[go: up one dir, main page]

KR102340604B1 - 서버용 랜섬웨어 공격 차단 방법 및 시스템 - Google Patents

서버용 랜섬웨어 공격 차단 방법 및 시스템 Download PDF

Info

Publication number
KR102340604B1
KR102340604B1 KR1020190122078A KR20190122078A KR102340604B1 KR 102340604 B1 KR102340604 B1 KR 102340604B1 KR 1020190122078 A KR1020190122078 A KR 1020190122078A KR 20190122078 A KR20190122078 A KR 20190122078A KR 102340604 B1 KR102340604 B1 KR 102340604B1
Authority
KR
South Korea
Prior art keywords
backup
data
storage device
server
command
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020190122078A
Other languages
English (en)
Other versions
KR20210039629A (ko
Inventor
우종현
문민식
Original Assignee
(주)나무소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)나무소프트 filed Critical (주)나무소프트
Priority to KR1020190122078A priority Critical patent/KR102340604B1/ko
Publication of KR20210039629A publication Critical patent/KR20210039629A/ko
Application granted granted Critical
Publication of KR102340604B1 publication Critical patent/KR102340604B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

서버와 물리적으로 독립된 별개의 저장 장치로서 상기 서버 내의 보관 데이터를 백업하기 위한 용도를 가지며, 상기 서버와의 통신 접속이 가능하도록 하는 통신 인터페이스를 포함한, 백업용 스토리지 장치; 및 상기 서버 내에 설치되어 상기 백업용 스토리지 장치와의 통신을 중개하는 서비스 에이전트;를 포함하는 랜섬웨어 공격 차단을 위한 서버용 시스템이 제공된다. 본 발명의 실시예에 의하면, 상기 백업용 스토리지 장치가 상기 서버에 스토리지 마운트된 상태에서, 상기 서버 내의 보관 데이터에 관한 상기 백업용 스토리지 장치로의 데이터 백업이 처리된 이후, 상기 백업용 스토리지 장치에 백업 처리된 백업 데이터에 관한 잠금 명령이 있는 경우, 상기 백업용 스토리지 장치는 상기 잠금 명령에 따라 해당 백업 데이터를 잠금 처리하여 해당 잠금 처리된 백업 데이터가 수정 불가능한 읽기 전용 모드로만 제공되도록 처리할 수 있다.

