WO2015005736A1

WO2015005736A1 - 클라이언트시스템 및 클라이언트시스템의 동작 방법

Info

Publication number: WO2015005736A1
Application number: PCT/KR2014/006279
Authority: WO
Inventors: 이주석; 김주현
Original assignee: 주식회사 안랩
Priority date: 2013-07-12
Filing date: 2014-07-11
Publication date: 2015-01-15
Also published as: KR20150007803A; KR101489142B1

Abstract

본 발명은, 하나의 클라이언트시스템의 희생을 기반으로, 다른 다수의 클라이언트들이 새로운 AV-Killing 악성프로그램 자체를 빠르게 진단하여 AV-Killing 악성프로그램의 실행을 원천 차단할 수 있는 클라이언트시스템 및 클라이언트시스템의 동작 방법에 관한 것이다.

Description

클라이언트시스템 및 클라이언트시스템의 동작 방법

본 발명의 실시예들은, 악성진단프로그램(예 : 안티 바이러스 제품)을 공격하여 종료시키는 악성프로그램으로부터 시스템을 빠르고 효율적으로 보호할 수 있도록 하는 기술들과 관련된다.

많은 악성코드(악성프로그램)들이 자신을 진단하는 악성진단프로그램(예: 안티 바이러스 제품)에 대항하기 위해, 악성진단프로그램을 공격하여 종료시킨 후에 시스템을 감염 시키고 있다. 이런 기술을 AV-Killing 기술이라고 부르는데, AV-Killing 기술에 의해 악성진단프로그램이 종료되면, 악성진단프로그램의 진단 기능이 무력화가 되어 더 이상 시스템을 보호 하는 것이 불가능해 진다.

이러한, AV-Killing 기술에 대응하고자 많은 악성진단프로그램 업체들은 자신의 제품에 자체 보호 기술을 적용하여 무력화 되지 않도록 방어하고 있다.

하지만, 이와 같은 방어 기법을 악성진단프로그램에 적용하는 방식은, 얼마 지나지 않아 악성코드들이 그 방어 기법을 무력화 하는 새로운 공격 기법으로 악성진단프로그램을 공격하기 때문에 방어와 공격의 악순환이 반복될 뿐이다.

이에, 본 발명에서는, 악성진단프로그램에 방어 기법을 적용하는 기존의 자체 보호 기술 보다는, 악성진단프로그램을 공격하는 악성코드 자체를 빠르게 진단하여 이에 대처할 수 있도록 함으로써 악성코드의 실행을 원천적으로 차단할 수 있는 방안을 제안하고자 한다.

본 발명의 실시예들은 악성진단프로그램(예 : 안티 바이러스 제품)을 공격하여 종료시키는 악성프로그램으로부터 시스템을 빠르고 효율적으로 보호하기 위한 기술로서, 악성진단프로그램을 공격하는 악성프로그램 자체를 빠르게 진단하여 결과적으로 악성프로그램의 실행을 원천 차단할 수 있는 클라이언트시스템 및 클라이언트시스템의 동작 방법을 제안하고자 한다.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 클라이언트시스템의 동작 방법은, 악성진단프로그램이 비정상적으로 종료되는지 여부를 판단하는 판단단계; 상기 악성진단프로그램이 비정상적으로 종료되는 것으로 판단되면, 상기 악성진단프로그램의 비정상적인 종료와 관련된 종료관련정보를 생성하는 정보생성단계; 및 상기 종료관련정보를 서버로 제공하여, 상기 서버가 상기 종료관련정보에 기초하여 상기 악성진단프로그램을 종료시킨 악성프로그램을 인지하고 상기 인지한 악성프로그램을 진단대상으로 추가할 수 있도록 하는 제공단계를 포함한다.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 클라이언트시스템은, 악성진단프로그램이 비정상적으로 종료되는지 여부를 판단하는 비정상종료판단부; 상기 악성진단프로그램이 비정상적으로 종료되는 것으로 판단되면, 상기 악성진단프로그램의 비정상적인 종료와 관련된 종료관련정보를 생성하는 정보생성부; 및 상기 종료관련정보를 서버로 제공하여, 상기 서버가 상기 종료관련정보에 기초하여 상기 악성진단프로그램을 종료시킨 악성프로그램을 인지하고 상기 인지한 악성프로그램을 진단대상으로 추가할 수 있도록 하는 정보제공부를 포함한다.

본 발명의 실시예들은 하나의 클라이언트시스템의 희생을 기반으로 다른 다수의 클라이언트들이 새로운 AV-Killing 악성프로그램 자체를 빠르게 진단하여 AV-Killing 악성프로그램의 실행을 원천 차단할 수 있는 효과를 갖는다.

도 1은 본 발명의 바람직한 실시예에 따른 클라이언트시스템이 포함된 전체 시스템을 보여주는 예시도이다.

도 2는 본 발명의 바람직한 실시예에 따른 클라이언트시스템의 구성을 보여주는 구성도이다.

도 3은 본 발명의 바람직한 실시예에 따른 클라이언트시스템이 포함된 전체 시스템의 제어 흐름을 보여주는 흐름도이다.

도 4는 본 발명의 바람직한 실시예에 따른 클라이언트시스템의 동작 방법을 보여주는 동작 흐름도이다.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.

