[go: up one dir, main page]

KR20210039629A - System and method for anti-ransomware application for server - Google Patents

System and method for anti-ransomware application for server Download PDF

Info

Publication number
KR20210039629A
KR20210039629A KR1020190122078A KR20190122078A KR20210039629A KR 20210039629 A KR20210039629 A KR 20210039629A KR 1020190122078 A KR1020190122078 A KR 1020190122078A KR 20190122078 A KR20190122078 A KR 20190122078A KR 20210039629 A KR20210039629 A KR 20210039629A
Authority
KR
South Korea
Prior art keywords
backup
data
storage device
server
command
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020190122078A
Other languages
Korean (ko)
Other versions
KR102340604B1 (en
Inventor
우종현
문민식
Original Assignee
(주)나무소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)나무소프트 filed Critical (주)나무소프트
Priority to KR1020190122078A priority Critical patent/KR102340604B1/en
Publication of KR20210039629A publication Critical patent/KR20210039629A/en
Application granted granted Critical
Publication of KR102340604B1 publication Critical patent/KR102340604B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

Provided is a system for a server to block a ransomware attack, including: a backup storage device, which is a separate storage device that is physically independent from the server, has a purpose for backing up stored data in the server, and includes a communication interface that enables communication connection with the server; and a service agent installed in the server to mediate communication with the backup storage device. According to an embodiment of the present invention, while the backup storage device is storage-mounted in the server, when there is a lock command for backup data that is backed up in the backup storage device after data backup of the stored data in the server to the backup storage device is processed, the backup storage device locks the backup data according to the lock command, so that the locked backup data is provided only in an unmodifiable read-only mode.

Description

서버용 랜섬웨어 공격 차단 방법 및 시스템{SYSTEM AND METHOD FOR ANTI-RANSOMWARE APPLICATION FOR SERVER}Server ransomware attack blocking method and system {SYSTEM AND METHOD FOR ANTI-RANSOMWARE APPLICATION FOR SERVER}

본 발명은 서버용 랜섬웨어 공격 차단 방법 및 시스템에 관한 것이다.The present invention relates to a server ransomware attack blocking method and system.

해커들이 배포하는 랜섬웨어가 갈수록 다양화되면서 점점 더 사용자들의 데이터가 위협받고 있다. 일반적으로 랜섬웨어란 사용자의 단말기에 저장되었거나 연결된 네트워크 저장소에 보관된 데이터를 사용자가 접근할 수 없도록 암호화한 후, 금전을 요구하는 공격 기법을 말한다. 최근에는 랜섬웨어 자체가 PC 내 보관된 데이터만을 암호화 하는 것이 아니라 PC 전체를 암호화하거나, PC에 마운트된 디스크 전체를 암호화하여 랜섬머니를 요구하는 사례까지 발생하고 있다. 게다가 PC뿐만 아니라 서버에 놓여있는 전체 데이터까지 한번에 암호화하는 공격까지 발생하고 있어 근본적인 대안이 필요한 상황이다.As ransomware distributed by hackers is increasingly diversified, users' data is increasingly threatened. In general, ransomware refers to an attack technique that requests money after encrypting data stored in a user's terminal or stored in a connected network storage so that the user cannot access it. Recently, ransomware itself does not only encrypt data stored in the PC, but also encrypts the entire PC, or even requests ransom money by encrypting the entire disk mounted on the PC. In addition, there is an attack that encrypts not only the PC but also the entire data on the server at once, so a fundamental alternative is needed.

현재 랜섬웨어를 예방할 수 있는 유일한 현실적인 방법은 백업이지만, 백업 저장소 역시 랜섬웨어에 의해 암호화될 수 있기 때문에, 백업 이후에 백업 저장소를 네트워크에서 분리하거나 오프라인 미디어 등에 담아 별도로 보관할 것이 요구된다.Currently, the only realistic way to prevent ransomware is backup, but because the backup storage can also be encrypted by ransomware, it is required to separate the backup storage from the network or store it separately in offline media after backup.

그러나 랜섬웨어의 피해를 입은 기관 및 업체들은 상술한 바와 같이 효율적으로 백업을 운영하는데 필요한 인력과 장비를 갖추기에는 영세한 경우가 많다. 따라서 별도의 관리 인력 없이 저렴한 방법으로 백업된 자료를 랜섬웨어로부터 안전하게 관리할 수 있는 방안이 요청된다. However, organizations and companies that have been damaged by ransomware are often insignificant to have the necessary personnel and equipment to efficiently operate backups as described above. Therefore, there is a need for a way to safely manage the backed up data from ransomware in an inexpensive way without a separate management manpower.

본 발명은 별도의 서버 관리 인력 없이도 저렴하고 편리한 방법으로 서버에 보관된 데이터 및 백업된 데이터를 랜섬웨어로부터 안전하게 관리할 수 있는 서버용 랜섬웨어 공격 차단 방법 및 시스템을 제공하기 위한 것이다.The present invention is to provide a server ransomware attack blocking method and system capable of safely managing data stored in a server and backed up data from ransomware in an inexpensive and convenient method without a separate server management manpower.

본 발명의 일 측면에 따르면, 랜섬웨어 공격 차단을 위한 서버용 시스템으로서,According to an aspect of the present invention, as a server system for blocking ransomware attacks,

서버와 물리적으로 독립된 별개의 저장 장치로서 상기 서버 내의 보관 데이터를 백업하기 위한 용도를 가지며, 상기 서버와의 통신 접속이 가능하도록 하는 통신 인터페이스를 포함한, 백업용 스토리지 장치; 및 상기 서버 내에 설치되어 상기 백업용 스토리지 장치와의 통신을 중개하는 서비스 에이전트;를 포함하고,A storage device for backup, which is a separate storage device that is physically independent from the server and has a purpose for backing up data stored in the server, and includes a communication interface for enabling communication connection with the server; And a service agent installed in the server to mediate communication with the backup storage device,

상기 백업용 스토리지 장치가 상기 서버에 스토리지 마운트된 상태에서, 상기 서버 내의 보관 데이터에 관한 상기 백업용 스토리지 장치로의 데이터 백업이 처리된 이후, 상기 백업용 스토리지 장치에 백업 처리된 백업 데이터에 관한 잠금 명령이 있는 경우,In a state in which the backup storage device is storage-mounted on the server, after data backup to the backup storage device for the storage data in the server is processed, there is a lock command for the backup data that has been backed up to the backup storage device. Occation,

상기 백업용 스토리지 장치는 상기 잠금 명령에 따라 해당 백업 데이터를 잠금 처리하여 해당 잠금 처리된 백업 데이터가 수정 불가능한 읽기 전용 모드로만 제공되도록 처리하는, 랜섬웨어 공격 차단 시스템이 제공된다.The backup storage device is provided with a ransomware attack blocking system in which the backup data is locked according to the locking command so that the locked backup data is provided only in a read-only mode that cannot be modified.