Description

서버용 랜섬웨어 공격 차단 방법 및 시스템{SYSTEM AND METHOD FOR ANTI-RANSOMWARE APPLICATION FOR SERVER}
본 발명은 서버용 랜섬웨어 공격 차단 방법 및 시스템에 관한 것이다.
해커들이 배포하는 랜섬웨어가 갈수록 다양화되면서 점점 더 사용자들의 데이터가 위협받고 있다. 일반적으로 랜섬웨어란 사용자의 단말기에 저장되었거나 연결된 네트워크 저장소에 보관된 데이터를 사용자가 접근할 수 없도록 암호화한 후, 금전을 요구하는 공격 기법을 말한다. 최근에는 랜섬웨어 자체가 PC 내 보관된 데이터만을 암호화 하는 것이 아니라 PC 전체를 암호화하거나, PC에 마운트된 디스크 전체를 암호화하여 랜섬머니를 요구하는 사례까지 발생하고 있다. 게다가 PC뿐만 아니라 서버에 놓여있는 전체 데이터까지 한번에 암호화하는 공격까지 발생하고 있어 근본적인 대안이 필요한 상황이다.
현재 랜섬웨어를 예방할 수 있는 유일한 현실적인 방법은 백업이지만, 백업 저장소 역시 랜섬웨어에 의해 암호화될 수 있기 때문에, 백업 이후에 백업 저장소를 네트워크에서 분리하거나 오프라인 미디어 등에 담아 별도로 보관할 것이 요구된다.
그러나 랜섬웨어의 피해를 입은 기관 및 업체들은 상술한 바와 같이 효율적으로 백업을 운영하는데 필요한 인력과 장비를 갖추기에는 영세한 경우가 많다. 따라서 별도의 관리 인력 없이 저렴한 방법으로 백업된 자료를 랜섬웨어로부터 안전하게 관리할 수 있는 방안이 요청된다.
본 발명은 별도의 서버 관리 인력 없이도 저렴하고 편리한 방법으로 서버에 보관된 데이터 및 백업된 데이터를 랜섬웨어로부터 안전하게 관리할 수 있는 서버용 랜섬웨어 공격 차단 방법 및 시스템을 제공하기 위한 것이다.
본 발명의 일 측면에 따르면, 랜섬웨어 공격 차단을 위한 서버용 시스템으로서,
서버와 물리적으로 독립된 별개의 저장 장치로서 상기 서버 내의 보관 데이터를 백업하기 위한 용도를 가지며, 상기 서버와의 통신 접속이 가능하도록 하는 통신 인터페이스를 포함한, 백업용 스토리지 장치; 및 상기 서버 내에 설치되어 상기 백업용 스토리지 장치와의 통신을 중개하는 서비스 에이전트;를 포함하고,
상기 백업용 스토리지 장치가 상기 서버에 스토리지 마운트된 상태에서, 상기 서버 내의 보관 데이터에 관한 상기 백업용 스토리지 장치로의 데이터 백업이 처리된 이후, 상기 백업용 스토리지 장치에 백업 처리된 백업 데이터에 관한 잠금 명령이 있는 경우,
상기 백업용 스토리지 장치는 상기 잠금 명령에 따라 해당 백업 데이터를 잠금 처리하여 해당 잠금 처리된 백업 데이터가 수정 불가능한 읽기 전용 모드로만 제공되도록 처리하는, 랜섬웨어 공격 차단 시스템이 제공된다.
일 실시예에서, 상기 백업용 스토리지 장치로의 데이터 백업은,
상기 서버 내의 보관 데이터에 관한 백업 명령이 이루어진 경우에 한하여, 상기 서비스 에이전트가 상기 서버로 수신된 백업 명령을 상기 백업용 스토리지 장치로 전달하고, 상기 백업용 스토리지 장치가 수신된 백업 명령에 따라 해당 보관 데이터를 백업함으로써 처리될 수 있다.
일 실시예에서, 상기 백업용 스토리지 장치는,
상기 서버로 수신된 데이터 수정 명령이 상기 서비스 에이전트로부터 전달된 경우, 상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터에 관한 것인지를 확인하고, 상기 잠금 처리된 백업 데이터에 관한 데이터 수정 명령인 것으로 확인된 경우 해당 데이터 수정 명령을 거부 처리할 수 있다.
일 실시예에서, 상기 백업용 스토리지 장치는,
상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터인 경우, 상기 잠금 처리된 백업 데이터가 상기 서버와는 다른 스토리지 장치에 스토리지 마운트되는 경우에도 상기 다른 스토리지 장치로부터 수신되는 해당 백업 데이터에 관한 데이터 수정 명령을 거부 처리하고 해당 백업 데이터가 읽기 전용 모드로만 제공되도록 처리할 수 있다.
일 실시예에서, 상기 백업용 스토리지 장치는,
상기 백업 데이터에 설정된 잠금 처리 상태를 해제하기 위한 하드웨어 스위치 또는 소프트웨어 스위치를 포함하되,
상기 잠금 처리된 백업 데이터에 대한 잠금 해제 명령이 상기 서비스 에이전트를 통해서 전달되는 경우에도, 상기 하드웨어 스위치 또는 상기 소프트웨어 스위치의 동작 전환을 통해 잠금 해제 상태로의 전환이 이루어지지 않은 경우에는 상기 잠금 해제 명령을 거부 처리할 수 있다.
일 실시예에서, 상기 백업용 스토리지 장치는,
상기 하드웨어 스위치 또는 상기 소프트웨어 스위치를 통해 상기 잠금 해제 상태로의 전환이 이루어진 경우, 잠금 처리 상태에 따른 상기 백업 데이터에 관한 읽기 전용 모드를 해제하여 해당 백업 데이터를 데이터 수정이 가능한 상태로 전환 처리할 수 있다.