먼저, 도 1을 참조하여 본 발명을 설명하면 다음과 같다. 여기서, 도 1은 본 발명의 바람직한 실시예에 따른 클라이언트시스템이 포함된 전체 시스템을 보여주고 있다.

도 1에 도시된 바와 같이 전체 시스템에는, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)과, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에서 악성코드(이하, 악성프로그램이라 함)를 진단할 수 있도록 하는 서버(200)가 포함된다.

기본적으로, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)은, 컴퓨터, 스마트폰, 이동통신단말 등과 같이, 탑재된 운영체제를 기반으로 동작하는 시스템일 수 있다.

이러한, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에는, 악성프로그램에 의한 감염 및 공격으로부터 시스템을 보호하기 위해서, 시스템에서 악성프로그램을 진단하는 악성진단프로그램(예 : 안티 바이러스 제품)이 설치되어 있다.

클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에 설치되는 악성진단프로그램(예 : 안티 바이러스 제품)은, 서버(200)로부터 제공되어 설치되며 이후에도 서버(200)와의 연동을 통해서 주기적으로 업데이트되는 프로그램이다.

클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에 설치되는 악성진단프로그램(예 : 안티 바이러스 제품)은, 진단대상으로서 기 등록된 악성프로그램들에 대한 정보를 기반으로, 악성진단프로그램 자신이 실행되는 시스템 내에서 악성프로그램들을 진단하게 된다.

예컨대, 악성진단프로그램은, 자체적으로 시스템 내에서 악성프로그램들을 진단하는 클라이언트 기반 진단 방식, 또는 진단 시마다 서버(200)와 연동하여 악성프로그램들을 진단하는 클라우드 기반 진단 방식 중 어느 하나의 방식으로, 악성프로그램을 진단할 수 있다.

이에, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)는, 시스템 구동과 함께 악성진단프로그램을 실행하고, 악성진단프로그램을 통해 클라이언트 기반 진단 방식 또는 클라우드 기반 진단 방식 중 어느 하나의 방식에 따라서, 지속적으로 또는 주기적으로 시스템 내에서 악성프로그램을 진단할 수 있다.

이에, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)는, 악성프로그램을 진단한 진단 결과에 따라서, 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)를 수행할 수 있게 된다.

헌데, 최근에는 이러한 악성진단프로그램을 공격하여 종료시킨 후에 시스템을 감염시키는 악성프로그램(이하, AV-Killing 악성프로그램이라 함)이 등장하였다. 이러한 AV-Killing 악성프로그램에 의해 시스템에서 악성진단프로그램이 종료되면, 악성진단프로그램의 진단 기능이 무력화가 되어 더 이상 시스템을 보호하는 것이 불가능해 진다.

이에, 본 발명에서는, 악성진단프로그램을 공격하는 AV-Killing 악성프로그램 자체를 빠르게 진단하여 이에 대처할 수 있도록 함으로써, AV-Killing 악성프로그램의 실행을 원천적으로 차단할 수 있는 방안을 제안하고자 한다.

우선, 설명의 편의를 위해, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에는, 악성진단프로그램이 진단할 수 없는 AV-Killing 악성프로그램, 다시 말해 현재 설치된 버전의 악성진단프로그램이 진단대상으로서 인지하지 못하는 새로운 AV-Killing 악성프로그램이 설치되었다고 가정한다.

이때, 본 발명에 따른 클라이언트시스템(100)은, 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300) 중에서 전술의 AV-Killing 악성프로그램이 가장 먼저 실행되는 클라이언트인 것으로 가정하여 설명한다.

즉, 클라이언트시스템(100)에서는, 전술한 바와 같이 시스템 구동과 함께 악성진단프로그램을 실행하여, 시스템 구동 중에 지속적으로 또는 주기적으로 악성진단프로그램이 시스템 내에서 악성프로그램을 진단할 수 있도록 한다.

이때, 클라이언트시스템(100)에서는, AV-Killing 악성프로그램이 계획한 특정 시점에 실행되어 클라이언트시스템(100) 내 실행 중인 악성진단프로그램을 공격하여 종료시킬 수 있다.

이때, 본 발명에 따른 클라이언트시스템(100)은, 먼저 악성진단프로그램이 비정상적으로 종료되었는지 여부를 판단하고, 악성진단프로그램이 비정상적으로 종료된 것으로 판단되면, 악성진단프로그램의 비정상적인 종료와 관련된 종료관련정보를 생성한다.

즉, 클라이언트시스템(100)은, 악성진단프로그램이 비정상적으로 종료되는 경우 악성진단프로그램이 AV-Killing 악성프로그램에 의해 공격받아 종료된 것으로 보고, 악성진단프로그램의 비정상적인 종료와 관련된 종료관련정보를 생성하는 것이다.

결과적으로, 클라이언트시스템(100)은, 시스템 내에서 비록 AV-Killing 악성프로그램에 의해 악성진단프로그램이 공격받아 종료되었지만, 악성진단프로그램을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같은 형태로 남기는 것이다.

이에, 클라이언트시스템(100)은, 생성한 종료관련정보를 서버(200)로 제공하여, 서버(200)가 상기 종료관련정보를 토대로 악성진단프로그램을 종료시킨 악성프로그램 즉 AV-Killing 악성프로그램을 인지하고, 인지한 AV-Killing 악성프로그램을 진단대상으로 추가한다.