일 실시예에서, 상기 백업용 스토리지 장치로의 데이터 백업은,In one embodiment, the data backup to the backup storage device,

상기 서버 내의 보관 데이터에 관한 백업 명령이 이루어진 경우에 한하여, 상기 서비스 에이전트가 상기 서버로 수신된 백업 명령을 상기 백업용 스토리지 장치로 전달하고, 상기 백업용 스토리지 장치가 수신된 백업 명령에 따라 해당 보관 데이터를 백업함으로써 처리될 수 있다.Only when a backup command for storage data in the server is made, the service agent transfers the backup command received to the server to the backup storage device, and the backup storage device transfers the storage data according to the received backup command. It can be handled by backing up.

일 실시예에서, 상기 백업용 스토리지 장치는,In one embodiment, the backup storage device,

상기 서버로 수신된 데이터 수정 명령이 상기 서비스 에이전트로부터 전달된 경우, 상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터에 관한 것인지를 확인하고, 상기 잠금 처리된 백업 데이터에 관한 데이터 수정 명령인 것으로 확인된 경우 해당 데이터 수정 명령을 거부 처리할 수 있다.When the data modification command received to the server is transmitted from the service agent, it is checked whether the target data of the data modification command is related to the locked backup data, and is a data modification command related to the locked backup data. If it is confirmed that the data modification order can be rejected.

일 실시예에서, 상기 백업용 스토리지 장치는,In one embodiment, the backup storage device,

상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터인 경우, 상기 잠금 처리된 백업 데이터가 상기 서버와는 다른 스토리지 장치에 스토리지 마운트되는 경우에도 상기 다른 스토리지 장치로부터 수신되는 해당 백업 데이터에 관한 데이터 수정 명령을 거부 처리하고 해당 백업 데이터가 읽기 전용 모드로만 제공되도록 처리할 수 있다.When the target data of the data modification command is the locked backup data, data related to the corresponding backup data received from the other storage device even when the locked backup data is storage mounted on a storage device different from the server You can reject the modification command and process the backup data to be provided only in read-only mode.

일 실시예에서, 상기 백업용 스토리지 장치는,In one embodiment, the backup storage device,

상기 백업 데이터에 설정된 잠금 처리 상태를 해제하기 위한 하드웨어 스위치 또는 소프트웨어 스위치를 포함하되,Including a hardware switch or a software switch for releasing the lock processing state set in the backup data,

상기 잠금 처리된 백업 데이터에 대한 잠금 해제 명령이 상기 서비스 에이전트를 통해서 전달되는 경우에도, 상기 하드웨어 스위치 또는 상기 소프트웨어 스위치의 동작 전환을 통해 잠금 해제 상태로의 전환이 이루어지지 않은 경우에는 상기 잠금 해제 명령을 거부 처리할 수 있다.Even when the unlock command for the locked backup data is transmitted through the service agent, when the change to the unlock state is not made through the operation change of the hardware switch or the software switch, the unlock command Can be rejected.

일 실시예에서, 상기 백업용 스토리지 장치는,In one embodiment, the backup storage device,

상기 하드웨어 스위치 또는 상기 소프트웨어 스위치를 통해 상기 잠금 해제 상태로의 전환이 이루어진 경우, 잠금 처리 상태에 따른 상기 백업 데이터에 관한 읽기 전용 모드를 해제하여 해당 백업 데이터를 데이터 수정이 가능한 상태로 전환 처리할 수 있다.When switching to the unlocked state is made through the hardware switch or the software switch, the read-only mode for the backup data according to the lock processing state is released, and the backup data can be converted into a state in which data can be modified. have.

일 실시예에서, 상기 잠금 해제 상태로의 전환은, 상기 백업용 스토리지 장치 내에 백업된 데이터 전체에 대하여 이루어지는 일괄 해제 방식 및 요청된 백업 데이터에 한하여 이루어지는 선택 해제 방식 중 어느 하나가 선택 가능하다.In one embodiment, the conversion to the unlocked state may be selected from one of a batch release method performed on all of the data backed up in the backup storage device and a selection release method performed only on the requested backup data.

본 발명의 실시예에 따른 서버용 랜섬웨어 공격 차단 방법 및 시스템에 의하면, 별도의 서버 관리 인력 없이도 저렴하고 편리한 방법으로 서버에 보관된 데이터 및 백업된 데이터를 랜섬웨어로부터 안전하게 보호할 수 있는 효과가 있다.According to the method and system for blocking ransomware attacks for servers according to an embodiment of the present invention, it is possible to safely protect data stored in the server and backed up data from ransomware in an inexpensive and convenient method without a separate server management manpower. .

도 1은 본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템에 있어서, 백업용 스토리지 장치가 서버에 스토리지 마운트되는 과정을 보여주는 도면.
도 2는 본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템에 있어서, 백업용 스토리지 장치가 데이터 백업 및 잠금 처리되는 과정을 보여주는 도면.
도 3은 본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템에 있어서, 백업용 스토리지 장치가 잠금 처리 해제되는 과정을 보여주는 도면.1 is a diagram illustrating a process in which a storage device for backup is mounted on a server in a server system for blocking ransomware attacks according to an embodiment of the present invention.
2 is a diagram illustrating a process in which a storage device for backup performs data backup and lock processing in a server system for blocking ransomware attacks according to an embodiment of the present invention.
3 is a diagram illustrating a process of unlocking a backup storage device in a server system for blocking ransomware attacks according to an embodiment of the present invention.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Since the present invention can apply various transformations and have various embodiments, specific embodiments are illustrated in the drawings and will be described in detail in the detailed description. However, this is not intended to limit the present invention to a specific embodiment, it should be understood to include all conversions, equivalents, and substitutes included in the spirit and scope of the present invention.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In describing the present invention, when it is determined that a detailed description of a related known technology may unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted. In addition, numbers (eg, first, second, etc.) used in the description of the present specification are merely identification symbols for distinguishing one component from other components.

또한, 명세서 전체에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다. 또한, 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하나 이상의 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 조합으로 구현될 수 있음을 의미한다.In addition, throughout the specification, when one component is referred to as "connected" or "connected" to another component, the one component may be directly connected or directly connected to the other component, but specially It should be understood that as long as there is no opposite substrate, it may be connected or may be connected via another component in the middle. In addition, throughout the specification, when a certain part "includes" a certain component, it means that other components may be further included rather than excluding other components unless specifically stated to the contrary. In addition, terms such as "unit" and "module" described in the specification mean a unit that processes at least one function or operation, which means that it can be implemented as one or more hardware or software, or a combination of hardware and software. .

