiveX의 실행이 이루어지지 않도록 제한한다.

HTML(HyperText Markup Language) 형식의 전자메일 본문에는 특정 URL(uniform resource locator)이 링크된 은닉된 스크립트가 포함될 수 있고, 전자메일 수신자는 이를 인지하지 못하고 전자메일 내 해당 링크 내용을 클릭해서 악성 사이트에 접속할 수 있다. 따라서 처리모듈(52)은 전자메일 본문에 링크된 모든 스크립트를 무력화하고, 상기 본문 전체를 텍스트화한다. 결국, 전자메일의 본문은 어디에도 링크기능이 없는 텍스트만 남고, 이를 통해 수신단말기(20)는 악성 사이트로의 무단 접속이 방지된다.

한편, 처리모듈(52)은 전자메일의 본문에 설정된 ActiveX를 삭제해서 악성코드로서 전자메일에 설정된 ActiveX까지 일괄적으로 삭제될 수 있도록 한다. 결국, 전자메일의 본문은 악성 ActiveX에 의해서 수신자가 의도하지 않는 형태로 동작하거나, 상기 전자메일을 수신한 수신단말기(20)가 특정 사이트 등에 무단 접속하는 것을 방지할 수 있다.

S25; 컴퓨터바이러스 검사단계

처리모듈(52)은 전자메일 및 첨부파일의 컴퓨터바이러스 감염 여부를 검사하고, 컴퓨터바이러스 감염이 확인되면 이를 자동 또는 질의 후 치료한다. 전자메일 및 첨부파일에 대한 컴퓨터바이러스 감염 여부 검사 기능을 갖는 일명 컴퓨터백신프로그램은 공지,공용의 기술이므로, 여기서는 그 동작과 구성에 대한 설명은 생략한다.

S26; 검역필 인증단계

악성매크로 제거 또는 컴퓨터바이러스 검사 중 선택된 하나 이상의 검역과정이 완료되면, 처리모듈(52)은 도 1에서 보인 바와 같이 첨부파일의 아이콘이미지에 검역필 인증마크를 삽입한다. 결국, 수신자는 수신한 전자메일의 첨부파일 아이콘이미지에서 인증마크를 확인함으로써 상기 전자메일에 대한 신뢰감을 느낄 수 있고, 더불어서 상기 전자메일을 클릭해 열람할 수 있게 된다.

본 발명에 따른 실시 예에서는 첨부파일 아이콘이미지에 인증마크가 삽입되도록 하였으나, 이외에도 첨부파일 명을 "인증"을 추가 기재할 수도 있다.

S27; 압축대상 확인단계

처리모듈(52)은 첨부파일이 압축대상인지를 확인한다. 즉, 해당 첨부파일들이 압축파일 확인단계(S21)에서 압축파일로 확인된 파일이었는지를 확인하는 것이다.

S28; 압축단계

압축대상 확인단계(S27)에서 압축대상으로 확인되면, 처리모듈(52)은 해당 첨부파일을 압축해서 최초 첨부파일 형태가 되도록 한다. 한편, 처리모듈(52)은 압축된 첨부파일의 아이콘이미지에도 인증마크를 삽입해서, 수신자가 신뢰를 갖고 압축을 해제하도록 할 수 있다.

S30; 전자메일 복원단계

통신모듈(53)은 검역이 완료된 전자메일을 SMTP(simple mail transfer protocol)를 이용해서 제2메일서버(40)로 2차 전송한다.

상기 전자메일의 최종 수신지는 제2메일서버(40)의 지정 어드레스로 이미 입력되어 있으므로, 검역이 완료된 해당 전자메일은 지정 어드레스에 따라 제2메일서버(40)로 전송한다.

S40; 전자메일 수신단계

제2메일서버(40)는 상기 전자메일을 수신하고, 수신단말기(20)는 제2메일서버(40)에 접속해서 상기 전자메일의 수신을 확인한다. 계속해서, 수신단말기(20)는 상기 전자메일의 본문을 실행하고, 아울러 첨부파일을 다운로드해서 해당 프로그램을 통해 실행한다.

참고로, 상기 전자메일의 본문은 스크립트 및 ActiveX의 무력화를 통해 해당 텍스트만이 출력되고, 첨부파일은 그 실행시 악성매크로의 실행을 제한할 수 있다.

도 5는 본 발명에 따른 검역시스템의 다른 실시 모습을 도시한 블록도인 바, 이를 참조해 설명한다.

앞서 설명한 검역시스템은 전자메일에 적용된 경우를 예시하였으나, 본 발명에 따른 실시 예에서의 검역시스템은 인터넷 등의 공중망과, 이더넷 등의 내부망 간에 교환되는 전자문서 만에 대한 검역 기능을 수행할 수 있다.

이를 좀 더 구체적으로 설명하면, 공중망과 내부망은 공지,공용의 망연계서버(70)를 매개로 연결돼 통신하고, 이를 통해 내부망의 수신단말기(20)는 공중망으로부터 유입되는 각종 전자문서를 명연계서버(70)를 통하여 수신한다. 여기서, 검역서버(50)는 전자문서가 내부망으로 수신되기 전 전술한 검역 절차를 통해 검역을 완료하고, 해당 검역이 완료되면 망연계서버(70)의 통상적인 수신절차를 통해 내부망의 수신단말기(20)가 이를 수신할 수 있도록 한다.

결국, 내부망은 검역서버(50)를 통해 악성매크로에 의한 오작동 또는 컴퓨터바이러스 등에 의한 각종 감염 등의 위험을 최소화하고, 이를 통해 해당 통신환경을 안정적으로 유지할 수 있다.

앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예들을 참조해 설명했지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

10; 발신단말기 20; 수신단말기 30; 제1메일서버

40; 제2메일서버 50; 검역서버 60,60'; 제1,2외부서버

70; 망연계서버

Claims

검역서버가 수신단말기로 발신된 전자문서를 사전 수신하는 제1단계;

상기 검역서버가 상기 전자문서 내 설정 매크로를 제거하는 제2단계; 및

설정 매크로가 제거된 상기 전자문서를 상기 검역서버가 발신하는 제3단계;

를 포함하는 것을 특징으로 하는 전자문서 검역방법.
제 1 항에 있어서,

상기 전자문서는 전자메일의 첨부파일인 것을 특징으로 하는 전자문서 검역방법.
제 1 항 또는 제 2 항에 있어서,

상기 제2단계는

상기 전자문서의 설정 매크로가 제거되도록 상기 전자문서를 이미지화해서 이미지파일로 변환하는 단계를 더 포함하는 것을 특징으로 하는 전자문서 검역방법.
제 2 항에 있어서,

상기 제3단계 이전에, 상기 검역서버는 상기 전자메일 본문의 스크립트 동작이 정지되도록, 상기 본문을 텍스트화하는 것을 특징으로 하는 전자문서 검역방법.
제 1 항 또는 제 2 항에 있어서,

상기 제2단계와 제3단계 사이에서, 상기 전자문서의 아이콘이미지에 인증마크를 삽입하는 단계를 더 포함하는 것을 특징으로 하는 전자문서 검역방법.