이에 따라서, 서버(200)와 연동하는 다수의 다른 클라이언트(300)에서는, 진단대상으로 새롭게 추가된 AV-Killing 악성프로그램이 실행되기 이전에 AV-Killing 악성프로그램을 진단해낼 수 있게 된다.

보다 구체적으로 설명하면, 서버(200)는, AV-Killing 악성프로그램에 의해서 가장 먼저 공격받은 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보를 토대로 새로운 AV-Killing 악성프로그램을 인지할 수 있다.

이에, 서버(200)는, 다음 업데이트 주기 도달 시, 전술의 인지한 AV-Killing 악성프로그램을 진단대상으로 추가하여 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에 설치된 악성진단프로그램을 업데이트할 수 있다.

따라서, 비록 클라이언트시스템(100)은 AV-Killing 악성프로그램에 의해 공격을 받았지만, 아직 AV-Killing 악성프로그램이 실행되지 않은 다른 다수의 클라이언트들(300)에서는 업데이트된 악성진단프로그램에 의해서 진단대상으로서 새롭게 추가된 AV-Killing 악성프로그램을 인지/진단할 수 있기 때문에, 이러한 진단 결과에 따른 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행할 수 있게 된다.

한편, 서버(200)는, 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보를 토대로 새로운 AV-Killing 악성프로그램을 인지하면, 클라이언트시스템(100)를 제외한 다수의 클라이언트들(300)와의 전술한 클라우드 기반 진단 방식(또는 네트워크 진단 방식이라 함)을 통해, 다수의 클라이언트들(300)에서 AV-Killing 악성프로그램을 인지/진단하여 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행하도록 할 수도 있다.

즉, 전술한 바와 같은 본 발명의 실시예에 따르면, 하나의 클라이언트시스템(100)의 희생을 기반으로 다른 다수의 클라이언트들이 새로운 AV-Killing 악성프로그램 자체를 빠르게 진단할 수 있는 환경을 조성함으로써, AV-Killing 악성프로그램의 실행을 원천 차단할 수 있는 효과를 도출할 수 있다.

이하에서는, 도 2를 참조하여 본 발명의 바람직한 실시예에 따른 클라이언트시스템의 구성을 보다 구체적으로 설명하도록 한다. 설명의 편의를 위해 도 1에서 언급한 참조번호를 이용하여 설명하도록 하겠다.

본 발명의 바람직한 실시예에 따른 클라이언트시스템(100)은, 악성진단프로그램(110)이 비정상적으로 종료되지 여부를 판단하는 비정상종료판단부(130)와, 악성진단프로그램(110)이 비정상적으로 종료되면, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성하는 정보생성부(140)와, 상기 생성한 종료관련정보를 서버(200)로 제공하여, 상기 서버가 상기 종료관련정보를 토대로 악성진단프로그램(110)을 종료시킨 악성프로그램을 인지하고 진단대상으로 추가하여 서버(200)와 연동하는 다수의 다른 클라이언트들(300)에서 상기 악성프로그램이 실행되기 이전에 진단할 수 있도록 하는 정보제공부(150)를 포함한다.

그리고, 클라이언트시스템(100)에는, 악성진단프로그램(110) 이외에도 다수의 프로그램들(120)이 설치될 수 있다.

전술한 바와 같이, 클라이언트시스템(100)에서는, 시스템 구동과 함께 악성진단프로그램(110)을 실행하여, 시스템 구동 중에 지속적으로 또는 주기적으로 악성진단프로그램(110)이 시스템 내에서 악성프로그램을 진단할 수 있도록 한다.

여기서, 클라이언트시스템(100)에는, 악성진단프로그램(110)이 진단할 수 없는 AV-Killing 악성프로그램, 다시 말해 현재 설치된 버전의 악성진단프로그램(110)이 진단대상으로서 인지하지 못하는 새로운 AV-Killing 악성프로그램이 설치되었다고 가정한다.

비정상종료판단부(130)는, 악성진단프로그램(110)이 비정상적으로 종료되는지 여부를 판단한다.

보다 구체적으로 설명하면, 비정상종료판단부(130)는, 악성진단프로그램(110)이 종료되는지 여부를 확인하고, 악성진단프로그램(110)이 종료되면 이러한 종료가 비정상적인 종료인지 여부를 판단하는 것이다.

이때, 악성진단프로그램(110)의 종료가 비정상적인 종료인지 여부를 판단하는 실시예를 설명하면 다음과 같다.

예컨대, 비정상종료판단부(130)는, 악성진단프로그램(110)의 종료와 관련된 행위가 기 설정된 정상종료절차에 따른 행위가 아닌 경우, 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단할 수 있다.

다시 말하면, 악성진단프로그램(110)은, AV-Killing 악성프로그램의 공격에 의한 종료 이외에도, 클라이언트시스템(100)의 사용자 조작에 의해 정상 종료될 수도 있고, 또는 악성진단프로그램(110) 업데이트를 위해 일시적으로 정상 종료될 수도 있다.

이에, 비정상종료판단부(130)에는, 악성진단프로그램(110)을 정상 종료시키는 명령어들 또는 악성진단프로그램(110)을 정상 종료시키는 프로그램들에 대한 화이트리스트가 기 설정되어 있을 수 있다.