이하, 첨부된 도면들을 참조하여 본 발명의 실시예를 설명하기에 앞서, 본 발명의 이해를 돕기 위해, 본 발명의 방식과 다른 방식들 간의 차이를 설명하면 아래와 같다.Hereinafter, before describing the embodiments of the present invention with reference to the accompanying drawings, in order to help understanding the present invention, the difference between the method of the present invention and other methods will be described as follows.

종래의 선행기술 중 "프로그램 기반의 읽기 전용 스토리지" 구현 방식이 있는데, 이는 파일 보호 정책 상 인가된 프로그램인지 여부를 판단하여 인가된 프로그램이면 파일의 수정을 가능하게 하고 그렇지 않은 경우 읽기 전용 모드로만 동작되도록 하는 기술이다. 이러한 프로그램 기반 읽기 전용 스토리지 구현 방식은 기본적으로 파일 단위로 명령 및 응답이 이루어지게 되므로 파일 단위로 읽기 전용으로 파일을 제공하게 된다. 그러나 이러한 프로그램 기반의 읽기 전용 스토리지 구현 방식은 다음과 같은 취약점을 갖는다.Among the conventional prior art, there is a method of implementing "program-based read-only storage", which determines whether or not it is an authorized program according to the file protection policy, and allows the file to be modified if it is an authorized program. Otherwise, it operates only in read-only mode. It is a technology that makes it possible. In this program-based read-only storage implementation method, commands and responses are basically performed in file units, so files are provided as read-only files in file units. However, this program-based read-only storage implementation method has the following vulnerabilities.

예를 들어, 리눅스 운영체제의 경우 관리자 계정(Admin account)이 탈취되게 되면, 백업 서버로 전달되는 모든 명령 또는 트래픽을 해커 측에서 열람할 수 있게 되므로, 해커가 백업 서버로 전달되는 명령을 지켜보다가 인가된 프로그램의 지문값 등을 탈취해서 리플레이 어택(즉, 해킹 프로그램을 그 인가된 프로그램 이름과 동일하게 하고, 탈취한 지문값을 백업 서버로 전달하여 마치 정상적인 프로그램인 것처럼 위장하는 공격)을 실시하면 위 기술의 보안 방식이 무력화되게 되는 취약점을 갖는다.For example, in the case of the Linux operating system, if the administrator account is stolen, all commands or traffic transmitted to the backup server can be viewed by the hacker. Therefore, the hacker must observe the commands transmitted to the backup server. If a replay attack is performed by stealing the fingerprint value of the authorized program (i.e., making the hacking program the same as the authorized program name, transferring the stolen fingerprint value to the backup server and disguised as a normal program), It has a vulnerability that makes the security method of the above technology ineffective.

반면, 본 발명에 의하면, 전술한 바와 같이 관리자 계정이 탈취된 경우라도 해커에 의한 랜섬웨어 공격 등을 차단시킬 수 있게 된다. 이에 관해서는 후술할 본 발명에 관한 설명들로부터 명확히 이해될 수 있을 것이다.On the other hand, according to the present invention, even if an administrator account is stolen as described above, it is possible to block a ransomware attack by a hacker. This will be clearly understood from the descriptions of the present invention to be described later.

다른 방식으로, "파일 생성 시간에 기반한 읽기 전용 스토리지" 구현 방식이 있다. 이는 자사에서 출원한 한국특허출원 제10-2018-0029490호에 의한 방식으로서, 파일을 읽기 전용으로만 제공하는 것을 기본으로 하되, 신규 파일의 생성이 필요한 경우에 한하여 해당 파일의 생성 요청 시점을 기준으로 소정의 시간(즉, 파일 생성 유효 시간 범위) 내에서 해당 파일의 생성을 허용하는 기술이며, 이 또한 파일 단위를 기본 단위로 하여 동작한다.Another way is to implement "read-only storage based on file creation time". This is a method in accordance with Korean Patent Application No. 10-2018-0029490 filed by the company, and is based on providing a file only for read-only use, but only when a new file needs to be created, based on the time when the file is requested to be created. This is a technology that allows the creation of a corresponding file within a predetermined time (ie, a file creation valid time range), and this also operates in a file unit as a basic unit.

다만, 상술한 파일 생성 시간 기반의 읽기 전용 스토리지 구현 방식이 경우에도 경우에 따라서 다음과 같은 보안 상 취약점이 나타나게 된다. 즉, 파일 생성 과정에서 업로드되는 파일의 사이즈(용량)이 작은 파일은 문제가 되지 않지만, 사이즈가 큰 파일의 백업의 경우 상기 파일 생성 유효 시간 범위를 길게 줘야 하는데, 이와 같이 시간을 너무 오래 열어 놓고 있으면 그 시간 동안 외부 공격에 노출될 가능성이 커질 수 있다. 예를 들어, 백업의 경우 저장 효율을 높이기 위해서 하나의 파일 단위로 백업하는게 아니라 Tar나 ZIP 포맷으로 하나의 파일로 묶어서 백업하게 되는데 파일 사이즈가 너무 크게 되면 파일의 수정 가능 시간을 충분이 길게 부여하여야 하기 때문이다.However, even in the case of the read-only storage implementation method based on the file creation time described above, the following security vulnerabilities appear in some cases. In other words, a file with a small size (capacity) uploaded during the file creation process is not a problem, but in the case of a backup of a large file, the file creation valid time range must be lengthened. If there is, it can increase your chances of being exposed to external attacks during that time. For example, in the case of backup, in order to increase the storage efficiency, the backup is not performed in units of one file, but is backed up as a single file in Tar or ZIP format.If the file size is too large, the file modification time should be given long enough. Because it does.

상술한 문제점들을 개선하기 위하여, 본 발명의 실시예에서는 "명령어 기반의 읽기 전용 스토리지" 구현 방식을 제안한다. 이러한 명령어 기반의 읽기 전용 스토리지 구현 방식은 백업 명령, 잠금 명령, 잠금 해제 명령에 의해 실행되며, 이때의 백업/잠금/잠금해제는 파일 단위로도 동작될 수 있음은 물론 폴더 단위로도 동작될 수 있다. 따라서 특정 파일에 대한 수정 요청이 있는 경우에도 해당 파일의 경로에 따라 해당 파일을 보관하고 있는 폴더(해당 폴더의 상위 폴더까지 확장됨)가 잠금 상태에 있는 경우에는 해당 파일에 관한 수정 요청이 거부된다.In order to improve the above-described problems, an embodiment of the present invention proposes a "command-based read-only storage" implementation method. This command-based read-only storage implementation method is executed by a backup command, a lock command, and an unlock command. In this case, the backup/lock/unlock can be operated not only by file but also by folder. have. Therefore, even if there is a request to modify a specific file, if the folder holding the file (extending to the folder's parent folder) is locked according to the path of the file, the request to modify the file is rejected. .