일 실시예에서, 상기 잠금 해제 상태로의 전환은, 상기 백업용 스토리지 장치 내에 백업된 데이터 전체에 대하여 이루어지는 일괄 해제 방식 및 요청된 백업 데이터에 한하여 이루어지는 선택 해제 방식 중 어느 하나가 선택 가능하다.
본 발명의 실시예에 따른 서버용 랜섬웨어 공격 차단 방법 및 시스템에 의하면, 별도의 서버 관리 인력 없이도 저렴하고 편리한 방법으로 서버에 보관된 데이터 및 백업된 데이터를 랜섬웨어로부터 안전하게 보호할 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템에 있어서, 백업용 스토리지 장치가 서버에 스토리지 마운트되는 과정을 보여주는 도면.
도 2는 본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템에 있어서, 백업용 스토리지 장치가 데이터 백업 및 잠금 처리되는 과정을 보여주는 도면.
도 3은 본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템에 있어서, 백업용 스토리지 장치가 잠금 처리 해제되는 과정을 보여주는 도면.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.
또한, 명세서 전체에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다. 또한, 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하나 이상의 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 조합으로 구현될 수 있음을 의미한다.
이하, 첨부된 도면들을 참조하여 본 발명의 실시예를 설명하기에 앞서, 본 발명의 이해를 돕기 위해, 본 발명의 방식과 다른 방식들 간의 차이를 설명하면 아래와 같다.
종래의 선행기술 중 "프로그램 기반의 읽기 전용 스토리지" 구현 방식이 있는데, 이는 파일 보호 정책 상 인가된 프로그램인지 여부를 판단하여 인가된 프로그램이면 파일의 수정을 가능하게 하고 그렇지 않은 경우 읽기 전용 모드로만 동작되도록 하는 기술이다. 이러한 프로그램 기반 읽기 전용 스토리지 구현 방식은 기본적으로 파일 단위로 명령 및 응답이 이루어지게 되므로 파일 단위로 읽기 전용으로 파일을 제공하게 된다. 그러나 이러한 프로그램 기반의 읽기 전용 스토리지 구현 방식은 다음과 같은 취약점을 갖는다.
예를 들어, 리눅스 운영체제의 경우 관리자 계정(Admin account)이 탈취되게 되면, 백업 서버로 전달되는 모든 명령 또는 트래픽을 해커 측에서 열람할 수 있게 되므로, 해커가 백업 서버로 전달되는 명령을 지켜보다가 인가된 프로그램의 지문값 등을 탈취해서 리플레이 어택(즉, 해킹 프로그램을 그 인가된 프로그램 이름과 동일하게 하고, 탈취한 지문값을 백업 서버로 전달하여 마치 정상적인 프로그램인 것처럼 위장하는 공격)을 실시하면 위 기술의 보안 방식이 무력화되게 되는 취약점을 갖는다.
반면, 본 발명에 의하면, 전술한 바와 같이 관리자 계정이 탈취된 경우라도 해커에 의한 랜섬웨어 공격 등을 차단시킬 수 있게 된다. 이에 관해서는 후술할 본 발명에 관한 설명들로부터 명확히 이해될 수 있을 것이다.
다른 방식으로, "파일 생성 시간에 기반한 읽기 전용 스토리지" 구현 방식이 있다. 이는 자사에서 출원한 한국특허출원 제10-2018-0029490호에 의한 방식으로서, 파일을 읽기 전용으로만 제공하는 것을 기본으로 하되, 신규 파일의 생성이 필요한 경우에 한하여 해당 파일의 생성 요청 시점을 기준으로 소정의 시간(즉, 파일 생성 유효 시간 범위) 내에서 해당 파일의 생성을 허용하는 기술이며, 이 또한 파일 단위를 기본 단위로 하여 동작한다.
다만, 상술한 파일 생성 시간 기반의 읽기 전용 스토리지 구현 방식이 경우에도 경우에 따라서 다음과 같은 보안 상 취약점이 나타나게 된다. 즉, 파일 생성 과정에서 업로드되는 파일의 사이즈(용량)이 작은 파일은 문제가 되지 않지만, 사이즈가 큰 파일의 백업의 경우 상기 파일 생성 유효 시간 범위를 길게 줘야 하는데, 이와 같이 시간을 너무 오래 열어 놓고 있으면 그 시간 동안 외부 공격에 노출될 가능성이 커질 수 있다. 예를 들어, 백업의 경우 저장 효율을 높이기 위해서 하나의 파일 단위로 백업하는게 아니라 Tar나 ZIP 포맷으로 하나의 파일로 묶어서 백업하게 되는데 파일 사이즈가 너무 크게 되면 파일의 수정 가능 시간을 충분이 길게 부여하여야 하기 때문이다.