이에, 비정상종료판단부(130)는, 악성진단프로그램(110)의 종료와 관련된 행위가 기 설정된 화이트리스트에 속하는 명령어 또는 프로그램에 의한 행위라고 판단되면, 금번 악성진단프로그램(110)의 종료가 기 설정된 정상종료절차에 따르는 것으로 판단할 것이다.

한편, 비정상종료판단부(130)는, 악성진단프로그램(110)의 종료와 관련된 행위가 기 설정된 화이트리스트에 속하는 명령어 또는 프로그램에 의한 행위가 아니라고 판단되면, 금번 악성진단프로그램(110)의 종료가 기 설정된 정상종료절차에 따르지 않는다고 판단하여, 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단할 수 있다.

정보생성부(140)는, 비정상종료판단부(130)에서 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단되면, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성한다.

즉, 정보생성부(140)는, 악성진단프로그램(110)이 비정상적으로 종료되는 경우를 악성진단프로그램(110)이 AV-Killing 악성프로그램에 의해 공격받아 종료된 것으로 보고, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성하는 것이다.

이하에서는, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성하는 실시예를 설명하도록 한다.

먼저, 제1실시예를 설명하면, 정보생성부(140)는, 클라이언트시스템(100)에서 실행되는 각 프로그램1,2.. .N에 의한 행위가 기록된 로그정보를 기초로, 악성진단프로그램(110)을 공격한 프로그램을 검색하여 상기 검색한 프로그램에 대한 정보를 종료관련정보로 생성할 수 있다.

보다 구체적으로 설명하면, 클라이언트시스템(100)에는 클라이언트시스템(100)에서 실행되는 각 프로그램1,2.. .N에 의한 행위가 로그정보로서 기록될 수 있다.

예를 들면, 악성진단프로그램(110)이 클라이언트시스템(100)에서 실행되는 각 프로그램1,2.. .N에 의한 행위를 감시하여 기 등록된 진단대상의 악성프로그램을 진단하는 행위기반 진단프로그램이라면, 악성진단프로그램(110)은 AV-Killing 악성프로그램에 의해 공격받아 종료되기 이전까지 지속적으로 감시한 각 프로그램1,2.. .N에 의한 행위를 로그정보로서 기록했을 것이다.

물론, 악성진단프로그램(110) 이외의 다른 프로그램 또는 함수에 의해, 클라이언트시스템(100)에서 실행되는 각 프로그램1,2.. .N에 의한 행위가 로그정보로서 기록될 수 있다.

이에, 정보생성부(140)는, 비정상종료판단부(130)에서 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단되면, 전술과 같이 기록된 로그정보를 기초로 악성진단프로그램(110)을 공격한 프로그램을 검색할 수 있다. 이하에서는, 설명의 편의를 위해, 도 2와 같이 클라이언트시스템(100)에 설치된 다수의 프로그램1,2.. .N 중에서 프로그램1이 AV-Killing 악성프로그램인 것으로 설명하겠다.

따라서, 예를 들면 정보생성부(140)는, 전술과 같이 기록된 로그정보를 기초로 악성진단프로그램(110)을 실질적으로 종료시킨 프로그램을 확인하고, 확인된 프로그램(예 : 프로그램1)을 악성진단프로그램(110)을 공격한 프로그램인 것으로 검색할 수 있다.

그리고, 정보생성부(140)는, 전술과 같이 검색한 프로그램(예 : 프로그램1)에 대한 정보를 종료관련정보로 생성할 수 있다.

예컨대, 정보생성부(140)는, 검색한 프로그램(예 : 프로그램1)을 인지할 수 있도록 하는 정보(예 : 프로그램이름정보, 사이즈정보, 해쉬값(예 : MD5) 등)을 종료관련정보로서 생성할 수 있다.

한편, 제1실시예와는 다른 제2실시예를 설명하면, 정보생성부(140)는, 악성진단프로그램(110)이 비정상적으로 종료된 시점에 실행 중인 프로그램 중에서 인증되지 않은 적어도 하나의 프로그램을 확인하고, 상기 확인한 적어도 하나의 프로그램에 대한 정보를 종료관련정보로 생성할 수 있다.

보다 구체적으로 설명하면, 클라이언트시스템(100)에 설치된 각 프로그램1,2.. .N이 모두 동시간 대에 실행되는 것은 아니다.

이에, 정보생성부(140)는, 비정상종료판단부(130)에서 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단되면, 각 프로그램1,2.. .N 중에서 악성진단프로그램(110)이 비정상적으로 종료된 시점에 실행 중인 프로그램(예 : 프로그램1,2, N-2, N)을 확인하고, 확인한 프로그램(예 : 프로그램1,2, N-2, N) 중에서 인증되지 않은 적어도 하나의 프로그램(예 : 프로그램1,2)을 확인할 수 있다.

이때, 인증되지 않은 적어도 하나의 프로그램은, 악성진단프로그램(110)에 의한 가장 최근의 진단 시 진단범위에 속하지 않아 진단되지 않았거나 또는 기 등록된 인증프로그램 리스트에 속하지 않거나 또는 별도 인증절차에 의해 인증되지 않은 프로그램일 수 있다.

다시 말해, 인증되지 않은 적어도 하나의 프로그램이란, 어떠한 방식으로든 정상프로그램이라고 인증되지 않은 의심스러운 프로그램을 의미할 것이다.