이러한 백업/잠금/잠금해제 명령은 리눅스 운영체제에 의할 때 다음과 같은 명령어들에 따른 명령 구조가 활용될 수 있다.These backup/lock/unlock commands can use the command structure according to the following commands when using the Linux operating system.

백업 명령의 예Backup command example

User>mount 192.10.1.1 localhost\backupUser>mount 192.10.1.1 localhost\backup

(Mkdir \backup\websource_backup_20190805) (Mkdir \backup\websource_backup_20190805)

Copy/Backup '\websource' '\backup\websource_backup_20190805' Copy/Backup'\websource''\backup\websource_backup_20190805'

잠금 명령의 예Lock command example

freeze \backup\websource_backup_20190805freeze \backup\websource_backup_20190805

잠금 해제 명령의 예Example of unlock command

Melt \backup\websource_backup_20190805 (OTP 201023)Melt \backup\websource_backup_20190805 (OTP 201023)

상술한 바와 같이 잠금 해제 명령의 경우, 일회성 패스워드(OTP)에 의한 인증을 추가로 요구할 수도 있다.As described above, in the case of the unlock command, authentication using a one-time password (OTP) may be additionally requested.

상술한 바와 같이, 본 발명의 방식에 의하면, 백업된 자료를 매우 단순한 콘솔 명령(Console command)으로 특정 폴더 이하의 모든 파일 및 폴더를 잠금 처리하여 읽기 전용 모드로 바꿀 수 있다.As described above, according to the method of the present invention, the backed up data can be changed to a read-only mode by locking all files and folders under a specific folder with a very simple console command.

본 발명의 실시예에 따른 명령어 기반의 읽기 전용 스토리지 구현 방식에 의하면, 일반적으로 마운트되어 있는 드라이브에 파일을 요청하는 경우 해당 요청에 파일을 보관하는 폴더 경로도 포함되는데, 이와 같이 파일 및 폴더 경로를 기준으로 수정 요청을 제한하게 되면 매우 효율적인 보안 관리가 가능해지며, 또한 폴더 기준으로 보안 관리를 하게 되면 개별 파일별로 불필요한 메타데이터 관리(전술한 생성 시간 기반의 읽기 전용 스토리지 구현 방식의 경우 생성 시간 대비 현재 요청 시간의 차이, 전술한 프로그램 기반의 읽기 전용 스토리지 구현 방식의 경우 해당 프로그램의 속성 정보, 지문값 등)를 생략할 수 있는 이점이 있다.According to the command-based read-only storage implementation method according to an embodiment of the present invention, when a file is requested from a generally mounted drive, a folder path storing the file is also included in the request. If the modification request is restricted based on the standard, very efficient security management becomes possible, and if the security management is performed on a folder basis, unnecessary metadata management for each individual file (in the case of the read-only storage implementation method based on the creation time described above, the current In the case of the difference in request time and the above-described program-based read-only storage implementation method, there is an advantage of being able to omit the attribute information of the corresponding program, fingerprint value, etc.).

이하, 도 1 ~ 도 3을 참조하여, 본 발명의 실시예들을 차례로 설명하기로 한다.Hereinafter, embodiments of the present invention will be sequentially described with reference to FIGS. 1 to 3.

본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템은, 서버와 물리적으로 독립된 별개의 저장 장치로서 상기 서버 내의 보관 데이터를 백업하기 위한 용도를 가지며, 상기 서버와의 통신 접속이 가능하도록 하는 통신 인터페이스를 포함한 백업용 스토리지 장치(도 1 ~ 도 3의 "Mega Storage" 참조, 이하 동일함); 및 상기 서버 내에 설치되어 상기 백업용 스토리지 장치와의 통신을 중개하는 서비스 에이전트(도 1 ~ 도 3의 "Mega connector" 참조, 이하 동일함);를 포함한다.The server system for blocking ransomware attacks according to an embodiment of the present invention is a separate storage device that is physically independent from the server and has a purpose for backing up data stored in the server, and enables communication access with the server. A storage device for backup including a communication interface (see "Mega Storage" in FIGS. 1 to 3, the same hereinafter); And a service agent installed in the server to mediate communication with the backup storage device (see "Mega connector" in FIGS. 1 to 3, the same hereinafter).

본 발명의 랜섬웨어 공격 차단을 위한 서버용 시스템에서, 상기 백업용 스토리지 장치는, 네트워크 및 직접 연결 가능한 일반적인 스토리지와 동일한 환경을 제공한다. 즉,In the server system for blocking ransomware attacks of the present invention, the backup storage device provides the same environment as a network and a general storage capable of being directly connected. In other words,

NAS, DAS, SAN 등으로 연결된 일반적인 스토리지와 같이 mount / unmount를 제공하고, 운영체제의 I/O를 그대로 제공함으로 rsync와 같은 다양한 백업 유틸리티 및 툴들이 동작하는데 문제가 없도록 구현된다.It provides mount/unmount like general storage connected by NAS, DAS, SAN, etc., and provides I/O of the operating system as it is, so that various backup utilities and tools such as rsync do not have any problem in operation.

또한, 서비스 에이전트는, 그 설치 단계에서 운영체제의 서비스 레벨에서 구동될 수 있거나 운영체제의 프로그램 실행 환경 패스를 등록시켜서 어느 위치에서나 구동될 수 있도록 설치될 수 있다.In addition, the service agent may be run at the service level of the operating system in its installation step, or may be installed so that it can be run at any location by registering a program execution environment path of the operating system.

본 발명의 실시예에 의할 때, 상기 백업용 스토리지 장치가 상기 서버에 스토리지 마운트된 상태에서, 상기 서버 내의 보관 데이터에 관한 상기 백업용 스토리지 장치로의 데이터 백업이 처리된 이후, 상기 백업용 스토리지 장치에 백업 처리된 백업 데이터에 관한 잠금 명령이 있는 경우, 상기 백업용 스토리지 장치는 상기 잠금 명령에 따라 해당 백업 데이터를 잠금 처리하여 해당 잠금 처리된 백업 데이터가 수정 불가능한 읽기 전용 모드로만 제공되도록 처리하게 되는데, 이에 관해서는 이하 상세히 설명하기로 한다.According to an embodiment of the present invention, in a state in which the backup storage device is storage-mounted on the server, after data backup to the backup storage device for data stored in the server is processed, the backup storage device is backed up. When there is a lock command for the processed backup data, the backup storage device locks the backup data according to the lock command so that the locked backup data is provided in a read-only mode that cannot be modified. Will be described in detail below.

