WO2018056601A1

WO2018056601A1 - 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법

Info

Publication number: WO2018056601A1
Application number: PCT/KR2017/009512
Authority: WO
Inventors: 이병곤
Original assignee: 주식회사 위드네트웍스
Priority date: 2016-09-22
Filing date: 2017-08-30
Publication date: 2018-03-29
Also published as: US20190171826A1; JP2019531519A; KR20180032409A; KR101883713B1

Abstract

본 발명은 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치에 관한 것으로, 사용자 컴퓨터에서 시작이 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 확인하고, 상기 프로그램의 부모 프로세스가 신뢰할 수 있는 프로그램인지를 확인하여, 상기 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 접근 허용 프로그램 확인부; 보호하고자 하는 콘텐츠 파일 정보를 등록한 화이트 리스트 등록부; 및 상기 프로세스의 프로그램이 상기 접근 허용 프로그램 확인부에서 판단한 콘텐츠 파일에 접근이 허용되는 프로그램인 경우에 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 허용하고, 상기 프로세스의 프로그램이 상기 접근 허용 프로그램 확인부에서 판단한 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 차단하는 콘텐츠 파일 접근 제어부;를 포함한다.

Description

콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법

본 발명은 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 그 방법에 관한 것이다.

랜섬웨어란 악성코드(malware)의 일종으로, 사용자의 동의 없이 사용자 컴퓨터에 불법으로 설치되어 사용자의 파일을 암호화해서 사용이 불가능 하게 만들어, 암호를 해독하기 위한 비밀번호를 알려주는 대가로 금전적인 요구를 하는 악성 프로그램을 말한다.

랜섬웨어가 공격자의 주요 수익원이 되면서 유포 방식과 파일 형태도 다양해지고 있으며, 랜섬웨어 공격에 대한 피해가 점차 커지고 있다. 따라서 이에 대한 방어 기술이 필요하게 되었다.

이러한 문제점을 해결하기 위하여 시그니처(Signature) 기반 탐지, 행위기반 탐지, 디코이 기반 탐지, 파일 백업 기반 방어 등의 랜섬웨어를 방어하기 위한 다양한 탐지 장치 및 방법이 사용되고 있다.

기존 보안 솔루션들이 사용하는 위와 같은 기술들은 바이러스, 트로이 목마와 같은 악성프로그램을 탐지하기 위한 기술들이며 암호화 자체를 막을 수 없는 문제점이 있다.

본 발명에 의한 랜섬웨어 차단 장치 및 차단 방법에 의하여 사용자 콘텐츠 파일에 대한 무단암호화를 탐지하여 차단하고자 한다.

또한, 랜섬웨어만을 구분하여 탐지 및 차단하지 않고 범위를 더 넓혀 콘텐츠 파일에 대한 수정 권한이 없는 프로그램이 콘텐츠 파일에 무작위 접근을 할 때 제어하는 장치 및 방법을 제공하고자 한다.

본 발명에 따른 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치는 사용자 컴퓨터에서 시작이 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 확인하고, 상기 프로그램의 부모 프로세스가 신뢰할 수 있는 프로그램인지를 확인하여, 상기 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 접근 허용 프로그램 확인부; 보호하고자 하는 콘텐츠 파일 정보를 등록한 화이트 리스트 등록부; 및 상기 프로세스의 프로그램이 상기 접근 허용 프로그램 확인부에서 판단한 콘텐츠 파일에 접근이 허용되는 프로그램인 경우에 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 허용하고, 상기 프로세스의 프로그램이 상기 접근 허용 프로그램 확인부에서 판단한 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 차단하는 콘텐츠 파일 접근 제어부;를 포함한다.

상기 접근 허용 프로그램 확인부는 프로세스 시작 감지부, 신뢰 프로그램 확인부, 프로세스 트리 추적부 및 콘텐츠 파일 접근 허용 정보 저장부를 포함한다.

상기 프로세스 시작 감지부는 사용자 컴퓨터에서 프로세스가 시작되는 것을 감지한다.

상기 신뢰 프로그램 확인부는 상기 프로세스 시작 감지부에서 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지 여부를 판단한다.