그리고, 정보생성부(140)는, 전술과 같이 확인한 적어도 하나의 프로그램(예 : 프로그램1,2)에 대한 정보를 종료관련정보로 생성할 수 있다.

예컨대, 정보생성부(140)는, 적어도 하나의 프로그램(예 : 프로그램1,2)을 포함하는 종료관련정보를 생성할 수 있다.

결과적으로, 정보생성부(140)는, 클라이언트시스템(100) 내에서 비록 AV-Killing 악성프로그램에 의해 악성진단프로그램(110)이 공격받아 종료되었지만, 악성진단프로그램(110)을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같은 형태로 남기는 것이다.

이러한 정보생성부(140)는, 클라이언트시스템(100)의 커널 메모리(Kernel Memory)에서 구동되는 쓰레드(예 : Recoder Thread)에 의한 구성일 수 있다.

정보제공부(150)는, 정보생성부(140)에서 생성한 종료관련정보를 서버(200)로 제공하여, 서버(200)가 상기 종료관련정보를 토대로 악성진단프로그램(110)을 종료시킨 악성프로그램 즉 AV-Killing 악성프로그램을 인지하고, 인지한 AV-Killing 악성프로그램을 진단대상으로 추가하여 서버(200)와 연동하는 다수의 다른 클라이언트들(300)에서 AV-Killing 악성프로그램이 실행되기 이전에 진단할 수 있도록 한다.

즉, 전술의 제1실시예에 따르면, 서버(200)는, 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보에 따른 프로그램(예 : 프로그램1)을 악성프로그램 즉 새로운 AV-Killing 악성프로그램인 것으로 인지하여 진단대상으로 추가할 수 있다.

다시 말하면, 전술의 제1실시예의 경우 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보에는 프로그램(예 : 프로그램1)을 인지할 수 있도록 하는 정보(예 : 프로그램이름정보, 사이즈정보, 해쉬값(예 : MD5) 등)가 포함될 것이다.

이에, 서버(200)는, 종료관련정보를 토대로 프로그램1이 악성프로그램 즉 새로운 AV-Killing 악성프로그램임을 인지할 수 있고, AV-Killing 악성프로그램 즉 프로그램1을 진단대상으로 추가할 수 있다.

한편, 전술의 제2실시예에 따르면, 서버(200)는, 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보에 따른 적어도 하나의 프로그램(예 : 프로그램1,2)을 순차적으로 실행하여 적어도 하나의 프로그램(예 : 프로그램1,2) 중 서버(200)에서 실행 중인 악성진단프로그램을 종료시키는 프로그램(예 : 프로그램1)을 악성프로그램 즉 새로운 AV-Killing 악성프로그램인 것으로 인지하여 진단대상으로 추가할 수 있다.

다시 말하면, 전술의 제2실시예의 경우 클라이언트시스템(100)로부터 생성/제공되는 종료관련정보에는, 적어도 하나의 프로그램(예 : 프로그램1,2)이 포함될 것이다.

이에, 서버(200)는, 클라이언트시스템(100)에 설치된 악성진단프로그램(110)과 동일한 악성진단프로그램을 실행하고, 종료관련정보에 포함된 적어도 하나의 프로그램(예 : 프로그램1,2)을 순차적으로 실행하여 어떤 프로그램이 실행될 때 악성진단프로그램이 종료되는지를 확인한다.

따라서, 서버(200)에서 프로그램1을 실행시킬 때 악성진단프로그램이 종료되는 것으로 가정하면, 서버(200)는 종료관련정보에 포함된 적어도 하나의 프로그램(예 : 프로그램1,2) 중 서버(200)에서 실행 중인 악성진단프로그램을 종료시키는 프로그램1을 악성프로그램 즉 새로운 AV-Killing 악성프로그램인 것으로 인지할 수 있고, AV-Killing 악성프로그램 즉 프로그램1을 진단대상으로 추가할 것이다.

이에, 서버(200)는, 다음 업데이트 주기 도달 시, 전술의 인지한 AV-Killing 악성프로그램 즉 프로그램1을 진단대상으로 추가하여 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)에 설치된 악성진단프로그램을 업데이트할 수 있다.

따라서, 본 발명의 실시예에 따르면, 비록 클라이언트시스템(100)은 AV-Killing 악성프로그램에 의해 공격을 받았지만, 아직 AV-Killing 악성프로그램이 실행되지 않은 다른 다수의 클라이언트들(300)에서는 업데이트된 악성진단프로그램에 의해서 진단대상으로서 새롭게 추가된 AV-Killing 악성프로그램을 인지/진단할 수 있기 때문에, 이러한 진단 결과에 따른 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행할 수 있게 된다.

이상에서 설명한 바와 같이 본 발명에 따른 클라이언트시스템은, 비록 AV-Killing 악성프로그램에 의해 시스템 내 악성진단프로그램이 공격받아 종료되었지만, 악성진단프로그램을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같은 형태로 남겨, 서버를 통해서 다수의 다른 클라이언트들이 AV-Killing 악성프로그램을 진단대상으로서 인지할 수 있도록 함으로써, 하나의 클라이언트시스템의 희생을 기반으로 다른 다수의 클라이언트들이 새로운 AV-Killing 악성프로그램 자체를 빠르게 진단하여 AV-Killing 악성프로그램의 실행을 원천 차단할 수 있는 효과를 도출한다.