본 발명의 실시예에 의할 때, 상기 백업용 스토리지 장치로의 데이터 백업은, 상기 서버 내의 보관 데이터에 관한 백업 명령이 이루어진 경우에 한하여, 상기 서비스 에이전트가 상기 서버로 수신된 백업 명령을 상기 백업용 스토리지 장치로 전달하고, 상기 백업용 스토리지 장치가 수신된 백업 명령에 따라 해당 보관 데이터를 백업함으로써 처리될 수 있다. 이하 이에 관하여 도 1을 참조하여 설명한다. 여기서, 도 1은 본 발명의 실시예에 따른 랜섬웨어 공격 차단을 위한 서버용 시스템에 있어서, 백업용 스토리지 장치가 서버에 스토리지 마운트되는 과정을 보여주는 도면이다. According to an embodiment of the present invention, data backup to the storage device for backup is performed only when a backup command for data stored in the server is issued, and the service agent sends the backup command received to the server to the backup storage device. Transfer to the device, the storage device for backup may be processed by backing up the storage data according to the received backup command. Hereinafter, this will be described with reference to FIG. 1. Here, FIG. 1 is a diagram illustrating a process in which a storage device for backup is mounted on a server in a server system for blocking ransomware attacks according to an embodiment of the present invention.

도 1을 참조할 때, 백업용 스토리지 장치(Mega Storage)는 실제 저장 장치를 내장하고 Hybrid WORM 프로그램을 탑재한 디바이스 또는 서버 장치를 의미하며, 서비스 에이전트(Mega Connector)는 고객 서비스 서버에 설치되어 백업용 스토리지 장치(Mega Storage)와 통신하는 모듈이다.1, a storage device for backup (Mega Storage) refers to a device or server device with a built-in physical storage device and a Hybrid WORM program, and a service agent (Mega Connector) is installed on the customer service server to provide storage for backup. It is a module that communicates with a device (Mega Storage).

사용자가 자사 서비스 서버의 자료를 백업하기 위해서는 백업용 스토리지 장치(Mega Storage)를 자사 서비스 서버에 마운트(mount)하여야 한다. 사용자의 마운트(mount) 요청은 서비스 에이전트(Mega Connector)가 받아서 처리하며, 스토리지 마운트(mount)에 관련된 운영체제의 각종 I/O는 서비스 에이전트(Mega Connector)가 백업용 스토리지 장치(Mega Storage)를 통해 처리한 후 결과를 운영체제에 반환하는 방식으로 처리된다.In order for a user to back up data on the company's service server, the backup storage device (Mega Storage) must be mounted on the company's service server. The user's mount request is received and processed by the service agent (Mega Connector), and various I/Os of the operating system related to the storage mount are processed by the service agent (Mega Connector) through the storage device for backup (Mega Storage). After that, it is processed by returning the result to the operating system.

도 1의 예에서는 /media 라는 폴더 아래 backup이라는 새로운 폴더로 백업용 스토리지 장치(Mega Storage)가 마운트되는 예를 보여주고 있다.The example of FIG. 1 shows an example in which a storage device for backup (Mega Storage) is mounted as a new folder called backup under a folder called /media.

또한 도 2는 백업용 스토리지 장치가 데이터 백업 및 잠금 처리되는 과정을 보여주는 도면이다.In addition, FIG. 2 is a diagram illustrating a process in which a storage device for backup performs data backup and lock processing.

본 발명의 실시예서, 상기 백업용 스토리지 장치는, 상기 서버로 수신된 데이터 수정 명령이 상기 서비스 에이전트로부터 전달된 경우, 상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터에 관한 것인지를 확인하고, 상기 잠금 처리된 백업 데이터에 관한 데이터 수정 명령인 것으로 확인된 경우 해당 데이터 수정 명령을 거부 처리한다.In an embodiment of the present invention, the backup storage device, when a data modification command received to the server is transmitted from the service agent, checks whether target data of the data modification command is related to the locked backup data, When it is confirmed that the data modification command related to the locked backup data is determined, the data modification command is rejected.

도 2를 참조하면, 사용자가 /websource 의 자료를 /media/backup/websource/20180101 로 백업한 후(도 2의 (a) 참조), 잠금(lock, 이는 서비스 에이전트(Mega Connector)가 제공)을 요청하면 백업용 스토리지 장치(Mega Storage)는 해당 폴더를 잠금 처리함으로써, 이후부터는 읽기 전용 모드(read only mode)로만 동작되도록 한다(도 2의 (b) 및 (c) 참조).Referring to FIG. 2, after a user backs up the data of /websource to /media/backup/websource/20180101 (refer to (a) of FIG. 2), lock (this is provided by the service agent (Mega Connector)) Upon request, the backup storage device (Mega Storage) locks the folder, so that it operates in read-only mode only (refer to (b) and (c) of FIG. 2).

이때, /media/backup/websource/20180101 폴더는 리눅스 운영체제의 경우 mkdir과 같은 명령으로 생성할 수 있다.At this time, the /media/backup/websource/20180101 folder can be created with a command such as mkdir in the case of a Linux operating system.

또한, 잠금 처리된 폴더들의 정보는 백업용 스토리지 장치(Mega Storage)의 비휘발성 메모리(데이터베이스 등)에 저장되어, 백업용 스토리지 장치(Mega Storage)에 전원 공급이 중단되어도 데이터 유지될 수 있다.In addition, information on the locked folders is stored in a nonvolatile memory (database, etc.) of a backup storage device (Mega Storage), so that data can be retained even when power supply to the backup storage device (Mega Storage) is stopped.

이후 사용자 또는 랜섬웨어(Ransomware)를 포함한 임의의 프로세서에 의해 /media/backup/websource/20180101 에 대한 데이터 수정 요청(예를 들어, write file, modify file, move file, delete file 등)은 모두 거부 처리된다.After that, all data modification requests (for example, write file, modify file, move file, delete file, etc.) for /media/backup/websource/20180101 are rejected by a user or a random processor including ransomware. do.

또한 다른 실시예에 의할 때, 상기 백업용 스토리지 장치는, 상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터인 경우, 상기 잠금 처리된 백업 데이터가 상기 서버와는 다른 스토리지 장치에 스토리지 마운트되는 경우에도 상기 다른 스토리지 장치로부터 수신되는 해당 백업 데이터에 관한 데이터 수정 명령을 거부 처리하고 해당 백업 데이터가 읽기 전용 모드로만 제공되도록 처리할 수 있다.In addition, according to another embodiment, when the target data of the data modification command is the locked backup data, the locked backup data is storage mounted on a storage device different from the server. Even in this case, a data modification command for the corresponding backup data received from the other storage device may be rejected and the corresponding backup data may be processed so that it is provided only in a read-only mode.