상술한 문제점들을 개선하기 위하여, 본 발명의 실시예에서는 "명령어 기반의 읽기 전용 스토리지" 구현 방식을 제안한다. 이러한 명령어 기반의 읽기 전용 스토리지 구현 방식은 백업 명령, 잠금 명령, 잠금 해제 명령에 의해 실행되며, 이때의 백업/잠금/잠금해제는 파일 단위로도 동작될 수 있음은 물론 폴더 단위로도 동작될 수 있다. 따라서 특정 파일에 대한 수정 요청이 있는 경우에도 해당 파일의 경로에 따라 해당 파일을 보관하고 있는 폴더(해당 폴더의 상위 폴더까지 확장됨)가 잠금 상태에 있는 경우에는 해당 파일에 관한 수정 요청이 거부된다.
이러한 백업/잠금/잠금해제 명령은 리눅스 운영체제에 의할 때 다음과 같은 명령어들에 따른 명령 구조가 활용될 수 있다.
백업 명령의 예
User>mount 192.10.1.1 localhost\backup
(Mkdir \backup\websource_backup_20190805)
Copy/Backup '\websource' '\backup\websource_backup_20190805'
잠금 명령의 예
freeze \backup\websource_backup_20190805
잠금 해제 명령의 예
Melt \backup\websource_backup_20190805 (OTP 201023)
상술한 바와 같이 잠금 해제 명령의 경우, 일회성 패스워드(OTP)에 의한 인증을 추가로 요구할 수도 있다.
상술한 바와 같이, 본 발명의 방식에 의하면, 백업된 자료를 매우 단순한 콘솔 명령(Console command)으로 특정 폴더 이하의 모든 파일 및 폴더를 잠금 처리하여 읽기 전용 모드로 바꿀 수 있다.
본 발명의 실시예에 따른 명령어 기반의 읽기 전용 스토리지 구현 방식에 의하면, 일반적으로 마운트되어 있는 드라이브에 파일을 요청하는 경우 해당 요청에 파일을 보관하는 폴더 경로도 포함되는데, 이와 같이 파일 및 폴더 경로를 기준으로 수정 요청을 제한하게 되면 매우 효율적인 보안 관리가 가능해지며, 또한 폴더 기준으로 보안 관리를 하게 되면 개별 파일별로 불필요한 메타데이터 관리(전술한 생성 시간 기반의 읽기 전용 스토리지 구현 방식의 경우 생성 시간 대비 현재 요청 시간의 차이, 전술한 프로그램 기반의 읽기 전용 스토리지 구현 방식의 경우 해당 프로그램의 속성 정보, 지문값 등)를 생략할 수 있는 이점이 있다.
이하, 도 1 ~ 도 3을 참조하여, 본 발명의 실시예들을 차례로 설명하기로 한다.
본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템은, 서버와 물리적으로 독립된 별개의 저장 장치로서 상기 서버 내의 보관 데이터를 백업하기 위한 용도를 가지며, 상기 서버와의 통신 접속이 가능하도록 하는 통신 인터페이스를 포함한 백업용 스토리지 장치(도 1 ~ 도 3의 "Mega Storage" 참조, 이하 동일함); 및 상기 서버 내에 설치되어 상기 백업용 스토리지 장치와의 통신을 중개하는 서비스 에이전트(도 1 ~ 도 3의 "Mega connector" 참조, 이하 동일함);를 포함한다.
본 발명의 랜섬웨어 공격 차단을 위한 서버용 시스템에서, 상기 백업용 스토리지 장치는, 네트워크 및 직접 연결 가능한 일반적인 스토리지와 동일한 환경을 제공한다. 즉,
NAS, DAS, SAN 등으로 연결된 일반적인 스토리지와 같이 mount / unmount를 제공하고, 운영체제의 I/O를 그대로 제공함으로 rsync와 같은 다양한 백업 유틸리티 및 툴들이 동작하는데 문제가 없도록 구현된다.
또한, 서비스 에이전트는, 그 설치 단계에서 운영체제의 서비스 레벨에서 구동될 수 있거나 운영체제의 프로그램 실행 환경 패스를 등록시켜서 어느 위치에서나 구동될 수 있도록 설치될 수 있다.
본 발명의 실시예에 의할 때, 상기 백업용 스토리지 장치가 상기 서버에 스토리지 마운트된 상태에서, 상기 서버 내의 보관 데이터에 관한 상기 백업용 스토리지 장치로의 데이터 백업이 처리된 이후, 상기 백업용 스토리지 장치에 백업 처리된 백업 데이터에 관한 잠금 명령이 있는 경우, 상기 백업용 스토리지 장치는 상기 잠금 명령에 따라 해당 백업 데이터를 잠금 처리하여 해당 잠금 처리된 백업 데이터가 수정 불가능한 읽기 전용 모드로만 제공되도록 처리하게 되는데, 이에 관해서는 이하 상세히 설명하기로 한다.
본 발명의 실시예에 의할 때, 상기 백업용 스토리지 장치로의 데이터 백업은, 상기 서버 내의 보관 데이터에 관한 백업 명령이 이루어진 경우에 한하여, 상기 서비스 에이전트가 상기 서버로 수신된 백업 명령을 상기 백업용 스토리지 장치로 전달하고, 상기 백업용 스토리지 장치가 수신된 백업 명령에 따라 해당 보관 데이터를 백업함으로써 처리될 수 있다. 이하 이에 관하여 도 1을 참조하여 설명한다. 여기서, 도 1은 본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템에 있어서, 백업용 스토리지 장치가 서버에 스토리지 마운트되는 과정을 보여주는 도면이다.