상기 신뢰할 수 있는 프로그램은 사용자가 사용자 컴퓨터에 설치한 프로그램 또는 사용자 컴퓨터에 기본설치되는 프로그램 중 어느 하나이다.

상기 프로세스 트리 추적부는 상기 프로세스의 프로그램에 대한 부모 프로세스 경로 정보를 얻는다.

상기 콘텐츠 파일 접근 허용 정보 저장부는 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에, 상기 프로그램에 대한 부모 프로세스 경로 정보를 획득하여 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램이면 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지 판단하고, 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 상기 콘텐츠 파일에 접근이 허용되는 프로그램으로 저장한다.

상기 콘텐츠 파일 접근 허용 정보 저장부는 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에, 상기 프로그램에 대한 부모 프로세스 경로 정보를 획득하여 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램이면 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지 판단하는 단계를 반복하여 최종적인 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 상기 콘텐츠 파일에 접근이 허용되는 프로그램으로 저장한다.

상기 콘텐츠 파일 접근 제어부는 파일 접근 감지부, 화이트 리스트 확인부, 콘텐츠 파일 접근 허용 정보 확인부 및 프로세스 차단부를 포함한다.

상기 파일 접근 감지부는 상기 프로세스가 상기 콘텐츠 파일에 접근하여 수정하려고 시도하려는 것을 감지한다.

상기 화이트 리스트 확인부는 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록된 파일인지를 확인한다.

상기 콘텐츠 파일 접근 허용 정보 확인부는 상기 프로세스의 프로그램이 상기 콘텐츠 파일 접근 허용 정보 저장부에 저장된 콘텐츠 파일에 접근이 허용되는 프로그램인지를 확인한다.

상기 프로세스 차단부는 상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되지 않은 프로그램일 경우에, 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 차단한다.

본 발명에 따른 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법은 사용자 컴퓨터에서 시작이 감지된 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 단계; 및 상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에, 보호하고자 하는 콘텐츠 파일 정보를 등록한 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 상기 프로세스가 접근하는 것을 차단하는 단계를 포함하고, 상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 단계는, 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 판단하는 단계; 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 프로세스 트리를 추적하여 상기 프로세스의 프로그램에 대한 부모 프로세스 정보를 획득하고, 획득된 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 판단하고, 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지를 판단하는 것을 포함하는 부모 프로세스 정보 확인 단계; 및 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 콘텐츠 파일 접근 허용 프로그램으로 저장하는 단계;를 포함한다.

상기 프로그램이 신뢰할 수 있는 프로그램인지를 판단하는 단계는, 상기 프로그램이 사용자가 사용자 컴퓨터에 설치한 프로그램 또는 사용자 컴퓨터에 기본설치되는 프로그램 중 어느 하나인지를 판단한다.

상기 부모 프로세스 정보 확인 단계는, 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에, 프로세스 트리를 추적하여 상기 프로세스의 프로그램에 대한 부모 프로세스 정보를 획득하는 단계, 획득된 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 판단하는 단계, 및 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지를 판단하는 단계를 반복하여, 최종적인 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지를 판단하는 단계를 포함한다.

상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 상기 프로세스가 접근하는 것을 차단하는 단계는, 상기 프로세스가 상기 콘텐츠 파일에 접근하여 콘텐츠 파일을 수정하려고 시도하려는 것을 감지하는 단계; 상기 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록된 콘텐츠 파일인지 를 확인하는 단계; 상기 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록된 콘텐츠 파일로 판단되면, 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램인지를 확인하는 단계; 및 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램이 아니면 상기 콘텐츠 파일에 상기 프로세스가 접근하는 것을 차단하는 단계를 포함한다.

상기 프로세스가 상기 콘텐츠 파일에 접근하여 콘텐츠 파일을 수정하려고 시도하려는 것을 감지하는 단계는, 상기 사용자 컴퓨터의 운영체제에 미니필터를 등록하여 파일 수정 시도를 감지한다.

본 발명에 의하면, 사용자 파일에 대한 무단암호화를 탐지 및 차단할 수 있는 장치 및 방법을 제공할 수 있으며, 또한 콘텐츠 파일에 대한 수정 권한이 없는 프로그램이 콘텐츠 파일에 무작위 접근 할 때 이를 제어하는 장치 및 방법을 제공할 수 있는 효과가 있다.