즉, 잠금 처리된 폴더들의 정보는 백업용 스토리지 장치(Mega Storage)의 저장소 기준 경로로 설정(도 1의 예에서는 /websource/20180101)되며, 백업용 스토리지 장치(Mega Storage)가 다른 장치에 다른 경로(예를 들어 /media/data)에 마운트되더라도 /media/data/websource/20180101은 여전히 읽기 전용으로만 접금 가능하게 구현될 수 있다.In other words, the information of the locked folders is set to the storage reference path of the backup storage device (Mega Storage) (/websource/20180101 in the example of FIG. 1), and the backup storage device (Mega Storage) has a different path (eg. For example, even if it is mounted on /media/data), /media/data/websource/20180101 can still be implemented to be accessible only as read-only.

도 3은 백업용 스토리지 장치가 잠금 처리 해제되는 과정을 보여주는 도면이다.3 is a diagram illustrating a process of unlocking a backup storage device.

본 발명의 실시예에서, 상기 백업용 스토리지 장치는, 상기 백업 데이터에 설정된 잠금 처리 상태를 해제하기 위한 하드웨어 스위치(예를 들어, 백업용 스토리지 장치에 구비된 잠금 설정 및 해제용 하드웨어 버튼 등) 또는 소프트웨어 스위치를 포함할 수 있다. 이에 따라, 상기 잠금 처리된 백업 데이터에 대한 잠금 해제 명령이 상기 서비스 에이전트를 통해서 전달되는 경우에도, 상기 하드웨어 스위치 또는 상기 소프트웨어 스위치의 동작 전환을 통해 잠금 해제 상태로의 전환이 이루어지지 않은 경우에는 상기 잠금 해제 명령을 거부 처리할 수 있다(도 3의 (d) 참조).In an embodiment of the present invention, the backup storage device includes a hardware switch (eg, a lock setting and release hardware button provided in the backup storage device) or a software switch for releasing the lock processing state set in the backup data. It may include. Accordingly, even when the unlock command for the locked backup data is transmitted through the service agent, when the hardware switch or the software switch is not switched to the unlocked state, the The lock release command can be rejected (see (d) of FIG. 3).

이에 따라, 상기 백업용 스토리지 장치는, 상기 하드웨어 스위치 또는 상기 소프트웨어 스위치를 통해 상기 잠금 해제 상태로의 전환이 이루어진 경우, 잠금 처리 상태에 따른 상기 백업 데이터에 관한 읽기 전용 모드를 해제하여 해당 백업 데이터를 데이터 수정이 가능한 상태로 전환 처리할 수 있다(도 3의 (e) 및 (f) 참조).Accordingly, the backup storage device, when switching to the unlocked state is made through the hardware switch or the software switch, releases the read-only mode for the backup data according to the lock processing state to store the backup data as data. The conversion process can be performed in a state in which modification is possible (see FIGS.

이때, 상기 잠금 해제 상태로의 전환은, 상기 백업용 스토리지 장치 내에 백업된 데이터 전체에 대하여 이루어지는 일괄 해제 방식 및 요청된 백업 데이터에 한하여 이루어지는 선택 해제 방식 중 어느 하나가 선택 가능하다.In this case, the conversion to the unlocked state may be selected from a batch release method performed on all of the data backed up in the backup storage device and a selection release method performed only on the requested backup data.

상술한 바와 같이, 본 발명에서는, 기본적으로 한번 잠금 처리된 폴더 및 그 이하의 파일 및 폴더들에 대해서는 읽기 전용으로만 접근 가능하며, 사용자에 의한 임의의 잠금 해제는 불가능하도록 구현될 수 있다. 그러나 잠금 처리된 폴더가 증가하다 보면, 백업용 스토리지 장치(Mega Storage)의 쓰기 가능한 영역은 계속 줄어들게 된다. 따라서, 스토리지를 재사용할 수 있도록 잠금 해제할 수 있는 기능을 두어야 하는데, 본 발명의 백업용 스토리지 장치(Mega Storage)에서는 하드웨어 스위치(physical switch (the protect switch)) 또는 소프트웨어 스위치를 오프(off)하는 동작으로 잠금 해제가 처리되게 된다. 이와 같이 해당 스위치(The protect switch)가 오프(off)되어 있는 동안은 특정 폴더를 잠금 해제 처리하거나 백업용 스토리지 장치(Mega Storage) 전체를 잠금 해제 처리하는 것이 가능하다. 물론 하드웨어 스위치 및 소프트웨어 스위치의 온/오프 방식 이외에도 OTP(one time password)를 이용한 온/오프(즉, 잠금 및 잠금 해제) 방식도 적용 가능하다.As described above, in the present invention, a folder that has been locked once and files and folders below it can be accessed only as read-only access, and may be implemented such that arbitrary unlocking by a user is impossible. However, as the number of locked folders increases, the writeable area of the backup storage device (Mega Storage) continues to decrease. Therefore, it is necessary to have a function to unlock the storage so that the storage can be reused. In the backup storage device (Mega Storage) of the present invention, an operation of turning off a hardware switch (the protect switch) or a software switch The unlock is handled. As described above, while the protect switch is off, it is possible to unlock a specific folder or unlock the entire backup storage device (Mega Storage). Of course, in addition to the on/off method of the hardware switch and the software switch, an on/off (ie, lock and unlock) method using an OTP (one time password) can also be applied.

상술한 바와 같은 잠금 및 잠금 해제 방식과 관련하여서는 다음과 같은 다양한 방식이 더 존재할 수 있다. 이하 이에 관한 다양한 실시예들을 설명하기로 한다.In relation to the above-described locking and unlocking methods, various methods may further exist as follows. Hereinafter, various embodiments of this will be described.

본 발명의 일 실시예에 의할 때, 백업용 스토리지 장치의 잠금 처리는 사전 지정된 잠금 명령(ex. freeze 명령어를 이용한 잠금 명령)이 수동 입력되어야만 실행되는(즉, 읽기 전용으로 변경하는) 방식에 의할 수도 있지만, 소정 조건에 따라 자동으로 실행되도록 할 수도 있다. 일 예로, 사용자 단말에 설치된 클라이언트 프로그램으로부터 해당 네트워크 드라이브로 들어오는 파일 이벤트가 파일/폴더 생성 이벤트(ex. create 이벤트)인 경우 해당 파일의 생성을 허용하다가, 해당 파일/폴더의 종료 이벤트(ex. close 이벤트)가 들어오면 자동으로 해당 파일/폴더에 관한 잠금 처리를 실행하는 방식이 적용될 수도 있다.According to an embodiment of the present invention, the lock processing of the storage device for backup is executed only when a preset lock command (ex. a lock command using the freeze command) is manually input (i.e., changes to read-only). It can be done, but it can also be automatically executed according to a predetermined condition. For example, if the file event coming from the client program installed in the user terminal to the network drive is a file/folder creation event (ex.create event), the file/folder creation event (ex.create event) is allowed to be created, and then the file/folder close event (ex.close). When an event) comes in, a method of automatically executing lock processing for the file/folder may be applied.