도 1을 참조할 때, 백업용 스토리지 장치(Mega Storage)는 실제 저장 장치를 내장하고 Hybrid WORM 프로그램을 탑재한 디바이스 또는 서버 장치를 의미하며, 서비스 에이전트(Mega Connector)는 고객 서비스 서버에 설치되어 백업용 스토리지 장치(Mega Storage)와 통신하는 모듈이다.
사용자가 자사 서비스 서버의 자료를 백업하기 위해서는 백업용 스토리지 장치(Mega Storage)를 자사 서비스 서버에 마운트(mount)하여야 한다. 사용자의 마운트(mount) 요청은 서비스 에이전트(Mega Connector)가 받아서 처리하며, 스토리지 마운트(mount)에 관련된 운영체제의 각종 I/O는 서비스 에이전트(Mega Connector)가 백업용 스토리지 장치(Mega Storage)를 통해 처리한 후 결과를 운영체제에 반환하는 방식으로 처리된다.
도 1의 예에서는 /media 라는 폴더 아래 backup이라는 새로운 폴더로 백업용 스토리지 장치(Mega Storage)가 마운트되는 예를 보여주고 있다.
또한 도 2는 백업용 스토리지 장치가 데이터 백업 및 잠금 처리되는 과정을 보여주는 도면이다.
본 발명의 실시예서, 상기 백업용 스토리지 장치는, 상기 서버로 수신된 데이터 수정 명령이 상기 서비스 에이전트로부터 전달된 경우, 상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터에 관한 것인지를 확인하고, 상기 잠금 처리된 백업 데이터에 관한 데이터 수정 명령인 것으로 확인된 경우 해당 데이터 수정 명령을 거부 처리한다.
도 2를 참조하면, 사용자가 /websource 의 자료를 /media/backup/websource/20180101 로 백업한 후(도 2의 (a) 참조), 잠금(lock, 이는 서비스 에이전트(Mega Connector)가 제공)을 요청하면 백업용 스토리지 장치(Mega Storage)는 해당 폴더를 잠금 처리함으로써, 이후부터는 읽기 전용 모드(read only mode)로만 동작되도록 한다(도 2의 (b) 및 (c) 참조).
이때, /media/backup/websource/20180101 폴더는 리눅스 운영체제의 경우 mkdir과 같은 명령으로 생성할 수 있다.
또한, 잠금 처리된 폴더들의 정보는 백업용 스토리지 장치(Mega Storage)의 비휘발성 메모리(데이터베이스 등)에 저장되어, 백업용 스토리지 장치(Mega Storage)에 전원 공급이 중단되어도 데이터 유지될 수 있다.
이후 사용자 또는 랜섬웨어(Ransomware)를 포함한 임의의 프로세서에 의해 /media/backup/websource/20180101 에 대한 데이터 수정 요청(예를 들어, write file, modify file, move file, delete file 등)은 모두 거부 처리된다.
또한 다른 실시예에 의할 때, 상기 백업용 스토리지 장치는, 상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터인 경우, 상기 잠금 처리된 백업 데이터가 상기 서버와는 다른 스토리지 장치에 스토리지 마운트되는 경우에도 상기 다른 스토리지 장치로부터 수신되는 해당 백업 데이터에 관한 데이터 수정 명령을 거부 처리하고 해당 백업 데이터가 읽기 전용 모드로만 제공되도록 처리할 수 있다.
즉, 잠금 처리된 폴더들의 정보는 백업용 스토리지 장치(Mega Storage)의 저장소 기준 경로로 설정(도 1의 예에서는 /websource/20180101)되며, 백업용 스토리지 장치(Mega Storage)가 다른 장치에 다른 경로(예를 들어 /media/data)에 마운트되더라도 /media/data/websource/20180101은 여전히 읽기 전용으로만 접금 가능하게 구현될 수 있다.
도 3은 백업용 스토리지 장치가 잠금 처리 해제되는 과정을 보여주는 도면이다.
본 발명의 실시예에서, 상기 백업용 스토리지 장치는, 상기 백업 데이터에 설정된 잠금 처리 상태를 해제하기 위한 하드웨어 스위치(예를 들어, 백업용 스토리지 장치에 구비된 잠금 설정 및 해제용 하드웨어 버튼 등) 또는 소프트웨어 스위치를 포함할 수 있다. 이에 따라, 상기 잠금 처리된 백업 데이터에 대한 잠금 해제 명령이 상기 서비스 에이전트를 통해서 전달되는 경우에도, 상기 하드웨어 스위치 또는 상기 소프트웨어 스위치의 동작 전환을 통해 잠금 해제 상태로의 전환이 이루어지지 않은 경우에는 상기 잠금 해제 명령을 거부 처리할 수 있다(도 3의 (d) 참조).
