IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > KIWONTECH

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社ギウォンテクの特許一覧

特表2023-551858メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法
<>
  • 特表-メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法 図1
  • 特表-メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法 図2
  • 特表-メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法 図3
  • 特表-メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法 図4
  • 特表-メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法 図5a
  • 特表-メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法 図5b
  • 特表-メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法 図6
  • 特表-メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法 図7a
  • 特表-メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法 図7b
  • 特表-メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法 図7c
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-12-13
(54)【発明の名称】メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法
(51)【国際特許分類】
   G06F 21/55 20130101AFI20231206BHJP
【FI】
G06F21/55
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023532749
(86)(22)【出願日】2020-12-29
(85)【翻訳文提出日】2023-05-30
(86)【国際出願番号】 KR2020019256
(87)【国際公開番号】W WO2022145501
(87)【国際公開日】2022-07-07
(81)【指定国・地域】
(71)【出願人】
【識別番号】517434585
【氏名又は名称】株式会社ギウォンテク
【氏名又は名称原語表記】KIWONTECH
【住所又は居所原語表記】509-Ho, 53, Digital-ro 31-gil, Guro-gu, Seoul, Republic of Korea
(74)【代理人】
【識別番号】110002262
【氏名又は名称】TRY国際弁理士法人
(72)【発明者】
【氏名】キム チュンハン
(57)【要約】
本発明の実施の形態によるメールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置の動作方法において、一つ以上のユーザ端末間に送受信されるメール情報を集める収集段階と、あらかじめ設定されたセキュリティー脅威アーキテクチャに応じて、前記メール情報にURL(Uniform Resource Locator)が含まれている場合、メールセキュリティープロセスによってURLを検査し、前記検査結果によるURL検査情報を保存及び管理するセキュリティー脅威検査段階と、前記URL検査情報に基づいて、前記URLがゼロデイ攻撃危険性が潜在的に存在するゼロデイURLであると判別される場合、前記ゼロデイURLをあらかじめ設定されたセキュリティーURLに変換するゼロデイURL変換段階と、周期的に、前記ゼロデイURLを対象に、悪性URLであるか否かを診断するゼロデイURL診断段階と、を含む。
【特許請求の範囲】
【請求項1】
サービス提供装置であって、
一つ以上のユーザ端末間に送受信されるメール情報を集める収集部と、
あらかじめ設定されたセキュリティー脅威アーキテクチャに応じて、前記メール情報にURL(Uniform Resource Locator)が含まれている場合、メールセキュリティープロセスによってURLを検査し、前記検査結果によるURL検査情報を保存及び管理するセキュリティー脅威検査部と、
前記URL検査情報に基づいて、前記URLが、ゼロデイ攻撃危険性が潜在的に存在するゼロデイURLであると判別される場合、前記ゼロデイURLをあらかじめ設定されたセキュリティーURLに変換するゼロデイURL変換部と、
周期的に、前記ゼロデイURLを対象に、悪性URLであるか否かを診断するゼロデイURL診断部と、
を含む、サービス提供装置。
【請求項2】
前記URL検査情報分析によってメール状態を処理するメール処理部をさらに含み、
前記メール処理部は、
前記ゼロデイURLが含まれるメールに対して、前記ゼロデイURLを前記セキュリティーURLに代替し、前記ユーザ端末がアクセス可能な受信状態に処理するゼロデイメール処理部を含む、請求項1に記載のサービス提供装置。
【請求項3】
前記URL検査情報分析によって、正常URL、悪性URL、ゼロデイURLの中から選ばれて判別される情報をURL分類情報として保存して管理するURL分類情報管理部をさらに含む、請求項2に記載のサービス提供装置。
【請求項4】
前記ゼロデイURL診断部は、
一定の周期ごとに、前記ゼロデイURLからリンクされる一つ以上の第1の派生URLと、これを通じて連鎖的に派生する第[n]の派生URLとを追跡管理してURLチェーン情報を獲得するURL追跡モジュールを含む、請求項3に記載のサービス提供装置。
【請求項5】
前記ゼロデイURL診断部は、
前記URLチェーン情報に基づいて、第[n]の派生URLを対象に、悪性URLであるか否かを一定の周期ごとに診断してチェーン診断情報を保存及び管理するURLチェーン診断モジュールをさらに含む、請求項4に記載のサービス提供装置。
【請求項6】
前記セキュリティーURLを含むメールを受信する前記ユーザ端末が、前記セキュリティーURLへの接続をリクエストする際に、1次的に前記ユーザ端末でリダイレクトされ、前記診断情報に基づいて悪性URLではないものと判別される前記ゼロデイURLと、前記第[n]の派生URLへの接続を処理するセキュリティーURL接続部をさらに含む、請求項5に記載のサービス提供装置。
【請求項7】
前記悪性URLは、個人情報の入力誘導、悪性コードのダウンロード、悪性スクリプトの実行、ウェブの脆弱性攻撃のいずれか一つ以上を含むことを特徴とする、請求項1に記載のサービス提供装置。
【請求項8】
サービス提供装置の動作方法であって、
一つ以上のユーザ端末間に送受信されるメール情報を集める収集段階と、
あらかじめ設定されたセキュリティー脅威アーキテクチャに応じて、前記メール情報にURL(Uniform Resource Locator)が含まれている場合、メールセキュリティープロセスによってURLを検査し、前記検査結果によるURL検査情報を保存及び管理するセキュリティー脅威検査段階と、
前記URL検査情報に基づいて、前記URLがゼロデイ攻撃危険性が潜在的に存在するゼロデイURLであると判別される場合、前記ゼロデイURLをあらかじめ設定されたセキュリティーURLに変換するゼロデイURL変換段階と、
周期的に、前記ゼロデイURLを対象に、悪性URLであるか否かを診断するゼロデイURL診断段階と、
を含む、サービス提供装置の動作方法。
【請求項9】