이하, 본 발명의 실시예가 제공한 기술방안을 보다 명확히 해석하기 위하여, 실시예에 대한 설명에 필요한 도면을 간략하게 소개한다. 이하에서 설명하는 도면은 본 발명의 모든 실시예이며, 본 기술분야의 통상의 지식을 가진 자는 진보성 창출에 힘쓰지 않는 전제하에 이러한 도면에 의하여 진일보로 다른 도면을 얻을 수 있는 것은 물론이다.

도 1은 본 발명의 일 실시예에 따른 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치의 세부적인 블럭도이다.

도 2a는 윈도우 상에서 사용자가 사용자 컴퓨터에 설치한 프로그램을 나타내는 예시도이고, 도 2b는 사용자 컴퓨터에 기본설치되는 프로그램을 나타내는 예시도이다.

도 3은 프로세스 트리를 이용하여 부모 프로세스 경로를 얻는 과정을 나타낸 도면이다.

도 4는 본 발명에 따른 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 방법(S100)을 나타내는 흐름도이다.

도 5는 본 발명에 따른 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근하는 것을 허용하는 방법(S200)을 나타내는 흐름도이다.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

먼저, 본 발명에서 사용되는 기술용어인 콘텐츠 파일에 대하여 정의한다. 콘텐츠 파일이란 사용자 컴퓨터에서 사용자가 필요한 정보를 저장한 파일, 예를 들어 .xls, .doc, .pdf, .jpg, avi, .rar, .zip, .mp4, .png, .psd, .hwp, .java, js 등을 말한다. 상기 콘텐츠 파일은 사용자 컴퓨터에 내장된 로컬(local) 저장 공간에 저장되어 있을 수도 있고, 상기 사용자 컴퓨터에 탈착이 가능한 외장 메모리 카드에 저장되어 있을 수도 있다. 상기 외장 메모리 카드는 SD(Secure Digital)카드, 멀티미디어 카드(Multi Media Card; MMC), 컴팩트 플래시(Compact Flash: CF) 카드, 마이크로 드라이브(Micro Drive), 메모리 스틱(Memory Stick), 스마트 미디어(Smart Media) 카드, xD 픽처(Extreme Digital Picture) 카드 중 하나일 수 있다. 또한, USB(Universal Serial Bus) 메모리, SSD(Soli State Drive)에 저장되어 있을 수 있다. 나아가, 상기 사용자 컴퓨터 외부에 형성되는 클라우드 서비스를 이용한 외부 저장 공간에 저장된 파일일 수도 있다.

이와 같은 콘텐츠 파일은 사용자에게 필요한 정보가 저장되어 있으므로, 콘텐츠 파일에 대한 랜섬웨어의 접근을 차단할 필요가 있다.

이하 본 발명의 랜섬웨어를 차단하기 위한 장치 및 방법을 설명한다.

도 1을 참조하면, 본 발명의 일 실시예에 의한 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치(100)는 사용자 컴퓨터의 콘텐츠 파일에 랜섬웨어가 접근하여 수정하려는 경우에 이를 차단하기 위한 장치로서, 접근 허용 프로그램 확인부(10), 화이트 리스트 등록부(20) 및 콘텐츠 파일 접근 제어부(30)를 포함한다. 여기서 상기 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치(100)는 그 외 다른 기기와의 연결을 위한 인터페이스부 또는 소정의 네트워크 통신부를 더 포함할 수 있다.

상기 사용자 컴퓨터는 데스크 탑 컴퓨터, 스마트 폰, 태블릿 컴퓨터 등을 포함할 수 있다. 또한, 상기 사용자 컴퓨터는 운영체제(Operation System; OS)를 기반으로 다양한 프로그램을 실행할 수 있으며, 상기 운영체제는 Windows XP, Windows 7, Windows 8, Windows 10 등을 포함하는 Microsoft사의 운영체제를 모두 포함할 수 있다.