이에 따라, 상기 백업용 스토리지 장치는, 상기 하드웨어 스위치 또는 상기 소프트웨어 스위치를 통해 상기 잠금 해제 상태로의 전환이 이루어진 경우, 잠금 처리 상태에 따른 상기 백업 데이터에 관한 읽기 전용 모드를 해제하여 해당 백업 데이터를 데이터 수정이 가능한 상태로 전환 처리할 수 있다(도 3의 (e) 및 (f) 참조).
이때, 상기 잠금 해제 상태로의 전환은, 상기 백업용 스토리지 장치 내에 백업된 데이터 전체에 대하여 이루어지는 일괄 해제 방식 및 요청된 백업 데이터에 한하여 이루어지는 선택 해제 방식 중 어느 하나가 선택 가능하다.
상술한 바와 같이, 본 발명에서는, 기본적으로 한번 잠금 처리된 폴더 및 그 이하의 파일 및 폴더들에 대해서는 읽기 전용으로만 접근 가능하며, 사용자에 의한 임의의 잠금 해제는 불가능하도록 구현될 수 있다. 그러나 잠금 처리된 폴더가 증가하다 보면, 백업용 스토리지 장치(Mega Storage)의 쓰기 가능한 영역은 계속 줄어들게 된다. 따라서, 스토리지를 재사용할 수 있도록 잠금 해제할 수 있는 기능을 두어야 하는데, 본 발명의 백업용 스토리지 장치(Mega Storage)에서는 하드웨어 스위치(physical switch (the protect switch)) 또는 소프트웨어 스위치를 오프(off)하는 동작으로 잠금 해제가 처리되게 된다. 이와 같이 해당 스위치(The protect switch)가 오프(off)되어 있는 동안은 특정 폴더를 잠금 해제 처리하거나 백업용 스토리지 장치(Mega Storage) 전체를 잠금 해제 처리하는 것이 가능하다. 물론 하드웨어 스위치 및 소프트웨어 스위치의 온/오프 방식 이외에도 OTP(one time password)를 이용한 온/오프(즉, 잠금 및 잠금 해제) 방식도 적용 가능하다.
상술한 바와 같은 잠금 및 잠금 해제 방식과 관련하여서는 다음과 같은 다양한 방식이 더 존재할 수 있다. 이하 이에 관한 다양한 실시예들을 설명하기로 한다.
본 발명의 일 실시예에 의할 때, 백업용 스토리지 장치의 잠금 처리는 사전 지정된 잠금 명령(ex. freeze 명령어를 이용한 잠금 명령)이 수동 입력되어야만 실행되는(즉, 읽기 전용으로 변경하는) 방식에 의할 수도 있지만, 소정 조건에 따라 자동으로 실행되도록 할 수도 있다. 일 예로, 사용자 단말에 설치된 클라이언트 프로그램으로부터 해당 네트워크 드라이브로 들어오는 파일 이벤트가 파일/폴더 생성 이벤트(ex. create 이벤트)인 경우 해당 파일의 생성을 허용하다가, 해당 파일/폴더의 종료 이벤트(ex. close 이벤트)가 들어오면 자동으로 해당 파일/폴더에 관한 잠금 처리를 실행하는 방식이 적용될 수도 있다.
여기서, File handle을 close하는 I/O event를 발생시키는 C 함수로는 윈도우즈 OS에 의할 때 아래의 2가지 C 함수가 대표적으로 이용될 수 있다.
int fclose(FILE *stream)
BOOL CloseHandle(HANDLE hObject)
또한 여기서, File handle을 close하는 I/O event를 발생시키는 C 함수로는 Linux / Unix OS에 의할 때 아래와 같은 C 함수가 대표적으로 이용될 수 있다.
int close(int fd)
위와 같이 File Handle을 닫는 API를 프로그램이 호출하면, File handle을 close하는 I/O event가 발생하며, 이 event는 File System에게 전달된다. 이 경우, Windows는 Callback File System (File System Driver)에 의해 이 I/O가 감지되며, Linux는 FUSE를 통해 이 I/O가 감지될 수 있다.
또한 특정 Application이 File Handle을 열어둔 채로 종료하게 되면 일반적으로 OS에 의해 강제로 열려진 File Handle 들이 닫혀지고 이때에도 동일한 event I/O가 발생한다.
위에 설명한 함수는 C 언어에서 사용하는 것들이며, 각 언어별로 파일 핸들을 닫는 함수들이 별도로 존재한다. 해당 함수들은 모두 File System으로 File handle을 Close 하는 Event을 발생시킨다.
또한 이상에서는 하드웨어 스위치 등을 이용한 온/오프 선택을 통해서 백업용 스토리지 장치에 보관된 데이터를 폴더 단위로 읽기 전용화하거나 읽기 전용 해제하는 방식을 주로 설명하였지만, 시스템 설계 방식에 따라 상술한 바와 같이 파일의 종료 이벤트를 감지하여 자동으로 읽기 전용 모드로 변경하는 방식을 채용하되, 하드웨어 스위치 등이 온된 상태에서는 해당 디스크의 초기화 명령이 있는 경우에도 디스크 초기화가 동작되지 않는 방식이 적용될 수도 있다.
이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.