前記URL検査情報分析によってメール状態を処理するメール処理段階をさらに含み、
前記メール処理段階は、
前記ゼロデイURLが含まれるメールに対して、前記ゼロデイURLを前記セキュリティーURLに代替し、前記ユーザ端末がアクセス可能な受信状態に処理するゼロデイメール処理段階をさらに含む、請求項8に記載のサービス提供装置の動作方法。
【請求項10】
前記URL検査情報分析によって、正常URL、悪性URL、ゼロデイURLの中から選ばれて判別される情報をURL分類情報として保存して管理するURL分類情報管理段階をさらに含む、請求項9に記載のサービス提供装置の動作方法。
【請求項11】
前記ゼロデイURL診断段階は、
一定の周期ごとに、前記ゼロデイURLからリンクされる一つ以上の第1の派生URLと、これを通じて連鎖的に派生する第[n]の派生URLとを追跡管理してURLチェーン情報を獲得するURL追跡段階をさらに含む、請求項10に記載のサービス提供装置の動作方法。
【請求項12】
前記ゼロデイURL診断段階は、
前記URLチェーン情報に基づいて、第[n]の派生URLを対象に、悪性URLであるか否かを一定の周期ごとに診断してチェーン診断情報を保存及び管理するURLチェーン診断段階をさらに含む、請求項11に記載のサービス提供装置の動作方法。
【請求項13】
前記セキュリティーURLを含むメールを受信する前記ユーザ端末が、前記セキュリティーURLへの接続をリクエストする際に、1次的に前記ユーザ端末でリダイレクトされ、前記診断情報に基づいて悪性URLではないものと判別される前記ゼロデイURLおよび前記第[n]の派生URLへの接続を処理するセキュリティーURL接続段階をさらに含む、請求項12に記載のサービス提供装置の動作方法。
【請求項14】
前記悪性URLは、個人情報の入力誘導、悪性コードのダウンロード、悪性スクリプトの実行、ウェブの脆弱性攻撃のいずれか一つ以上を含むことを特徴とする、請求項8に記載nサービス提供装置の動作方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法に関し、より詳しくは、メールに含まれるURLを通じてセキュリティー脅威を加えるゼロデイ攻撃を探知して遮断することができるメールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法に関する。
【背景技術】
【0002】
今日の社会は、全世界的にコンピューターおよび情報通信技術の発展につれ、社会生活におけるあらゆる分野に亘ってサイバーへの依存度が高まっており、これはより一層加速化される趨勢にある。近年は、超高速、超低遅延、多数同時接続を有する5G移動通信が常用化され、これを基盤とした新しいサービスが登場しながらサイバーのセキュリティーはさらに重要となっている。
【0003】
モノのインターネット(IoT)、クラウドシステム、ビッグデータ、人工知能(AI)などの技術分野は、情報通信技術と結合して新しいサービス環境を提供している。このようなサービスを提供するシステムは、インターネット網、無線網などを通じてPC または携帯用端末装置などと連結されて実生活で用いられることができる。
【0004】
このように多様な端末装置または通信機器と連結される情報通信技術が実生活と一層密接になるにつれ、これを利用して悪意的な意図を持つサイバーセキュリティー脅威が日々に増加している。精巧化且つ高度化されたサイバーセキュリティー脅威は、団体や機関、個人の情報通信端末装置の異常実行を発生させたり、管理情報の偽・変造を通じてその人の間違いを誘導して情報を奪取して毀損したりするなどの被害を与えることができる。また、サイバーセキュリティー脅威を通じて不法に奪取された情報は、金銭詐欺の犯罪や他の経済的、社会的犯罪をやらかすのに利用されることができる。
【0005】
サイバーセキュリティー脅威を遮断して対応するために、システム化された情報通信技術を保護して管理する情報保護システムが活用されることができる。情報保護システムは、多様なサイバー脅威に対応可能に情報通信技術のシステムの類型または技術の特徴に応じて構築されることができ、段階別に適用されることができる。
【0006】
情報通信技術で活用されている電子メールシステムは、コンピューター端末を通じて利用者間の通信回線を利用してメッセージをやりとりすることができるように本文内容を含む電子郵便物サービスを提供することができる。この時、電子メールは共有しようとする内容を含む電子ファイルを添付することができ、あるいは、ウェブサイトへの接続リンク(URL; Uniform Resource Locator)を本文に記載するか、または添付ファイル内に挿入することができる。
【0007】
このように電子メールシステムを通じて悪意的な意図を持って悪性コードを含む実行可能な電子ファイルが添付されるか、または特定のウェブサイトにリンクされることができるURLが挿入されることができる。これによって、電子メールの受信者に悪性コードを実行させるか、挿入されたURLを通じて偽・変造されたウェブサイトに接続することでユーザが意図せぬ情報処理が遂行されてしまい、情報が奪取されることができる。
【0008】
このように経済的、社会的被害を誘発することができ、多様な犯罪と繋がる恐れがある電子メールセキュリティー脅威に対応するために、韓国登録特許第10-1595379号のように、「悪性コードが添付された電子メールの統制及び遮断システム」が開示されている。前記登録特許には、外部のサーバー、あるいは、端末から発信された電子メールがファイヤーウォールと、スパム遮断ソフトウェアが内蔵されているスパム遮断装置とを経由して送信されて来れば、対象システムで電子メールを受信する機能と、前記電子メールを対象システムで添付ファイルがあるかどうかを確認して、添付ファイルがなければ、対象システムからメールサーバーへ前記電子メールを転送し、添付ファイルがあれば、ユーザの業務の目的で最も多く使用する添付ファイルのタイプ(文書、圧縮、画像)のほかには、前記電子メールを遮断して悪性コードへの感染をあらかじめ防止する機能と、添付ファイルのタイプが画像である場合は、画像は変換が不可なので悪性コードへの感染ができないことから、対象システムからメールサーバーへ前記電子メールを転送し、添付ファイルのタイプが文書である場合は、修正が不可能な形態のPDFに文書を変換して文書の内部に悪性コードが反映されたURLなどをメール受信者がクリックすることでユーザ端末が悪性コードに感染される場合を事前に遮断する方式により、対象システムからユーザ端末へ電子メール、メッセンジャー、モバイル、カカオトークの中で単一又は複数で選択してお知らせメールを転送する機能と、添付ファイルのタイプが圧縮ファイルである場合は、前もって圧縮を解除してファイルのタイプを分析して、画像の場合には、前記の方式により処理し、文書の場合には、PDFに変換して前記方式により処理し、実行ファイルの場合には、種々の悪性コードの治療ソリューションが搭載されたVirtual BOXで悪性コード感染検査及び治療を実施し、その結果を含むお知らせメールを電子メール、メッセンジャー、モバイル、カカオトークの中で単一又は複数で選択して対象システムからメールサーバーへお知らせ処理を転送する機能と、対象システムから実行ファイルの以外に悪性コードの検査が必要な添付ファイルをVirtual BOXへ伝達して悪性コードの検査及び治療を処理し、その結果を再び対象システムに伝達して処理する機能を持つ対象システムと;前記対象システムから実行ファイルを受信するVirtual BOXは、別途のシステムで仮想化環境を構成し、種々の悪性コードの治療ソリューションを搭載して実行ファイルの中に隠された悪性コードの検査及び治療を処理し、その結果を再度対象システムに伝達し、検査以前の環境に戻す処理を行うVirtual BOXと;前記対象システムから電子メール(お知らせメールを含む)を受信し、ユーザ端末へ電子メール(お知らせメールを含む)を伝達する機能を持つメールサーバーと; 前記対象システムからお知らせメールを受信時、ユーザがお知らせメールを確認することにより原本の電子メールの許容又は拒否を選択する機能と、前記受信された電子メールを、ログインしてから確認する機能を持つユーザ端末;を含む悪性コードが添付された電子メールの統制及び遮断システムについて記述されている。