먼저, 상기 접근 허용 프로그램 확인부(10)는 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하고 분류한다. 이와 같은 판단 및 분류를 위하여 접근 허용 프로그램 확인부(10)는 프로세스 시작 감지부(11), 신뢰 프로그램 확인부(12), 프로세스 트리 추적부(13), 콘텐츠 파일 접근 허용 정보 저장부(14)를 포함한다.

상기 프로세스 시작 감지부(11)는 사용자 컴퓨터에서 특정 프로세스가 시작되는 것을 감지한다. 상기 프로세스는 상기 사용자 컴퓨터에서 프로그램이 실행되는 것이다.

상기 신뢰 프로그램 확인부(12)는 상기 프로세스 시작 감지부(11)에서 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지 여부를 판단한다. 여기서 신뢰할 수 있는 프로그램이란 사용자가 사용자 컴퓨터에 설치한 프로그램 또는 사용자 컴퓨터에 기본설치되는 프로그램 중 어느 하나이다.

도 2a를 참조하면, 사용자가 사용자 컴퓨터에 설치한 프로그램이 Windows//Programe Files 하부 목록에 개시되어 있다.

또한, 도 2b를 참조하면, 사용자 컴퓨터에 기본설치되는 프로그램으로 Windows 하부에 bfsvc.exe, explorer.exe, HelpPane.exe, hh.exe, IERegBack.exe, ImageSAFERSvc.exe, notepad.exe 등 다양한 프로그램이 개시되어 있다.

상기 프로세스 트리 추적부(13)는 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 상기 프로그램에 대한 부모 프로세스 경로 정보를 얻는다. 상기 부모 프로세스 경로 정보는 프로세스 트리를 추적하여 파악할 수 있다.

상기 프로세스 트리 추적부(13)는 이후 상기 부모 프로세스가 신뢰할 수 있는 프로그램인 경우에 그것이 최종적으로 Explorer.exe 또는 Services.exe인지 여부를 판단한다.

도 3을 참조하면, 상기 프로세스의 프로그램이 notepad.exe인 경우에 notepad.exe의 프로세스 ID와 부모 프로세스 ID를 구하고(①), 부모 프로세스 ID를 추적하여 부모 프로세스를 확인한다(②). 도 3의 실시예에서는 explorer.exe가 부모 프로세스의 프로그램임을 알 수 있다.

상기 콘텐츠 파일 접근 허용 정보 저장부(14)는 상기 부모 프로세스의 프로그램이 최종적으로 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 상기 콘텐츠 파일에 접근이 허용되는 프로그램으로 저장한다. 또한 상기 프로세스의 프로그램이 신뢰할 수 없는 프로그램인 경우와, 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에도 상기 프로세스의 프로그램에 대한 부모 프로세스가 신뢰할 수 없는 프로그램인 경우에는 상기 프로세스의 프로그램을 상기 콘텐츠 파일에 접근 권한이 없는 프로그램으로 저장한다.

도 3의 실시예에서는 상기 부모 프로세스의 프로그램이 최종적으로 Explorer.exe 이므로, 상기 notepad.exe를 상기 콘텐츠 파일에 접근이 허용되는 프로그램으로 저장한다.

상기 화이트 리스트 등록부(20)는 보호하고자 하는 콘텐츠 파일 정보를 화이트 리스트(white list)로 등록한다.

상기 화이트 리스트 등록부(20)에는 콘텐츠 파일의 확장자를 등록할 수 있으며, 또한 개별적인 파일을 등록할 수도 있다.

상기 콘텐츠 파일 접근 제어부(30)는 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램인 경우에는 콘텐츠 파일에 대한 접근을 허용하고, 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에 상기 프로세스가 상기 콘텐츠 파일에 접근하여 수정하는 것을 차단한다. 상기 콘텐츠 파일 접근 제어부(30)는 파일 접근 감지부(31), 화이트 리스트 확인부(32), 콘텐츠 파일 접근 허용 정보 확인부(33) 및 프로세스 차단부(34)를 포함한다.

상기 파일 접근 감지부(31)는 상기 프로세스가 상기 콘텐츠 파일에 접근하여 상기 콘텐츠 파일을 수정하려고 시도하려는 것을 감지한다. 구체적으로 운영체제에 미니필터를 등록하여 파일 수정 시도를 감지할 수 있다.