여기서, File handle을 close하는 I/O event를 발생시키는 C 함수로는 윈도우즈 OS에 의할 때 아래의 2가지 C 함수가 대표적으로 이용될 수 있다. Here, as a C function that generates an I/O event that closes a file handle, the following two C functions can be used representatively when using Windows OS.

int fclose(FILE *stream)int fclose(FILE *stream)

BOOL CloseHandle(HANDLE hObject)BOOL CloseHandle(HANDLE hObject)

또한 여기서, File handle을 close하는 I/O event를 발생시키는 C 함수로는 Linux / Unix OS에 의할 때 아래와 같은 C 함수가 대표적으로 이용될 수 있다.Also, here, as the C function that generates the I/O event that closes the file handle, the following C function can be used as a representative when using Linux / Unix OS.

int close(int fd)int close(int fd)

위와 같이 File Handle을 닫는 API를 프로그램이 호출하면, File handle을 close하는 I/O event가 발생하며, 이 event는 File System에게 전달된다. 이 경우, Windows는 Callback File System (File System Driver)에 의해 이 I/O가 감지되며, Linux는 FUSE를 통해 이 I/O가 감지될 수 있다. When the program calls the API that closes the file handle as above, an I/O event that closes the file handle occurs, and this event is delivered to the file system. In this case, Windows can detect this I/O by Callback File System (File System Driver), and Linux can detect this I/O through FUSE.

또한 특정 Application이 File Handle을 열어둔 채로 종료하게 되면 일반적으로 OS에 의해 강제로 열려진 File Handle 들이 닫혀지고 이때에도 동일한 event I/O가 발생한다. Also, when a specific application ends with the File Handle open, the File Handles that are forcibly opened by the OS are generally closed, and the same event I/O occurs at this time as well.

위에 설명한 함수는 C 언어에서 사용하는 것들이며, 각 언어별로 파일 핸들을 닫는 함수들이 별도로 존재한다. 해당 함수들은 모두 File System으로 File handle을 Close 하는 Event을 발생시킨다. The functions described above are those used in the C language, and there are separate functions for closing file handles for each language. All of these functions generate an event that closes the file handle with the file system.

또한 이상에서는 하드웨어 스위치 등을 이용한 온/오프 선택을 통해서 백업용 스토리지 장치에 보관된 데이터를 폴더 단위로 읽기 전용화하거나 읽기 전용 해제하는 방식을 주로 설명하였지만, 시스템 설계 방식에 따라 상술한 바와 같이 파일의 종료 이벤트를 감지하여 자동으로 읽기 전용 모드로 변경하는 방식을 채용하되, 하드웨어 스위치 등이 온된 상태에서는 해당 디스크의 초기화 명령이 있는 경우에도 디스크 초기화가 동작되지 않는 방식이 적용될 수도 있다.Also, in the above, a method of making data stored in a backup storage device read-only or releasing read-only in a folder unit through on/off selection using a hardware switch, etc. has been mainly described. A method of automatically changing to a read-only mode by detecting a termination event may be adopted, but a method in which the disk initialization is not operated even when an initialization command for the corresponding disk is issued may be applied when the hardware switch is turned on.

이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.Although the above has been described with reference to the embodiments of the present invention, those of ordinary skill in the relevant technical field variously modify the present invention within the scope not departing from the spirit and scope of the present invention described in the following claims. And it will be easily understood that it can be changed.

Claims (7)