【0009】
このような悪性コードが添付された電子メールの統制及び遮断システムは、ハッキングコード(または、悪性コード)が実行されることができる添付ファイルが含まれたメールに対して、仮想化環境を構成して検査と治療を行うことができる。しかし、前記内容は、添付ファイルに内包されることができる悪性コードに対する検査にのみ限っている。また、添付ファイル内に悪性コードの内包が疑われると、PDFの形態に変換して受信者に伝達する方式は、受信者がPDFに含まれたURLを直接クリックしたり、ウェブブラウザーに入力したりする時にはセキュリティーリスクを予防することができないという限界がある。また、前記内容は添付ファイルの以外にメールの本文内容に含まれることができる悪性URLに対する対応には限界がある。
【発明の概要】
【発明が解決しようとする課題】
【0010】
本発明は、前記した従来の問題点を解決するためになされたもので、電子メールシステムで処理される受信メールの本文内容又は添付ファイルなどに含まれることができるURLを抽出して検査し、特に、評判情報のないゼロデイURLである場合、正常URLとして保障可能なデータが蓄積される前までユーザにセキュリティーゾーンを提供することでURLへの接続のリクエスト時、1次的に経由し、URLに対するセキュリティー検査を通じて安全性が保障される場合に接続を許容するメールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置及びその動作方法を提供することにその目的がある。
【課題を解決するための手段】
【0011】
前記課題を解決するための本発明の実施の形態による方法は、メールセキュリティー基盤のゼロデイURL攻撃防御サービス提供装置の動作方法において、一つ以上のユーザ端末間に送受信されるメール情報を集める収集段階と、あらかじめ設定されたセキュリティー脅威アーキテクチャに応じて、前記メール情報にURL(Uniform Resource Locator)が含まれている場合、メールセキュリティープロセスによってURLを検査し、前記検査結果によるURL検査情報を保存及び管理するセキュリティー脅威検査段階と、前記URL検査情報に基づいて、前記URLがゼロデイ攻撃危険性が潜在的に存在するゼロデイURLであると判別される場合、前記ゼロデイURLをあらかじめ設定されたセキュリティーURLに変換するゼロデイURL変換段階と、周期的に、前記ゼロデイURLを対象に、悪性URLであるか否かを診断するゼロデイURL診断段階と、を含む。
【0012】
また、前記のような課題を解決するための本発明の実施の形態による装置は、一つ以上のユーザ端末間に送受信されるメール情報を集める収集部と、あらかじめ設定されたセキュリティー脅威アーキテクチャに応じて、前記メール情報にURL(Uniform Resource Locator)が含まれている場合、メールセキュリティープロセスによってURLを検査し、前記検査結果によるURL検査情報を保存及び管理するセキュリティー脅威検査部と、前記URL検査情報に基づいて、前記URLが、ゼロデイ攻撃危険性が潜在的に存在するゼロデイURLであると判別される場合、前記ゼロデイURLをあらかじめ設定されたセキュリティーURLに変換するゼロデイURL変換部と、周期的に、前記ゼロデイURLを対象に、悪性URLであるか否かを診断するゼロデイURL診断部と、を含むゼロデイURL攻撃防御サービス提供装置である。
【0013】
一方、前記のような課題を解決するための本発明の実施の形態による方法は、前記方法を実行させるためのプログラム、または、前記プログラムが記録されてコンピューターで読み取り可能な記録媒体で具現されることができる
【発明の効果】
【0014】
本発明の実施の形態によれば、受信メールの本文内容、または添付ファイルなどに含まれることができるURLに対する安全性検査を行ってセキュリティー脅威が除去された情報を受信者(ユーザ)に提供することができる。特に、正常URL又は悪性URLと分析されないゼロデイURLが検出される場合、前記ゼロデイURLをセキュリティーURLに変換して受信者(ユーザ)がURLへの接続をリクエストする際、セキュリティー性が確保されたURLへの1次的な接続を処理することができる。これと同時に、実際に記載されたゼロデイURLのセキュリティー検査を行って安全なURLであると判別される場合にのみ、受信者(ユーザ)の接続を許容することができる。また、ゼロデイURLからリンクされて派生する追加的なURLを追跡検査することにより、多くのリンク段階を経て悪性URLを配布しようとする悪意的な目的を遮断することができる。このように新規なURLに対する不十分な評価情報を利用してゼロデイ悪性URLを生成し、ユーザの情報奪取、システム攻撃、悪性コードの伝播などを狙う悪意的な目的を、事前に遮断してユーザの被害をあらかじめ防止することができる。これにより、ユーザ間の安全な情報交換と処理を保障する電子メールサービスを提供することができる。
【図面の簡単な説明】
【0015】
図1】本発明の一実施の形態による全体システムを示した概念図である。
図2】本発明の一実施の形態によるメールセキュリティー基盤のゼロデイ攻撃防御サービス提供装置を説明するためのブロック図である。
図3】本発明の一実施の形態によるメールセキュリティー基盤のゼロデイ攻撃防御サービス提供装置の動作方法を説明するための流れ図である。
図4】本発明の一実施の形態によるメールセキュリティー基盤のゼロデイ攻撃防御サービス提供装置を通じてURL変換を適用した受信メールを説明するための例示図である。
図5a-5b】本発明の一実施の形態によるメールセキュリティー基盤のゼロデイ攻撃防御サービス提供装置を通じてメール受信経路に沿ったURL接続経路を比較説明する例示図である。
図6】本発明の一実施の形態によるメールセキュリティー基盤のゼロデイ攻撃防御サービス提供装置を通じて、ゼロデイURLおよびこれから派生するURLの検査段階を説明する手続き図である。
図7a-7c】本発明の一実施の形態によるメールセキュリティーアーキテクチャによる検査方式を説明するための例示図である。
【発明を実施するための形態】
【0016】
以下の内容は、単に本発明の原理を例示する。したがって、当業者なら、たとえ本明細書に明確に説明又は図示されていないが、本発明の原理を具現し、本発明の概念および範囲に含まれる多様な装置と方法を発明することができるわけである。また、本明細書に列挙された全ての条件付きの用語及び実施例は、原則的に、本発明の概念を理解させるための目的のみで明らかに意図され、このように特別に列挙された実施例及び状態に限定されないものと理解されなければならない。
【0017】
また、本発明の原理、観点及び実施例だけでなく、特定の実施例を列挙するすべての詳細な説明は、このような事項の構造的及び機能的均等物を含むように意図されるものと理解されなければならない。また、これらの均等物は、現在公知された均等物だけではなく、将来に開発される均等物、すなわち構造と関係なく同一の機能を遂行するように発明されたすべての素子を含むものと理解されなければならない。
【0018】
したがって、例えば、本明細書のブロック図は、本発明の原理を具体化する例示的な回路の概念的な観点を示すものと理解されなければならない。これと同様に、すべての流れ図、状態変換図、擬似コードなどは、コンピューターで読み取り可能な媒体に実質的に示す ことができ、コンピューター又はプロセッサが明白に図示されたかどうかを問わずコンピューター又はプロセッサによって遂行される多様なプロセスを示すものと理解されなければならない。
【0019】