Claims (7)

  1. 랜섬웨어 공격 차단을 위한 서버용 시스템으로서,
    서버와 물리적으로 독립된 별개의 저장 장치로서 상기 서버 내의 보관 데이터를 백업하기 위한 용도를 가지며, 상기 서버와의 통신 접속이 가능하도록 하는 통신 인터페이스를 포함한, 백업용 스토리지 장치; 및 상기 서버 내에 설치되어 상기 백업용 스토리지 장치와의 통신을 중개하는 서비스 에이전트;를 포함하고,
    상기 백업용 스토리지 장치는,
    상기 백업용 스토리지 장치가 상기 서버에 스토리지 마운트된 상태에서, 상기 서버 내의 보관 데이터에 관한 상기 백업용 스토리지 장치로의 데이터 백업이 처리된 이후, 상기 백업용 스토리지 장치에 백업 처리된 백업 데이터에 관하여 상기 서비스 에이전트로부터의 잠금 명령이 수신되는 경우, 상기 잠금 명령에 따라 해당 백업 데이터를 잠금 처리하여 해당 잠금 처리된 백업 데이터가 수정 불가능한 읽기 전용 모드로만 제공되도록 처리하고,
    상기 백업 데이터에 설정된 잠금 처리 상태를 해제하기 위한 하드웨어 스위치 또는 소프트웨어 스위치를 포함함으로써, 상기 잠금 처리된 백업 데이터에 대한 잠금 해제 명령이 상기 서비스 에이전트를 통해서 전달되는 경우에도, 상기 하드웨어 스위치 또는 상기 소프트웨어 스위치의 동작 전환을 통해 잠금 해제 상태로의 전환이 이루어지지 않은 경우에는 상기 잠금 해제 명령을 거부 처리하며,
    상기 하드웨어 스위치 또는 상기 소프트웨어 스위치를 통해 상기 잠금 해제 상태로의 전환이 이루어진 경우, 잠금 처리 상태에 따른 상기 백업 데이터에 관한 읽기 전용 모드를 해제하여 해당 백업 데이터를 데이터 수정이 가능한 상태로 전환 처리하는, 랜섬웨어 공격 차단 시스템.
  2. 제1항에 있어서,
    상기 백업용 스토리지 장치로의 데이터 백업은,
    상기 서버 내의 보관 데이터에 관한 백업 명령이 이루어진 경우에 한하여, 상기 서비스 에이전트가 상기 서버로 수신된 백업 명령을 상기 백업용 스토리지 장치로 전달하고, 상기 백업용 스토리지 장치가 수신된 백업 명령에 따라 해당 보관 데이터를 백업함으로써 처리되는 것을 특징으로 하는, 랜섬웨어 공격 차단 시스템.
  3. 제1항에 있어서,
    상기 백업용 스토리지 장치는,
    상기 서버로 수신된 데이터 수정 명령이 상기 서비스 에이전트로부터 전달된 경우, 상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터에 관한 것인지를 확인하고, 상기 잠금 처리된 백업 데이터에 관한 데이터 수정 명령인 것으로 확인된 경우 해당 데이터 수정 명령을 거부 처리하는, 랜섬웨어 공격 차단 시스템.
  4. 제3항에 있어서,
    상기 백업용 스토리지 장치는,
    상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터인 경우, 상기 잠금 처리된 백업 데이터가 상기 서버와는 다른 스토리지 장치에 스토리지 마운트되는 경우에도 상기 다른 스토리지 장치로부터 수신되는 해당 백업 데이터에 관한 데이터 수정 명령을 거부 처리하고 해당 백업 데이터가 읽기 전용 모드로만 제공되도록 처리하는, 랜섬웨어 공격 차단 시스템.
  5. 삭제
  6. 삭제
  7. 제1항에 있어서,
    상기 잠금 해제 상태로의 전환은, 상기 백업용 스토리지 장치 내에 백업된 데이터 전체에 대하여 이루어지는 일괄 해제 방식 및 요청된 백업 데이터에 한하여 이루어지는 선택 해제 방식 중 어느 하나가 선택 가능한 것을 특징으로 하는, 랜섬웨어 공격 차단 시스템.
KR1020190122078A 2019-10-02 2019-10-02 서버용 랜섬웨어 공격 차단 방법 및 시스템 Active KR102340604B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190122078A KR102340604B1 (ko) 2019-10-02 2019-10-02 서버용 랜섬웨어 공격 차단 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190122078A KR102340604B1 (ko) 2019-10-02 2019-10-02 서버용 랜섬웨어 공격 차단 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20210039629A KR20210039629A (ko) 2021-04-12
KR102340604B1 true KR102340604B1 (ko) 2021-12-20