상기 화이트 리스트 확인부(32)는 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부(20)에 등록된 파일인지 여부를 확인한다.

이때 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부(20)에 등록되지 않은 파일인 경우에는 상기 프로세스가 상기 사용자 컴퓨터에 저장된 콘텐츠 파일에 접근하여 콘텐츠 파일을 수정하는 것을 허용할 수 있다.

상기 콘텐츠 파일 접근 허용 정보 확인부(33)는 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부(20)에 등록된 콘텐츠 파일인 경우에 상기 프로세스의 프로그램이 상기 콘텐츠 파일 접근 허용 정보 저장부(14)에 저장된 콘텐츠 파일에 접근이 허용되는 프로그램인지 여부를 확인한다.

상기 프로세스 차단부(34)는 상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되지 않은 프로그램이면 상기 프로세스의 상기 콘텐츠 파일에 대한 접근을 차단하고 상기 프로세스를 종료하고, 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램이면 상기 프로세스의 상기 콘텐츠 파일에 대한 접근을 허용한다.

본 발명의 일 실시예에 의한 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치(100)는 세부적인 블럭으로 구분되어 있으나, 하나로 통합되거나 다양한 형태로 분류될 수 있다.

이와 같은 장치에 의하여 콘텐츠 파일에 대한 수정 권한이 없는 프로세스가 콘텐츠 파일에 무작위 접근을 할 때 이를 차단하면 랜섬웨어을 차단할 수 있으며, 그에 따라 랜섬웨어에 의한 피해를 줄일 수 있는 효과가 있다.

이하 본 발명에 따른 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법을 도 4 및 도 5을 참조하여 설명한다.

먼저, 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 방법에 대하여 설명한다.

도 4를 참조하면, 먼저 사용자 컴퓨터에서 프로세스가 시작되는 것을 감지한다(S101).

이후 시작이 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지 여부를 판단한다(S102). 여기서 신뢰할 수 있는 프로그램이란 사용자가 사용자 컴퓨터에 설치한 프로그램 또는 사용자 컴퓨터에 기본설치되는 프로그램 중 어느 하나이다.

여기서, 시작이 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에는 프로세스 트리를 추적하여 상기 프로세스의 프로그램에 대한 부모 프로세스 정보를 획득한다(S103).

이후 획득된 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지 여부를 판단한다(S104).

상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에는 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지 여부를 판단한다(S105).

상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에는 상기 프로세스의 프로그램을 콘텐츠 파일 접근 허용 프로그램으로 저장한다(S106).

만약 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe이 아닌 경우에는 다시 상기 부모 프로세스의 프로그램에 대한 상위 부모 프로세스 정보를 얻는다(S103). 이후 다시 상기 상위 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지 여부를 판단한다(S104). 이와 같은 과정은 상기 부모 프로세스의 부모 프로세스가 Explorer.exe 또는 Services.exe인 경우까지 계속하여 반복한다.

따라서 최종적으로 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에, 상기 프로세스의 프로그램을 콘텐츠 파일 접근 허용 프로그램으로 정보를 저장한다(S106).

만약 시작이 감지된 프로세스의 프로그램이 신뢰할 수 없는 프로그램인 경우에는 콘텐츠 파일에 대한 접근 권한이 없는 것으로 판단한다(S107). 또한 상기 부모 프로세스가 신뢰할 수 없는 프로그램인 경우에도 콘텐츠 파일에 대한 접근 권한이 없는 것으로 판단한다(S107).

이와 같은 단계를 거쳐 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단할 수 있다.

도 5를 참조하면, 특정 프로세스가 콘텐츠 파일에 접근하여 콘텐츠 파일을 수정하려고 시도하려는 것을 감지한다(S201). 구체적으로 운영체제에 미니필터를 등록하여 파일 수정 시도를 감지할 수 있다.

이후 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부에 저장된 콘텐츠 파일인지 여부를 확인한다(S202).

이때 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록되지 않은 콘텐츠 파일인 경우에는 상기 프로세스가 상기 사용자 컴퓨터에 저장된 콘텐츠 파일에 접근 및 파일을 수정하는 것을 허용할 수 있다(S204).