また、プロセッサ、制御、またはこれと類似した概念として提示される用語の明確な使用は、ソフトウェアを実行する能力を持つハードウェアを排他的に引用して解釈されてはならなく、限定されることなく、デジタル信号プロセッサ(DSP)のハードウェア、ソフトウェアを格納するためのROM(Read Only Memory)、RAM、及び非揮発性メモリーを暗示的に含むものと理解されなければならない。周知寛容の他のハードウェアも含まれることができる。
【0020】
前述した目的、特長は、添付図面に関連した次のような詳細な説明を通じてより明らかになるはずであり、それによって本発明の属する技術分野における通常の知識を持つ者が本発明の技術的思想を容易に実施することができる。また、本発明を実施するにおいて、本発明に係わる公知技術に対する具体的な説明が本発明の要旨を無駄に濁らす恐れがあると判断される場合に、その詳細な説明を省略する 。
【0021】
本出願で使用した用語は、ただ特定の実施例を説明するために使用されたものであって、本発明を限定しようとする意図ではない。単一の表現は、文脈上明らかに異なる意味ではない限り、複数の表現を含む。本出願において、「含む」 または「有する」などの用語は、明細書上に記載された特徴、数字、段階、動作、構成要素、部品またはこれらの組み合わせが存在することを指定しようとするものであって、一つ又はそれ以上の他の特徴や数字、段階、動作、構成要素、部品、またはこれらの組み合わせなどの存在または付加可能性をあらかじめ排除しないものと理解されなければならない。
【0022】
以下、添付図面を参照して、本発明の好ましい実施例をより詳細に説明する。本発明を説明するにおいて、全体的な理解を容易にするために、図面上における同一の構成要素には同じ符号を付し、同一の構成要素について重複された説明は省略する。
【0023】
本明細書で使われる「メール(mail)」は、ユーザが端末装置とそれに設置されるクライアントプログラム又はウェブサイトを通じてコンピューター通信網を利用してやりとりするEメール(Electronic mail)、ウェブメール(Web mail)、電子メール、電子郵便物などの用語を通称して使うことができる。
【0024】
図1は、本発明の一実施の形態による全体システムを示した概念図である。
【0025】
図1を参照すれば、本発明の一実施の形態によるシステムは、サービス提供装置100、ユーザ端末200、メールサーバー300、およびURLサービス装置400を含む。
【0026】
より具体的に、サービス提供装置100、ユーザ端末200、メールサーバー300、およびURLサービス装置400は、公衆網(Public network)との接続を通じて、有線及び無線のいずれか一つ以上で連結されてデータを送受信することができる。前記公衆網は、国あるいは基幹通信事業者が構築及び管理する通信網であって、一般に、電話網、データ網、CATV網、及び移動通信網などを含み、不特定多数の一般人が他の通信網やインターネットに接続可能になるように連結サービスを提供する。本発明では前記公衆網をネットワークに取り替えて表記する。
【0027】
また、前記サービス提供装置100、ユーザ端末200、メールサーバー300、およびURLサービス装置400は、各通信網に応じたプロトコルで通信するためのそれぞれの通信モジュールを含むことができる。
【0028】
前記サービス提供装置100は、メールセキュリティーサービス提供のために、各ユーザ端末200及びメールサーバー300と有・無線ネットワークを通じて連結されることができ、各ネットワークに繋がれた装置又は端末は、あらかじめ設定されたネットワークチャンネルを介して相互間通信を行うことができる。また、前記ユーザ端末200が受信メールの本文内容または添付ファイル内に含まれたURLを利用するために接続リクエスト時、前記有・無線ネットワークを介して接続されてサービスを提供するURLサービス装置400と連結されることができる。
【0029】
ここで、前記各ネットワークは、ローカルエリアネットワーク(Local Area Network;LAN)、広域通信網(Wide Area Network;WAN)、付加価置通信網(Value Added Network;VAN)、パーソナルエリアネットワーク(Personal Area Network;PAN)、移動無線通信網(Mobile radio communication network)または衛星通信網などのようなすべての種類の有・無線ネットワークで具現されることができる。
【0030】
本明細書で説明されるサービス提供装置100は、メールを通じて意図せぬプログラムの実行と、未承認の情報流出、メール関連システムのデータ処理能力の低下、フィッシング詐欺などを引き起こす攻撃を探知して遮断することができるメールセキュリティーサービスを提供することができる。
【0031】
前述した明細書で説明されるユーザ端末200は、PC(personal computer)、ノート型パソコン(laptop computer)、携帯電話(Mobile phone)、タブレットPC(Tablet PC)、PDA(Personal Digital Assistants)、PMP(Portable Multimedia Player)などが挙げられるが、本発明はこれらに限定されなく、公衆網又は私設網などを介して前記サービス提供装置100とメールサーバー300などとが接続可能な装置であることができる。
【0032】
これに加えて、それぞれの装置は、アプリケーション駆動又はウェブブラウジングを通じる情報の入出力が可能な多様な装置であってもよい。特に、通常、ユーザ端末200は、個別的なセキュリティーネットワークを通じて前記サービス提供装置100と連結されることができる。
【0033】
前記メールサーバー300は、ユーザが、ユーザ端末200を通じて作成したメールを発信するか、相手方が、ユーザ端末200を通じて作成したメールを受信することができるように電子メールの内容を中継及び保管するシステムであってもよい。前記メールサーバー300は、メールの受信と発信の処理という使用目的によって、あらかじめ設定されたプロトコルを活用して相互間通信を遂行することができる。
【0034】
一般に、前記プロトコルは、メールの受信処理時、POP3(Post Office Protocol 3)、IMAP(Internet Message Access Protocol)が使われることができる。また、前記プロトコルは、メールの発信処理時、SMTP(Simple Mail Transfer Protocol)が使われることができる。このように、メールサーバー300は、メール送受信処理のためのサーバー(server)システムで構成されて作動することができる。また、前記メールサーバー300は、メール受信サーバーとメール発信サーバーとに細分化されてそれぞれの機能を提供することができる。
【0035】
図2は、本発明の一実施の形態によるメールセキュリティー基盤のゼロデイ攻撃防御サービス提供装置を説明するためのブロック図である。
【0036】
図2を参照すれば、本発明の一実施の形態によるサービス提供装置100は、制御部110、収集部120、セキュリティー脅威検査部130、ゼロデイURL変換部140、メール処理部150、ゼロデイURL診断部160、URL分類情報管理部170、セキュリティーURL接続部180、および通信部190を含むことができる。さらに、前記メール処理部150は、ゼロデイメール処理部151を含むことができる。また、前記ゼロデイURL診断部160は、URL追跡モジュール161とURLチェーン診断モジュール162を含むことができる。
【0037】
制御部110は、前記サービス提供装置100の各構成要素の動作を全般的に制御するための一つ以上のプロセッサで具現されることができる。
【0038】
収集部120は、一つ以上のユーザ端末200間に送受信されるメール情報を収集することができる。前記メール情報は、電子メールヘッダーの情報、電子メールの件名、電子メールの本文内容、一定期間の間の受信回数などを含むことができる。