Family

ID=75439920

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190122078A Active KR102340604B1 (ko) 2019-10-02 2019-10-02 서버용 랜섬웨어 공격 차단 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR102340604B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024019461A1 (ko) * 2022-07-22 2024-01-25 삼성전자주식회사 파티션의 일부분을 위한 마운트 동작을 수행하기 위한 전자 장치, 방법, 및 비일시적 컴퓨터 판독가능 저장 매체

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101920866B1 (ko) * 2017-05-18 2018-11-21 김덕우 독립된 복원영역을 갖는 보조기억장치

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102107277B1 (ko) * 2016-08-08 2020-05-06 (주)나무소프트 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템
KR20190030406A (ko) * 2017-09-14 2019-03-22 주식회사 케이티 파일 백업을 통제하는 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101920866B1 (ko) * 2017-05-18 2018-11-21 김덕우 독립된 복원영역을 갖는 보조기억장치

Also Published As

Publication number Publication date
KR20210039629A (ko) 2021-04-12

Similar Documents

Publication Publication Date Title
CN114080782B (zh) 阻止勒索软件或网络钓鱼攻击的方法及系统
CN109643356B (zh) 阻止网络钓鱼或勒索软件攻击的方法和系统
EP2207123A2 (en) Enforcing use of chipset key management services for encrypted storage devices
US8769271B1 (en) Identifying and enforcing strict file confidentiality in the presence of system and storage administrators in a NAS system
KR101705550B1 (ko) 보안 저장 영역에 대한 응용 프로그램의 접근 제어 방법 및 장치
CN109684866B (zh) 一种支持多用户数据保护的安全优盘系统
WO2009035304A2 (en) Data security apparatus
CN117725630B (zh) 安全防护方法、设备、存储介质和计算机程序产品
CN102708335A (zh) 一种涉密文件的保护方法
US7890990B1 (en) Security system with staging capabilities
KR102340604B1 (ko) 서버용 랜섬웨어 공격 차단 방법 및 시스템
KR20200013013A (ko) 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템
US8874907B1 (en) Controlling access to an NFS share
CN113407984A (zh) 一种为数据库提供安全防护的系统和方法
US20200409573A1 (en) System for providing hybrid worm disk
KR101552688B1 (ko) 엔드포인트 단의 사용자 정책 설정에 따른 데이터 보안 방법 및 시스템
CN113127823A (zh) 一种本地串口登录和权限的管理方法、系统及介质
RU2571372C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
KR20230009343A (ko) 파일 서버 내에서 발생하는 파일 이벤트에 따라 해당 파일의 속성 또는 파일을 변경하는 파일 서버 데이터 보호 방법 및 장치
CN117910032A (zh) 一种计算机用数据安全系统
Danseglio Securing Windows Server 2003
CN117786721A (zh) 一种文件数据保护方法、装置、系统及存储设备

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20191002

PA0201 Request for examination
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20201203

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20211025

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20211214

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20211214

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20241104

Start annual number: 4

End annual number: 4