한편, 전술에서 설명한 본 발명의 비정상종료판단부(130), 정보생성부(140) 및 정보제공부(150) 구성은, 하나의 프로그램(어플리케이션) 형태로 구성되어, 클라이언트시스템(100)을 비롯한 다수의 다른 클라이언트들(300)에 설치되는 것도 가능할 것이다.

이하에서는, 도 3 및 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 클라이언트시스템의 동작 방법을 설명하도록 한다. 설명의 편의를 위해 전술한 도 1 및 도 2의 참조번호를 이용하여 설명하도록 하겠다.

먼저, 도 3을 참조하여 바람직한 실시예에 따른 클라이언트시스템(100)이 포함된 전체 시스템의 제어 흐름을 설명하도록 한다.

클라이언트시스템(100)에서는, 전술한 바와 같이 시스템 구동과 함께 악성진단프로그램(110)을 실행하여, 시스템 구동 중에 지속적으로 또는 주기적으로 악성진단프로그램(110)이 시스템 내에서 악성프로그램을 진단할 수 있도록 할 것이다(S10).

이때, 클라이언트시스템(100)에서는, AV-Killing 악성프로그램이 계획한 특정 시점에 실행되어 클라이언트시스템(100) 내 실행 중인 악성진단프로그램(110)을 공격하여 종료시킬 수 있다.

이때, 본 발명에 따른 클라이언트시스템(100)은, 악성진단프로그램(110)이 종료되면 비정상적으로 종료되었는지 여부를 판단하고(S20), 악성진단프로그램(110)이 비정상적으로 종료된 것으로 판단되면 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성한다(S30).

즉, 클라이언트시스템(100)은, 악성진단프로그램(110)이 비정상적으로 종료되는 경우 악성진단프로그램(110)이 AV-Killing 악성프로그램에 의해 공격받아 종료된 것으로 보고, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성하는 것이다.

결과적으로, 클라이언트시스템(100)은, 시스템 내에서 비록 AV-Killing 악성프로그램에 의해 악성진단프로그램(110)이 공격받아 종료되었지만, 악성진단프로그램(110)을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같은 형태로 남기는 것이다.

이에, 클라이언트시스템(100)은, 생성한 종료관련정보를 서버(200)로 제공하여(S40), 서버(200)가 상기 종료관련정보를 토대로 악성진단프로그램(110)을 종료시킨 악성프로그램 즉 AV-Killing 악성프로그램을 인지하고, 인지한 AV-Killing 악성프로그램을 진단대상으로 추가하여 서버(200)와 연동하는 다수의 다른 클라이언트(300)에서 AV-Killing 악성프로그램이 실행되기 이전에 진단할 수 있도록 한다.

이에, 서버(200)는, 다음 업데이트 주기 도달 시, 전술의 인지한 AV-Killing 악성프로그램을 진단대상으로 추가하여(S50), 클라이언트시스템(100)을 비롯한 다수의 클라이언트들(300)와 연동하여 설치된 악성진단프로그램(110)을 업데이트할 수 있다(S60).

따라서, 비록 클라이언트시스템(100)은 AV-Killing 악성프로그램에 의해 공격을 받았지만, 아직 AV-Killing 악성프로그램이 실행되지 않은 다른 다수의 클라이언트들(300)에서는 서버(200)에 의해 업데이트된 악성진단프로그램(110)이 진단대상으로서 추가된 AV-Killing 악성프로그램을 인지/진단할 수 있기 때문에(S70,S72,S74), 이러한 진단 결과에 따른 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행할 수 있게 된다.

이하에서는 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 클라이언트시스템의 동작 방법을 설명하도록 하겠다.

전술한 바와 같이, 클라이언트시스템(100)에서는, 시스템 구동과 함께 악성진단프로그램(110)을 실행하여, 시스템 구동 중에 지속적으로 또는 주기적으로 악성진단프로그램(110)이 시스템 내에서 악성프로그램을 진단할 수 있도록 한다(S100).

본 발명의 클라이언트시스템(100)의 동작 방법은, 악성진단프로그램(110)이 비정상적으로 종료되지 여부를 판단한다(S110).

보다 구체적으로 설명하면, 본 발명의 클라이언트시스템(100)의 동작 방법은, 악성진단프로그램(110)이 종료되는지 여부를 확인하고, 악성진단프로그램(110)이 종료되면 이러한 종료가 비정상적인 종료인지 여부를 판단하는 것이다.

예컨대, 본 발명의 클라이언트시스템(100)의 동작 방법은, 악성진단프로그램(110)의 종료와 관련된 행위가 기 설정된 정상종료절차에 따른 행위가 아닌 경우, 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단할 수 있다.

예를 들면, 본 발명의 클라이언트시스템(100)의 동작 방법은, 악성진단프로그램(110)의 종료와 관련된 행위가 기 설정된 화이트리스트에 속하는 명령어 또는 프로그램에 의한 행위라고 판단되면, 금번 악성진단프로그램(110)의 종료가 기 설정된 정상종료절차에 따르는 것으로 판단할 것이다.

한편, 본 발명의 클라이언트시스템(100)의 동작 방법은, 악성진단프로그램(110)의 종료와 관련된 행위가 기 설정된 화이트리스트에 속하는 명령어 또는 프로그램에 의한 행위가 아니라고 판단되면, 금번 악성진단프로그램(110)의 종료가 기 설정된 정상종료절차에 따르지 않는다고 판단하여, 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단할 수 있다.