【0039】
具体的に、前記電子メールヘッダー情報は、メール発信サーバーのIPアドレス、メール発信サーバーのホスト名情報、差出人メールのドメイン情報、差出人メールアドレス、メール受信サーバーのIPアドレス、メール受信サーバーのホスト名情報、受信者メールのドメイン情報、受信者メールアドレス、メールプロトコル情報、メール受信時刻情報、メール発信時刻情報などを含むことができる。
【0040】
また、前記電子メールヘッダーは、メールが送受信が行われる過程において必要なネットワーク経路情報、メールのやりとりのためのメールサービスシステム間の使用プロトコル情報などを含むことができる。
【0041】
さらに、前記メール情報は、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイルの本文内容、URL(Uniform Resource Locator)などを含むことができる。前記添付ファイルは、差出人が受信者に伝達しようとするメールの本文内容に加えて、追加的な情報を伝達するか、または情報の返信を求めるための追加的なコンテンツを含むことができる。前記URLは、メールの本文内容に含まれることができ、添付ファイルの内容に含まれる情報から確認されることができる。
【0042】
前記コンテンツは、テキスト、画像、動画などを提供することができる。受信者は、メールに添付されているファイルに対応されるアプリケーションを実行させてコンテンツを確認することができる。また、受信者は、メールに添付されているファイルをローカル記憶装置にダウンロードして保存及び管理し得る。この時、前記コンテンツ内のURLがテキスト情報として含まれることができる。これによって、ユーザ端末200が前記URLへの接続をリクエストするとき、前記URLサービス装置400から提供するサービスを確認することができる。前記URLは、ウェブページで遂行されるスクリプトなどによって呼び出されることができる。また、前記URLは、ユーザ端末200がウェブページなどで発生させるイベントによって呼び出されることもできる。
【0043】
前記添付ファイルの拡張子は、ファイルの形式や種類を仕分けることができる。前記添付ファイルの拡張子は、一般に、ファイルの属性やファイルを生成したアプリケーションを示す文字列で仕分けられることができる。例えば、テキストファイルは、[ファイル名].txt、MSワードファイルは、[ファイル名].doc(docx)、ハングルファイルは[ファイル名].hwpなどの拡張子で仕分けられることができる。また、画像ファイルは、gif、jpg、png、tifなどのように拡張子が仕分けられることができる。
【0044】
さらに、コード化された命令に従って指示された作業を遂行させるコンピューターファイルである実行ファイルは、[ファイル名].com、[ファイル名].exe、[ファイル名].bat、[ファイル名].dll、[ファイル名].sys、[ファイル名].scrなどのように仕分けられることができる。
【0045】
前記添付ファイルのハッシュ情報は、情報の偽・変造を確認して情報の無欠性を保障することができる。ハッシュ情報又はハッシュ値は、ハッシュ関数を通じて任意の長さを有する任意のデータに対して一定した長さのビット列でマッピングされることができる。
【0046】
これによって、最初生成される添付ファイルに対してハッシュ関数を通じて出力されるハッシュ情報は、固有の値を持つようになる。前記出力されるハッシュ情報又はハッシュ値は、逆に関数に入力されるデータを抽出することができない一方向性を有する。また、ハッシュ関数は、一つの与えられた入力データに対して出力されたハッシュ情報又はハッシュ値と等しい出力を提供するまた、他の入力データは、計算的に不可能な衝突回避性を保障することができる。これによって、前記添付ファイルのデータを修正又は追加すると、ハッシュ関数の出力値は相異なるように返還される。
【0047】
このように、前記添付ファイルの固有のハッシュ情報は、メールを通じてやりとりする ファイルに対してハッシュ情報又はハッシュ値を比較することで、ファイルの修正、偽・変造有無を確認することができる。また、前記ハッシュ情報は、固有の値に固定されるため、悪意的な意図を持って生成したファイルに対する過去ヒストリーのデータベースである評判情報を活用することにより、ウイルス感染の事前防御措置を可能にする。さらに、前記ハッシュ関数は、一方向性および衝突回避性を保障することができる技術及びバージョンで利用されることができる。
【0048】
例えば、ハッシュ情報は、ウイルストータルのウェブサイトやマルウェアのウェブサイトを通じてファイルの悪性コードの有無に対する検索情報として活用されることができる。また、前記ウェブサイトは、URL情報に対して異常有無の評価及び分析情報を提供することができる。前記ファイルのハッシュ情報分析を提供するウェブサイトを通じて、ファイルの提供業者、ファイルのハッシュ値などの情報を提供されることができる。また、ファイルのハッシュ情報に対する検索結果は、多数のIT情報セキュリティーソリューションを提供するグローバル会社で判別した評判情報をクロスチェックすることができるから、より信頼性ある情報と判断可能である。
【0049】
セキュリティー脅威検査部130は、あらかじめ設定されたセキュリティー脅威アーキテクチャに応じて、前記メール情報にURL(Uniform Resource Locator)が含まれる場合、メールセキュリティープロセスによってURLを検査し、前記検査結果によるURL検査情報を保存及び管理することができる。前記セキュリティー脅威アーキテクチャは、スパムメールのセキュリティー脅威、悪性コードのセキュリティー脅威、ソーシャルテクノロジー的セキュリティー脅威、内部情報流出のセキュリティー脅威などに仕分けられることができる。前記セキュリティー脅威アーキテクチャに応じて、セキュリティー脅威の類型・レベル・プロセス・優先順位・処理手順が設定されることができる。
【0050】
前記セキュリティー脅威アーキテクチャに応じて対応されるメールセキュリティープロセスは、スパムメールセキュリティープロセス、悪性コードのセキュリティープロセス、詐称メールのセキュリティープロセス、メール搬出のセキュリティープロセスなどを含むことができる。特に、前記メール情報にURLが含まれるか否かに対する検査は、メールセキュリティープロセスの中で悪性コードのセキュリティープロセスに含まれることができる。
【0051】
前記セキュリティー脅威検査部130は、メールセキュリティープロセスの中で悪性コードのセキュリティープロセスを通じて前記メール情報に検出されるURLに対する検査を行うことができる。前記セキュリティー脅威検査部130は、メールの本文内容、添付ファイル内に含まれることができるURL情報をテキスト基盤抽出方式、画像基盤抽出方式などを通じて検出することができる。また、ウェブ形式となっている添付ファイルの場合、ソースコードに対してURLが検出されるかどうかを検査することができる。これによって、前記セキュリティー脅威検査部130は、抽出したURLに対して自ら管理するブラックリスト又はホワイトリストとマッピングして検査結果を得ることができる。または、前記セキュリティー脅威検査部130は、抽出したURLに対して国内外のサイバーセキュリティー関連機関及び企業、ポータル社などで分析して共有している評判分析URL情報と連動してマッチングすることができる。
【0052】
例えば、前記セキュリティー脅威検査部130で検出したURLが「www.*fake-url*.com」と確認されるとき、前記検出URLは1次的に評判分析URL情報とマッチングされることができる。これによって、前記セキュリティー脅威検査部130は、前記URLが評価された情報をクロスチェックすることができ、これにより、信(正常)URLであるか、それとも悪性URLであるかについての検査情報を獲得することができる。