상기 프로세스가 수정하려고 시도하는 파일이 상기 화이트 리스트 등록부에 등록된 콘텐츠 파일로 판단되면, 상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 방법(S100)에 의하여 판단된 콘텐츠 파일 접근 허용 프로그램인지 여부를 확인한다(S203).

이때 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램이면, 상기 프로세스의 상기 콘텐츠 파일에 대한 접근을 허용하고(S204), 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램이 아니면, 상기 프로세스의 상기 콘텐츠 파일에 대한 접근을 차단하고 프로세스를 종료한다(S205).

이와 같은 단계를 거쳐 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근을 허용 또는 차단할 수 있다.

이와 같이 프로세스가 시작되면 콘텐츠 파일에 접근하려는 프로그램의 정보 및 그 부모 프로세스 정보를 추적하고 파악하여 상기 프로세스의 콘텐츠 파일에 대한 접근을 허용 및 차단함으로써, 랜섬웨어에 의한 콘텐츠 파일의 피해를 방지할 수 있으며, 또한 랜섬웨어만을 구분하여 탐지 및 차단하지 않고 범위를 더 넓혀 콘텐츠 파일에 대한 수정 권한이 없는 프로그램의 콘텐츠 파일에 대한 무작위 접근을 제어할 수 있는 효과가 있다.

이와 같은 콘텐츠 파일 접근 제어 기술을 사용하면 사용자가 직접 문서파일을 열어 수정하는 것인지, 비합법적인 프로그램이 파일을 열어 수정하는 것인지 구분이 가능하게 된다. 따라서 랜섬웨어가 어떤식으로 동작하던지, 랜섬웨어의 유입경로 및 형태에 상관없이, 랜섬웨어가 수정권한을 가지고 사용자의 콘텐츠 파일에 접근했을 경우에 랜섬웨어를 즉시 차단할 수 있으며, 사용자 컴퓨터의 보안성을 비약적으로 상승시킬 수 있는 효과가 있다.

위에서 언급한 것은 단지 본 발명의 바람직한 실시 예일 뿐 본 발명을 한정하기 위한 것이 아니다. 본 발명의 정신과 원리의 범주 내에서 진행하는 모든 수정, 등가적 대체와 개선은 모두 본 발명의 보호범위 내에 속해야 할 것이다.

(부호의 설명)

100 : 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치

10 : 접근 허용 프로그램 확인부

20 : 화이트 리스트 등록부

30 : 콘텐츠 파일 접근 제어부

11 : 프로세스 시작 감지부

12 : 신뢰 프로그램 확인부

13 : 프로세스 트리 추적부

14 : 콘텐츠 파일 접근 허용 정보 저장부

31 : 파일 접근 감지부

32 : 화이트 리스트 확인부

33 : 콘텐츠 파일 접근 허용 정보 확인부

34 : 프로세스 차단부

Claims

사용자 컴퓨터에서 시작이 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 확인하고, 상기 프로그램의 부모 프로세스가 신뢰할 수 있는 프로그램인지를 확인하여, 상기 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 접근 허용 프로그램 확인부;

보호하고자 하는 콘텐츠 파일 정보를 등록한 화이트 리스트 등록부; 및

상기 프로세스의 프로그램이 상기 접근 허용 프로그램 확인부에서 판단한 콘텐츠 파일에 접근이 허용되는 프로그램인 경우에 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 허용하고, 상기 프로세스의 프로그램이 상기 접근 허용 프로그램 확인부에서 판단한 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 차단하는 콘텐츠 파일 접근 제어부;를 포함하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
제1항에 있어서,

상기 접근 허용 프로그램 확인부는 프로세스 시작 감지부, 신뢰 프로그램 확인부, 프로세스 트리 추적부 및 콘텐츠 파일 접근 허용 정보 저장부를 포함하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
제2항에 있어서,

상기 프로세스 시작 감지부는 사용자 컴퓨터에서 프로세스가 시작되는 것을 감지하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
제2항에 있어서,

상기 신뢰 프로그램 확인부는 상기 프로세스 시작 감지부에서 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지 여부를 판단하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
제4항에 있어서,