본 발명의 클라이언트시스템(100)의 동작 방법은, S110단계에서 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단되면, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성한다(S120).

즉, 본 발명의 클라이언트시스템(100)의 동작 방법은, 악성진단프로그램(110)이 비정상적으로 종료되는 경우를 악성진단프로그램(110)이 AV-Killing 악성프로그램에 의해 공격받아 종료된 것으로 보고, 악성진단프로그램(110)의 비정상적인 종료와 관련된 종료관련정보를 생성하는 것이다.

먼저, 제1실시예를 설명하면, 본 발명의 클라이언트시스템(100)의 동작 방법은, S110단계에서 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단되면, 전술과 같이 기록된 로그정보를 기초로 악성진단프로그램(110)을 공격한 프로그램을 검색할 수 있다. 이하에서는, 설명의 편의를 위해, 도 2와 같이 클라이언트시스템(100)에 설치된 다수의 프로그램1,2.. .N 중에서 프로그램1이 AV-Killing 악성프로그램인 것으로 설명하겠다.

따라서, 예를 들면 본 발명의 클라이언트시스템(100)의 동작 방법은, 전술과 같이 기록된 로그정보를 기초로 악성진단프로그램(110)을 실질적으로 종료시킨 프로그램을 확인하고, 확인된 프로그램(예 : 프로그램1)을 악성진단프로그램(110)을 공격한 프로그램인 것으로 검색할 수 있다.

그리고, 본 발명의 클라이언트시스템(100)의 동작 방법은, 전술과 같이 검색한 프로그램(예 : 프로그램1)에 대한 정보를 종료관련정보로 생성할 수 있다.

예컨대, 본 발명의 클라이언트시스템(100)의 동작 방법은, 검색한 프로그램(예 : 프로그램1)을 인지할 수 있도록 하는 정보(예 : 프로그램이름정보, 사이즈정보, 해쉬값(예 : MD5) 등)을 종료관련정보로서 생성할 수 있다.

한편, 제1실시예와는 다른 제2실시예를 설명하면, 본 발명의 클라이언트시스템(100)의 동작 방법은, S110단계에서 악성진단프로그램(110)이 비정상적으로 종료되는 것으로 판단되면, 악성진단프로그램(110)이 비정상적으로 종료된 시점에 실행 중인 프로그램 중에서 인증되지 않은 적어도 하나의 프로그램을 확인하고, 상기 확인한 적어도 하나의 프로그램에 대한 정보를 종료관련정보로 생성할 수 있다.

예를 들어, 본 발명의 클라이언트시스템(100)의 동작 방법은, 각 프로그램1,2.. .N 중에서 악성진단프로그램(110)이 비정상적으로 종료된 시점에 실행 중인 프로그램(예 : 프로그램1,2, N-2, N)을 확인하고, 확인한 프로그램(예 : 프로그램1,2, N-2, N) 중에서 인증되지 않은 적어도 하나의 프로그램(예 : 프로그램1,2)을 확인할 수 있다.

그리고, 본 발명의 클라이언트시스템(100)의 동작 방법은, 전술과 같이 확인한 적어도 하나의 프로그램(예 : 프로그램1,2)에 대한 정보를 종료관련정보로 생성할 수 있다.

예컨대, 본 발명의 클라이언트시스템(100)의 동작 방법은, 적어도 하나의 프로그램(예 : 프로그램1,2)을 포함하는 종료관련정보를 생성할 수 있다.

결과적으로, 본 발명의 클라이언트시스템(100)의 동작 방법은, 클라이언트시스템(100) 내에서 비록 AV-Killing 악성프로그램에 의해 악성진단프로그램(110)이 공격받아 종료되었지만, 악성진단프로그램(110)을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같은 형태로 남기는 것이다.

본 발명의 클라이언트시스템(100)의 동작 방법은, S120단계에서 생성한 종료관련정보를 서버(200)로 제공하여(S130), 서버(200)가 상기 종료관련정보를 토대로 악성진단프로그램(110)을 종료시킨 악성프로그램 즉 AV-Killing 악성프로그램을 인지하고, 인지한 AV-Killing 악성프로그램을 진단대상으로 추가하여 서버(200)와 연동하는 다수의 다른 클라이언트들(300)에서 AV-Killing 악성프로그램이 실행되기 이전에 진단할 수 있도록 한다(S140).

따라서, 본 발명의 실시예에 따르면, 비록 클라이언트시스템(100)은 AV-Killing 악성프로그램에 의해 공격을 받았지만, 아직 AV-Killing 악성프로그램이 실행되지 않은 다른 다수의 클라이언트들(300)에서는 서버(200)에 의해 업데이트된 악성진단프로그램이 진단대상으로서 추가된 AV-Killing 악성프로그램을 인지/진단할 수 있기 때문에, 이러한 진단 결과에 따른 이후 절차(예 : 진단결과 보고, 진단된 악성프로그램 삭제, 진단된 악성프로그램에 의한 감염 치료 등)을 수행할 수 있게 된다.