【0053】
また、セキュリティー脅威検査部130は、あらかじめ設定されたセキュリティー脅威アーキテクチャに応じて、前記メール情報に対応するメールセキュリティープロセスの段階別のマッチング処理を行い、前記マッチング処理されたメールセキュリティープロセスによって前記メール情報を検査し、前記検査結果によるメールセキュリティー検査情報を保存及び管理することができる。
【0054】
前記メールセキュリティープロセスは、前記セキュリティー脅威アーキテクチャに応じて、受信メールか発信メールかに対応する、相異なるメールセキュリティープロセスが決められることができる。また、前記メールセキュリティープロセスの検査手順または検査レベルは、あらかじめ設定したセキュリティー段階及びアーキテクチャに応じて決められる。
【0055】
前記メールセキュリティープロセスは、受信または発信のためのメール情報がユーザ端末200から送信されれば独立に仕分けされたプロセスがリソースに割り当てられて前記メール情報から割り当てられた検査領域において直ちに実行され得る流動的リソース割り当て方式は、仮想空間概念で説明されることができる。前記仮想空間にリソースを割り当てる方式において、メールセキュリティープロセスは、処理済み時、順次に流入するメール情報から割り当てられた検査領域において作業を直ちに処理することができる。
【0056】
対照的に、仮想環境、仮想マシンのように一つのリソース中で処理が制限される一定のプロセスが割り当てられた環境は、リクエストされる作業を処理するとき、特定のプロセスの処理が完了するまで他のプロセスが待機するアイドル(idle)タイムを持つことができる。このようにプロセスを通じた分析方式において、流動的リソースは、固定型リソースと比較して、処理速度及び性能において優位を持つことができる。
【0057】
前記セキュリティー脅威検査部130は、前記収集部120で収集された前記メール情報によって、受信又は発信の目的でメールを仕分けることができる。その後、前記セキュリティー脅威検査部130は、前記メールセキュリティープロセスを順次に、もしくは設定された優先順位に応じてマッチングして分析することにより、各々のメールに対するメールセキュリティー検査情報を獲得することができる。
【0058】
前記スパムメールセキュリティー脅威は、無関係の差出人と受信者との間に広告や広報などを目的として一方的、大量で不特定多数に無差別的に配信されるメール類型を含むことができる。また、大量のスパムメールは、メールシステムのデータ処理能力に負荷を与えるようになり、これにより、システムの処理能力を低下させる原因となることもある。また、スパムメールは、本文内容などに含まれた無分別な情報に対してユーザが意図せずに連結される可能性があり、潜在的なフィッシング詐欺のための情報に偽装されることができるという危険性がある。
【0059】
このようなスパムメールを検出してフィルタリングするために、前記セキュリティー脅威検査部130は、スパムメール検査部(図示せず)を含むことができる。前記スパムメール検査部は、前記メールセキュリティープロセスがスパムメールセキュリティープロセスである場合、メールヘッダーの情報、メールの件名、メールの本文内容、一定期間の間の受信回数などを含む前記メール情報を、あらかじめ設定したスパムインデックスと段階別にマッチングすることができる。
【0060】
前記スパムメール検査部は、メールヘッダーの情報とメールの件名、メールの本文内容などを含むメール情報に対してスパムメールに仕分けられる一定したパターンの検査などを通じて、スパムインデックスにおける検査項目として利用することができる。これによって、前記スパムメール検査部は、前記スパムインデックスを段階別にマッチングしてスパムメール検査情報を獲得して保存及び管理することができる。
【0061】
前記スパムインデックスは、段階別にメール情報に含まれる項目に基づく検査項目および検査による水準値が設定されることができる。本発明の一実施の形態よれば、スパムインデックスは、レベル1、レベル2、レベル3、…、レベル[n]に細分化及び段階化されて構成されることができる。
【0062】
前記スパムインデックスレベル1は、ビッグデータ及び評判情報に基づいてメール情報に含まれるメールの件名データをマッチングすることができる。これによって、前記スパムインデックスレベル1は評価された水準値をスパムインデックスレベル1の検査情報として獲得することができる。前記水準値は、定量的に測定されることができる情報として設定されることができる。例えば、前記スパムインデックスレベル1の検査情報は、検査項目であるメールの件名に「広告」、「広報」などの文言が含まれている際に、前記ビッグデータ及び評判情報におけるスパムメールと定義された情報と一致する場合、0と1に仕分けされた水準値のうち「1」と評価されることができる。これによって、スパムインデックスレベル1の検査情報としては、「1」が獲得されることができる。
【0063】
さらに、前記スパムインデックスレベル2は、ユーザ指定キーワードに基づいてメール情報に含まれるデータをマッチングすることができる。これによって、前記スパムインデックスレベル2は、評価された水準値をスパムインデックスレベル2の検査情報として獲得することができる。例えば、前記スパムインデックスレベル2の検査情報は、検査項目であるメールの本文内容に「特価」、「超特価」、「セール」、「sale」、「品切れ」などを含むキーワードが含まれている時、前記ユーザ指定キーワードにおけるスパムメールと定義された情報と一致する場合、0と1に仕分けされた水準値のうち「1」と評価されることができる。これにより、スパムインデックスレベル2の検査情報としては、「1」が獲得されることができる。
【0064】
次の段階であって、前記スパムインデックスレベル3は、画像分析に基づいてメール情報に含まれるデータをマッチングすることができる。これによって、前記スパムインデックスレベル3は、評価された水準値をスパムインデックスレベル3の検査情報として獲得することができる。例えば、前記スパムインデックスレベル3の検査情報は、検査項目であるメールの本文内容に含まれる画像を分析して抽出したデータのうち「080」から始める電話番号などが含まれている時、前記画像分析におけるスパムメールと定義された情報と一致する場合、0と1に仕分けされた水準値のうち「1」と評価されることができる。これにより、スパムインデックスレベル3の検査情報としては、「1」が獲得されることができる。
【0065】
このように、前記スパムメールセキュリティープロセスを通じて、スパムインデックスレベル単位で獲得された検査情報は、最終的に合算(「3」)されて、スパムメール検査情報として保存及び管理されることができる。このように合算されたスパムメール検査情報は、前記メールセキュリティー検査情報に含まれて管理されることができ、前記メール処理部150でセキュリティー脅威判別情報として活用され得る。
【0066】
前記セキュリティー脅威検査部130は、悪性コード検査部(図示せず)をさらに含むことができる。前記悪性コード検査部は、前記メールセキュリティープロセスが悪性コードセキュリティープロセスである場合、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイルの本文内容、URL(Uniform Resource Locator)情報などをさらに含む前記メール情報を、あらかじめ設定した悪性コードインデックスと段階別にマッチングすることができる。
【0067】
前記悪性コード検査部は、添付ファイルの属性値で確認することができる添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名などとともに添付ファイルの本文内容と本文内容に含まれるURL(Uniform Resource Locator)情報を悪性コードインデックス検査項目として利用することができる。これによって、前記悪性コード検査部は、前記悪性コードインデックスを、項目によって段階別にマッチングして悪性コード検査情報を獲得して保存及び管理することができる。