랜섬웨어 공격 차단을 위한 서버용 시스템으로서,
서버와 물리적으로 독립된 별개의 저장 장치로서 상기 서버 내의 보관 데이터를 백업하기 위한 용도를 가지며, 상기 서버와의 통신 접속이 가능하도록 하는 통신 인터페이스를 포함한, 백업용 스토리지 장치; 및 상기 서버 내에 설치되어 상기 백업용 스토리지 장치와의 통신을 중개하는 서비스 에이전트;를 포함하고,
상기 백업용 스토리지 장치가 상기 서버에 스토리지 마운트된 상태에서, 상기 서버 내의 보관 데이터에 관한 상기 백업용 스토리지 장치로의 데이터 백업이 처리된 이후, 상기 백업용 스토리지 장치에 백업 처리된 백업 데이터에 관한 잠금 명령이 있는 경우,
상기 백업용 스토리지 장치는 상기 잠금 명령에 따라 해당 백업 데이터를 잠금 처리하여 해당 잠금 처리된 백업 데이터가 수정 불가능한 읽기 전용 모드로만 제공되도록 처리하는, 랜섬웨어 공격 차단 시스템.
As a server system for blocking ransomware attacks,
A storage device for backup, which is a separate storage device that is physically independent from the server and has a purpose for backing up data stored in the server, and includes a communication interface for enabling communication connection with the server; And a service agent installed in the server to mediate communication with the backup storage device,
In a state in which the backup storage device is storage-mounted on the server, after data backup to the backup storage device for the storage data in the server is processed, there is a lock command for the backup data that has been backed up to the backup storage device. Occation,
The backup storage device locks the corresponding backup data according to the lock command to process the locked backup data to be provided only in a read-only mode that cannot be modified.
 제1항에 있어서,
상기 백업용 스토리지 장치로의 데이터 백업은,
상기 서버 내의 보관 데이터에 관한 백업 명령이 이루어진 경우에 한하여, 상기 서비스 에이전트가 상기 서버로 수신된 백업 명령을 상기 백업용 스토리지 장치로 전달하고, 상기 백업용 스토리지 장치가 수신된 백업 명령에 따라 해당 보관 데이터를 백업함으로써 처리되는 것을 특징으로 하는, 랜섬웨어 공격 차단 시스템.
The method of claim 1,
Data backup to the backup storage device,
Only when a backup command for storage data in the server is made, the service agent transfers the backup command received to the server to the backup storage device, and the backup storage device transfers the storage data according to the received backup command. Ransomware attack blocking system, characterized in that processed by backing up.
 제1항에 있어서,
상기 백업용 스토리지 장치는,
상기 서버로 수신된 데이터 수정 명령이 상기 서비스 에이전트로부터 전달된 경우, 상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터에 관한 것인지를 확인하고, 상기 잠금 처리된 백업 데이터에 관한 데이터 수정 명령인 것으로 확인된 경우 해당 데이터 수정 명령을 거부 처리하는, 랜섬웨어 공격 차단 시스템.
The method of claim 1,
The backup storage device,
When the data modification command received to the server is transmitted from the service agent, it is checked whether the target data of the data modification command is related to the locked backup data, and is a data modification command related to the locked backup data. Ransomware attack blocking system that rejects the data modification command if it is found to be.
 제3항에 있어서,
상기 백업용 스토리지 장치는,
상기 데이터 수정 명령의 타겟 데이터가 상기 잠금 처리된 백업 데이터인 경우, 상기 잠금 처리된 백업 데이터가 상기 서버와는 다른 스토리지 장치에 스토리지 마운트되는 경우에도 상기 다른 스토리지 장치로부터 수신되는 해당 백업 데이터에 관한 데이터 수정 명령을 거부 처리하고 해당 백업 데이터가 읽기 전용 모드로만 제공되도록 처리하는, 랜섬웨어 공격 차단 시스템.
The method of claim 3,
The backup storage device,
When the target data of the data modification command is the locked backup data, data related to the corresponding backup data received from the other storage device even when the locked backup data is storage mounted on a storage device different from the server A ransomware attack blocking system that rejects modification commands and processes that backup data is provided only in read-only mode.
 제1항에 있어서,
상기 백업용 스토리지 장치는,
상기 백업 데이터에 설정된 잠금 처리 상태를 해제하기 위한 하드웨어 스위치 또는 소프트웨어 스위치를 포함하되,
상기 잠금 처리된 백업 데이터에 대한 잠금 해제 명령이 상기 서비스 에이전트를 통해서 전달되는 경우에도, 상기 하드웨어 스위치 또는 상기 소프트웨어 스위치의 동작 전환을 통해 잠금 해제 상태로의 전환이 이루어지지 않은 경우에는 상기 잠금 해제 명령을 거부 처리하는, 랜섬웨어 공격 차단 시스템.
The method of claim 1,
The backup storage device,
Including a hardware switch or a software switch for releasing the lock processing state set in the backup data,
Even when the unlock command for the locked backup data is transmitted through the service agent, when the change to the unlock state is not made through the operation change of the hardware switch or the software switch, the unlock command Deny processing, ransomware attack blocking system.
 제5항에 있어서,
상기 백업용 스토리지 장치는,
상기 하드웨어 스위치 또는 상기 소프트웨어 스위치를 통해 상기 잠금 해제 상태로의 전환이 이루어진 경우, 잠금 처리 상태에 따른 상기 백업 데이터에 관한 읽기 전용 모드를 해제하여 해당 백업 데이터를 데이터 수정이 가능한 상태로 전환 처리하는, 랜섬웨어 공격 차단 시스템.
The method of claim 5,
The backup storage device,
When switching to the unlocked state is made through the hardware switch or the software switch, releasing a read-only mode for the backup data according to the lock processing state, and converting the backup data into a data modification state, Ransomware attack blocking system.
 제6항에 있어서,
상기 잠금 해제 상태로의 전환은, 상기 백업용 스토리지 장치 내에 백업된 데이터 전체에 대하여 이루어지는 일괄 해제 방식 및 요청된 백업 데이터에 한하여 이루어지는 선택 해제 방식 중 어느 하나가 선택 가능한 것을 특징으로 하는, 랜섬웨어 공격 차단 시스템.The method of claim 6,
The conversion to the unlocked state is characterized in that any one of a batch release method performed on all of the data backed up in the backup storage device and a selection release method performed only on the requested backup data can be selected. system.
KR1020190122078A 2019-10-02 2019-10-02 System and method for anti-ransomware application for server Active KR102340604B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190122078A KR102340604B1 (en) 2019-10-02 2019-10-02 System and method for anti-ransomware application for server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190122078A KR102340604B1 (en) 2019-10-02 2019-10-02 System and method for anti-ransomware application for server

Publications (2)

Publication Number Publication Date
KR20210039629A true KR20210039629A (en) 2021-04-12
KR102340604B1 KR102340604B1 (en) 2021-12-20

Family

ID=75439920

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190122078A Active KR102340604B1 (en) 2019-10-02 2019-10-02 System and method for anti-ransomware application for server

Country Status (1)

Country Link
KR (1) KR102340604B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024019461A1 (en) * 2022-07-22 2024-01-25 삼성전자주식회사 Electronic device, method, and non-transitory computer-readable storage medium for performing mount operation for part of partition

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180016937A (en) * 2016-08-08 2018-02-20 (주)나무소프트 System and method for anti-fishing or anti-ransomware application
KR101920866B1 (en) * 2017-05-18 2018-11-21 김덕우 An auxiliary memory device having independent recovery region
KR20190030406A (en) * 2017-09-14 2019-03-22 주식회사 케이티 System for controlling file backup

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180016937A (en) * 2016-08-08 2018-02-20 (주)나무소프트 System and method for anti-fishing or anti-ransomware application
KR101920866B1 (en) * 2017-05-18 2018-11-21 김덕우 An auxiliary memory device having independent recovery region
KR20190030406A (en) * 2017-09-14 2019-03-22 주식회사 케이티 System for controlling file backup

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024019461A1 (en) * 2022-07-22 2024-01-25 삼성전자주식회사 Electronic device, method, and non-transitory computer-readable storage medium for performing mount operation for part of partition

Also Published As

Publication number Publication date
KR102340604B1 (en) 2021-12-20

Similar Documents

Publication Publication Date Title
CN114080782B (en) Method and system for preventing ransomware or phishing attacks
US8281135B2 (en) Enforcing use of chipset key management services for encrypted storage devices
US8335915B2 (en) Encryption based security system for network storage
CA2759612C (en) Method and system for securing data
JP4629060B2 (en) External storage media and related devices
KR102107277B1 (en) System and method for anti-fishing or anti-ransomware application
US8769271B1 (en) Identifying and enforcing strict file confidentiality in the presence of system and storage administrators in a NAS system
JP6410828B2 (en) Storage system having security storage device and management method thereof
CN109684866B (en) Safe USB flash disk system supporting multi-user data protection
GB2496841A (en) Method of securing a computing device
WO2009035304A2 (en) Data security apparatus
KR102340604B1 (en) System and method for anti-ransomware application for server
US8874907B1 (en) Controlling access to an NFS share
KR20200013013A (en) System and method for anti-fishing or anti-ransomware application
US20200409573A1 (en) System for providing hybrid worm disk
US8255704B1 (en) Pool encryption with automatic detection
Johnson et al. Securing stored data
CN117910032A (en) A data security system for computers
WO2005084177A2 (en) Secure data management system with mobile data management capability

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20191002

PA0201 Request for examination
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20201203

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20211025

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20211214

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20211214

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20241104

Start annual number: 4

End annual number: 4