이상에서 설명한 바와 같이 본 발명에 따른 클라이언트시스템의 동작 방법은, 비록 AV-Killing 악성프로그램에 의해 시스템 내 악성진단프로그램이 공격받아 종료되었지만, 악성진단프로그램을 종료시킨 AV-Killing 악성프로그램에 대한 정보들(종료관련정보)을 다잉메시지와 같은 형태로 남겨, 서버를 통해서 다수의 다른 클라이언트들이 AV-Killing 악성프로그램을 진단대상으로서 인지할 수 있도록 함으로써, 하나의 클라이언트시스템의 희생을 기반으로 다른 다수의 클라이언트들이 새로운 AV-Killing 악성프로그램 자체를 빠르게 진단하여 AV-Killing 악성프로그램의 실행을 원천 차단할 수 있는 효과를 도출한다.

본 발명의 일실시예에 따른 클라이언트시스템의 동작 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.

Claims

악성진단프로그램이 비정상적으로 종료되는지 여부를 판단하는 판단단계;

상기 악성진단프로그램이 비정상적으로 종료되는 것으로 판단되면, 상기 악성진단프로그램의 비정상적인 종료와 관련된 종료관련정보를 생성하는 정보생성단계; 및

상기 종료관련정보를 서버로 제공하여, 상기 서버가 상기 종료관련정보에 기초하여 상기 악성진단프로그램을 종료시킨 악성프로그램을 인지하고 상기 인지한 악성프로그램을 진단대상으로 추가할 수 있도록 하는 제공단계를 포함하는 것을 특징으로 하는 클라이언트시스템의 동작 방법.
제 1 항에 있어서,

상기 판단단계는,

상기 악성진단프로그램의 종료와 관련된 행위가 기 설정된 정상종료절차에 따른 행위가 아닌 경우, 상기 악성진단프로그램이 비정상적으로 종료되는 것으로 판단하는 것을 특징으로 하는 클라이언트시스템의 동작 방법.
제 1 항에 있어서,

상기 정보생성단계는,

상기 클라이언트시스템에서 실행되는 각 프로그램에 의한 행위가 기록된 로그정보를 기초로, 상기 악성진단프로그램을 공격한 프로그램을 검색하고, 상기 검색한 프로그램에 대한 정보를 상기 종료관련정보로 생성하는 것을 특징으로 하는 클라이언트시스템의 동작 방법.
제 1 항에 있어서,

상기 정보생성단계는,

상기 악성진단프로그램이 비정상적으로 종료된 시점에 실행 중인 프로그램 중에서 인증되지 않은 적어도 하나의 프로그램을 확인하고, 상기 확인한 적어도 하나의 프로그램에 대한 정보를 상기 종료관련정보로 생성하는 것을 특징으로 하는 클라이언트시스템의 동작 방법.
제 3 항 또는 제 4 항에 있어서,

상기 종료관련정보를 제공받은 상기 서버는,

상기 종료관련정보에 따른 프로그램을 상기 악성프로그램으로 인지하거나, 또는 상기 종료관련정보에 따른 적어도 하나의 프로그램을 순차적으로 실행하여 상기 적어도 하나의 프로그램 중 상기 서버에서 실행 중인 상기 악성진단프로그램을 종료시키는 프로그램을 상기 악성프로그램으로 인지하는 것을 특징으로 하는 클라이언트시스템의 동작 방법.
악성진단프로그램이 비정상적으로 종료되는지 여부를 판단하는 비정상종료판단부;

상기 악성진단프로그램이 비정상적으로 종료되는 것으로 판단되면, 상기 악성진단프로그램의 비정상적인 종료와 관련된 종료관련정보를 생성하는 정보생성부; 및

상기 종료관련정보를 서버로 제공하여, 상기 서버가 상기 종료관련정보에 기초하여 상기 악성진단프로그램을 종료시킨 악성프로그램을 인지하고 상기 인지한 악성프로그램을 진단대상으로 추가할 수 있도록 하는 정보제공부를 포함하는 것을 특징으로 하는 클라이언트시스템.
제 6 항에 있어서,

상기 정보생성부는,

상기 클라이언트시스템에서 실행되는 각 프로그램에 의한 행위가 기록된 로그정보를 기초로, 상기 악성진단프로그램을 공격한 프로그램을 검색하고, 상기 검색한 프로그램에 대한 정보를 상기 종료관련정보로 생성하는 것을 특징으로 하는 클라이언트시스템.
제 6 항에 있어서,

상기 정보생성부는,

상기 악성진단프로그램이 비정상적으로 종료된 시점에 실행 중인 프로그램 중에서 인증되지 않은 적어도 하나의 프로그램을 확인하고, 상기 확인한 적어도 하나의 프로그램에 대한 정보를 상기 종료관련정보로 생성하는 것을 특징으로 하는 클라이언트시스템.
제 7 항 또는 제 8 항에 있어서,

상기 종료관련정보를 제공받은 상기 서버는,

상기 종료관련정보에 따른 프로그램을 상기 악성프로그램으로 인지하거나, 또는 상기 종료관련정보에 따른 적어도 하나의 프로그램을 순차적으로 실행하여 상기 적어도 하나의 프로그램 중 상기 서버에서 실행 중인 상기 악성진단프로그램을 종료시키는 프로그램을 상기 악성프로그램으로 인지하는 것을 특징으로 하는 클라이언트시스템.
제 1 항 내지 제 5 항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.