【0068】
前記悪性コードインデックスは、段階別にメール情報に含まれる項目に基づく検査項目および検査による水準値が設定されることができる。本発明の一実施の形態よれば、悪性コードインデックスはレベル1、レベル2、レベル3、…、レベル[n]に細分化及び段階化されて構成されることができる。
【0069】
前記悪性コードインデックスレベル1は、ビッグデータ及び評判情報に基づいてメール情報に含まれる添付ファイル名、添付ファイルの拡張子をマッチングすることができる。これによって、前記悪性コードインデックスレベル1は、評価された水準値を悪性コードインデックスレベル1の検査情報として獲得することができる。例えば、前記悪性コードインデックスレベル1の検査情報は、検査項目である添付ファイル名が「Trojan」、添付ファイルの拡張子が「exe」を含んでいる時、前記ビッグデータ及び評判情報において悪性コードと定義された情報と一致する場合、0と1に仕分けされた水準値のうち「1」と評価されることができる。これにより、悪性コードインデックスレベル1の検査情報としては、「1」が獲得されることができる。
【0070】
さらに、前記悪性コードインデックスレベル2は、ビッグデータ及び評判情報に基づいてメール添付ファイルのハッシュ情報をマッチングすることができる。これによって、評価された水準値を、悪性コードインデックスレベル2の検査情報として獲得することができる。例えば、前記悪性コードインデックスレベル2の検査情報は、検査項目である添付ファイルのハッシュ情報が「a1b2c3d4」と分析されるとき、前記評判情報において悪性コードと定義された情報と一致する場合、0と1に仕分けされた水準値のうち「1」と評価されることができる。これによって、悪性コードインデックスレベル2の検査情報としては、「1」が獲得されることができる。
【0071】
次の段階であって、前記悪性コードインデックスレベル3は、URL評判情報に基づいて添付ファイルまたはメールの本文内容に含まれたURL(Uniform Resource Locator)情報をマッチングすることができる。これによって評価された水準値を悪性コードインデックスレベル3の検査情報として獲得することができる。例えば、前記悪性コードインデックスレベル3の検査情報は、検査項目であるURL情報が「www.malicious-code.com」であると確認されれば、前記URL評判情報における悪性コードファイルが含まれている有害サイトと定義された情報と一致する場合、0と1に仕分けされた水準値のうち「1」と評価されることができる。これにより、悪性コードインデックスレベル3の検査情報としては、「1」が獲得されることができる。そして、前記悪性コード検査部は、URL評判情報から漏れる恐れがあるゼロデイ攻撃に対応することができる。前記悪性コード検査部は、評判情報のないURLへのリンクのIPアドレスを特定のシステムのIPアドレスに変更し、変更されたIPアドレスをユーザ端末200に提供することができる。前記ユーザ端末200は、前記URLに接続しようとする時、前記悪性コード検査部が変更した特定のシステムのIPアドレスに接続可能である。前もって前記URLへのリンクのIPアドレスに変更された特定システムは、引き続きURLのエンドポイントまで悪性コードを含むか否かを検査することができる。
【0072】
このように前記悪性コードセキュリティープロセスを通じて悪性コードインデックスレベル単位で獲得された検査情報は、最終的に合算(「3」)されて悪性コード検査情報として保存及び管理されることができる。このように合算された悪性コード検査情報は、前記メールセキュリティー検査情報に含まれて管理されることができ、前記メール処理部150でセキュリティー脅威判別情報として活用され得る。
【0073】
前記セキュリティー脅威検査部130は、詐称メール検査部(図示せず)をさらに含むことができる。前記詐称メール検査部は、メールセキュリティープロセスが詐称メールセキュリティープロセスである場合であって、あらかじめ設定した関係分析インデックスと段階別にマッチングすることができる。前記関係分析情報は、メール情報及び正常のものと確認されたメールの属性情報などを含むメール情報分析を通じて獲得されることができる。
【0074】
前記詐称メール検査部は、正常と判別されたメールから抽出され得る受信メールのドメイン、発信メールのドメイン、受信メールアドレス、発信メールアドレス、メールのルーティング、メールの本文内容情報などを関係分析インデックス検査項目として利用することができる。これによって、前記詐称メール検査部は、前記関係分析インデックスを項目によって段階別にマッチングし、詐称メール検査情報を獲得して保存及び管理することができる。これにより、前記詐称メール検査部は、類似ドメインを検出することができ、メールの発送経路を追跡または検証することでセキュリティー脅威を加えることができるメールをフィルタリングできる。
【0075】
前記関係分析インデックスは、段階別に前記関係分析情報に基づく検査項目と検査による水準値が設定されることができる。本発明の一実施の形態よれば、関係分析インデックスはレベル1、レベル2、レベル3、…レベル[n]に細分化及び段階化されて構成されることができる。
【0076】
前記関係分析インデックスレベル1は、評判情報に基づいて差出人メールのドメイン、差出人メールアドレスなどをマッチングすることができる。これによって、前記関係分析インデックスレベル1は、評価された水準値を関係分析インデックスレベル1の検査情報として獲得することができる。例えば、前記関係分析インデックスレベル1の検査情報は、検査項目である発信されたメールのドメインが「@詐称.com」であり、かつ差出人メールアドレスが「詐称@」を含んでいる時、前記評判情報において悪性コードと定義された情報と一致する場合、0と1に仕分けされた水準値のうち「1」と評価されることができる。
【0077】
さらに、前記関係分析インデックスレベル2は、前記関係分析情報に基づいて差出人メールのドメイン、差出人メールアドレスなどをマッチングすることができる。これによって、前記関係分析インデックスレベル2は、評価された水準値を関係分析インデックスレベル2の検査情報として獲得することができる。例えば、前記関係分析インデックスレベル2の検査情報は、検査項目である発信されたメールのドメインが「@詐称.com」であり、かつ差出人メールアドレスが「詐称@」を含んでいる時、前記関係分析情報における正常メールの属性情報と定義された情報と一致しない場合、0と1に仕分けされた水準値のうち「1」と評価されることができる。これによって、関係分析インデックスレベル3の検査情報としては、「1」が獲得されることができる。
【0078】
次の段階であって、前記関係分析インデックスレベル3は、前記関係分析情報に基づいてメールのルーティング情報などをマッチングすることができる。これによって、前記関係分析インデックスレベル3は、評価された水準値を関係分析インデックスレベル3の検査情報として獲得することができる。例えば、前記関係分析インデックスレベル3の検査情報は、検査項目であるメールのルーティング情報が「1.1.1.1」、「2.2.2.2」、「3.3.3.3」であると確認されれば、メールの送信経路である前記ルーティング情報が前記関係分析情報における正常メールの属性情報と定義された情報と一致しない場合、0と1に仕分けされた水準値のうち「1」と評価されることができる。これによって、関係分析インデックスレベル3の検査情報としては、「1」が獲得されることができる。
【0079】
このように前記詐称メールセキュリティープロセスを通じて関係分析インデックスレベル単位で獲得された検査情報は最終的に合算「3」されて詐称メール検査情報として保存及び管理されることができる。このように合算された詐称メール検査情報は、前記メールセキュリティー検査情報に含まれて管理されることができ、前記メール処理部150でセキュリティー脅威判別情報として活用されることができる。