상기 신뢰할 수 있는 프로그램은 사용자가 사용자 컴퓨터에 설치한 프로그램 또는 사용자 컴퓨터에 기본설치되는 프로그램 중 어느 하나인 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
제2항에 있어서,

상기 프로세스 트리 추적부는 상기 프로세스의 프로그램에 대한 부모 프로세스 경로 정보를 얻는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
제6항에 있어서,

상기 콘텐츠 파일 접근 허용 정보 저장부는 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에, 상기 프로그램에 대한 부모 프로세스 경로 정보를 획득하여 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램이면 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지 판단하고, 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 상기 콘텐츠 파일에 접근이 허용되는 프로그램으로 저장하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
제7항에 있어서,

상기 콘텐츠 파일 접근 허용 정보 저장부는 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에, 상기 프로그램에 대한 부모 프로세스 경로 정보를 획득하여 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램이면 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지 판단하는 단계를 반복하여 최종적인 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 상기 콘텐츠 파일에 접근이 허용되는 프로그램으로 저장하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
제2항에 있어서,

상기 콘텐츠 파일 접근 제어부는 파일 접근 감지부, 화이트 리스트 확인부, 콘텐츠 파일 접근 허용 정보 확인부 및 프로세스 차단부를 포함하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
제9항에 있어서,

상기 파일 접근 감지부는 상기 프로세스가 상기 콘텐츠 파일에 접근하여 수정하려고 시도하려는 것을 감지하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
제10항에 있어서,

상기 화이트 리스트 확인부는 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록된 파일인지를 확인하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
제9항에 있어서,

상기 콘텐츠 파일 접근 허용 정보 확인부는 상기 프로세스의 프로그램이 상기 콘텐츠 파일 접근 허용 정보 저장부에 저장된 콘텐츠 파일에 접근이 허용되는 프로그램인지를 확인하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
제9항에 있어서,

상기 프로세스 차단부는 상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되지 않은 프로그램일 경우에, 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 차단하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
사용자 컴퓨터에서 시작이 감지된 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 단계; 및

상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에, 보호하고자 하는 콘텐츠 파일 정보를 등록한 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 상기 프로세스가 접근하는 것을 차단하는 단계를 포함하고,

상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 단계는,

상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 판단하는 단계;

상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 프로세스 트리를 추적하여 상기 프로세스의 프로그램에 대한 부모 프로세스 정보를 획득하고, 획득된 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 판단하고, 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지를 판단하는 것을 포함하는 부모 프로세스 정보 확인 단계; 및

상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 콘텐츠 파일 접근 허용 프로그램으로 저장하는 단계;를 포함하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법.
제14항에 있어서,

상기 프로그램이 신뢰할 수 있는 프로그램인지를 판단하는 단계는, 상기 프로그램이 사용자가 사용자 컴퓨터에 설치한 프로그램 또는 사용자 컴퓨터에 기본설치되는 프로그램 중 어느 하나인지를 판단하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법.
제14항에 있어서,

상기 부모 프로세스 정보 확인 단계는,

상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에,

프로세스 트리를 추적하여 상기 프로세스의 프로그램에 대한 부모 프로세스 정보를 획득하는 단계, 획득된 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 판단하는 단계, 및 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지를 판단하는 단계를 반복하여, 최종적인 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지를 판단하는 단계를 포함하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법.
제14항에 있어서,

상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 상기 프로세스가 접근하는 것을 차단하는 단계는,

상기 프로세스가 상기 콘텐츠 파일에 접근하여 콘텐츠 파일을 수정하려고 시도하려는 것을 감지하는 단계;

상기 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록된 콘텐츠 파일인지 를 확인하는 단계;

상기 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록된 콘텐츠 파일로 판단되면, 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램인지를 확인하는 단계;및

상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램이 아니면 상기 콘텐츠 파일에 상기 프로세스가 접근하는 것을 차단하는 단계를 포함하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법.
제17항에 있어서,

상기 프로세스가 상기 콘텐츠 파일에 접근하여 콘텐츠 파일을 수정하려고 시도하려는 것을 감지하는 단계는, 상기 사용자 컴퓨터의 운영체제에 미니필터를 등록하여 파일 수정 시도를 감지하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법.