【0080】
前記セキュリティー脅威検査部130は、内部情報流出のセキュリティー脅威に対応するようにメール搬出検査部(図示せず)を含むことができる。前記メール搬出検査部は、メールセキュリティープロセスがメール搬出のセキュリティープロセスである場合、前記メール情報に基づいてあらかじめ設定したメール搬出管理インデックスと段階別にマッチングすることができる。
【0081】
前記メール搬出検査部は、前記メール情報の属性情報を活用してメール搬出管理インデックス検査項目として利用することができる。また、前記管理インデックス検査項目は、内部的に管理されるユーザ端末200の割り当てIP情報が利用されることができる。
【0082】
前記メール搬出管理インデックスは、段階別にあらかじめ設定された検査項目及び検査による水準値が設定されることができる。本発明の一実施の形態よれば、メール搬出管理インデックスは、レベル1、レベル2、レベル3、…、レベル[n]に細分化及び段階化されて構成されることができる。
【0083】
前記メール搬出管理インデックスは、発信環境検査のために、ユーザ端末200に割り当てられたIPアドレスの中で許容されたIPアドレスだけがメール情報を登録できるように統制する項目を含むことができる。未認証のユーザ端末は、内部情報を流出する可能性が相対的に高く、かつメールを通じてセキュリティー脅威を加える可能性が相対的に高いから、これを事前に遮断することができる管理インデックスを管理することができる。
【0084】
また、前記メール搬出検査部は、前記メール搬出管理インデックスをIPアドレス情報、発送回数情報などの検査項目に仕分けて、メール搬出管理インデックスとして活用することができる。また、前記メール搬出検査部は、メール発信環境検査項目として承認プロセスなどの統制部をさらに備えることで、内部情報流出脅威を低減させることができる。これによって、前記メール搬出検査部は、メール搬出プロセスを通じて、検査項目とマッチングして算出された水準値を、メール搬出検査情報として保存して管理することができる。
【0085】
ゼロデイURL変換部140は、前記セキュリティー脅威検査部130によって獲得した前記URL検査情報に基づいて、前記URLがゼロデイ攻撃危険性が潜在的に存在するゼロデイURLと判別される場合、前記ゼロデイURLをあらかじめ設定されたセキュリティーURLに変換することができる。ゼロデイ攻撃は、ICT(Infomation and Communucation Technology;情報通信技術)システムに係わる問題の存在それ自体が公表または分析される前に、セキュリティーの脆弱性、もしくは、セキュリティー攻撃防御システムの未構築状況などを悪用して行われることができる。このとき、評判分析URL情報などを通じて正常URL又は悪性URLと判別されるか、分析できないURLはゼロデイURLに仕分けられることができる。前記ゼロデイURLは、生成した者の意図によってゼロデイ攻撃の可能性を内包することができる。前記ゼロデイURLは、正常URLに偽装されることができ、また、正常URLと判明されたURLにリンクされて連結されるURLから、悪性URLが含まれて派生することができる。このように、前記ゼロデイURLは、ゼロデイ攻撃の一つの手段として悪用されることができる。
【0086】
前記セキュリティー脅威検査部130は、抽出したURLの評価情報を分析して信頼(正常)URLであるか、それとも悪性URLであるかを判別するが、新規生成されたURLに対しては評価情報を獲得するのに限界がある。また、前記セキュリティー脅威検査部130は、URLとマッピングされるIPアドレスに対してもブラックリスト又はホワイトリスト情報に含まれないとき、異常有無に対する判別情報を提供することができない。前述のように、前記ゼロデイURL変換部140は、抽出されたURLが内外部の管理データを通じた評判分析に対応されず、知られていない情報と判明されると、前記抽出URLをゼロデイURLと判別することができる。
【0087】
これによって、前記ゼロデイURL変換部140は、ゼロデイURLと判別されたURLを、信頼し得るURL情報であるセキュリティーURLに変換してメール情報に含むことができる。前記ゼロデイURL変換部140は、ゼロデイURLと判別されたURLをメール情報から削除し、削除された部分にセキュリティーURLを挿入して変換し、削除したURLとセキュリティーURLの変換内訳を保存及び管理できるように、URL変換テーブルを生成することができる。前記URL変換テーブルは、ユーザ端末200が閲覧し得る受信メールに適用されたセキュリティーURLへのユーザ端末200からの接続リクエストが発生される場合、検証済みのゼロデイURLへの接続が可能な情報として活用されることができる。
【0088】
メール処理部150は、前記URL検査情報分析によってメール状態を処理することができる。前記メール処理部150は、前記ゼロデイURLが含まれるメールに対して、前記ゼロデイURLを前記セキュリティーURLに代替して、前記ユーザ端末がアクセス可能な受信状態に処理するゼロデイメール処理部151を含むことができる。
【0089】
前記ゼロデイメール処理部151は、前記セキュリティーURLに代替されたメールを受信状態に処理し、これによって、ユーザ端末200は、メールの本文内容又は添付ファイル内に記載されたURLを最初に記載されたゼロデイURLではないセキュリティーURLと認知することができる。
【0090】
また、メール処理部150は、前記メールセキュリティー検査情報及び前記メール情報分析を通じて獲得されるセキュリティー脅威判別情報に応じてメール状態を処理することができる。
【0091】
関係分析部(図示せず)は、前記メール情報及び信頼認証ログ分析に基づいて獲得される関係分析情報を保存及び管理することができる。前記信頼認証ログは、前記メール処理部150を通じてセキュリティー脅威判別情報に応じてメール情報を正常メールと処理する場合、受信メールのドメイン、発信メールのドメイン、受信メールアドレス、発信メールアドレス、メールのルーティング、メールの本文内容情報などを含むレコード情報を含むことができる。
【0092】
前記メール処理部150は、あらかじめ設定された優先順位に応じた前記メールセキュリティープロセスが行われることができる。前記メール処理部150は、前記メールセキュリティープロセスを通じた前記セキュリティー脅威判別情報が、迷惑メールと判別される場合、後続するメールセキュリティープロセスを中断するか否かを判断して、メール状態を処理することができる。これによって、前記メール処理部150は、優先順位に応じて、まず、検査段階で問題点が発見された場合、その段階で必要な処理のみを行い、検査が終了したか否かを判断して、後続する検査段階は行わず終了することができる。これによって、メールセキュリティーサービスの効率性を確保し、システムの複雑性を低減させ、処理効率を向上させることができる。
【0093】
前記メールセキュリティー検査情報は、前記セキュリティー脅威検査部130で算出されたスパムメール検査情報および悪性コード検査情報、詐称メール検査情報、メール搬出検査情報を取りまとめて獲得された情報を活用することができる。例えば、前記セキュリティー脅威検査部130がメール情報に対してプロセス遂行を通じて、前記スパムメール検査情報と算出されたスコアが「3」、悪性コード検査情報と算出されたスコアが「2」、詐称メール検査情報「1」、メール搬出検査情報と算出されたスコアが「0」である場合、メールセキュリティー検査情報として合算されるスコアは、「7」が獲得されることができる。この時、あらかじめ設定されたセキュリティー脅威判別情報の基準として、総合スコアが0~3の範囲であるときは正常メール、4~6の範囲であるときはグレーメール、7~12の範囲であるときは迷惑メールと分類されることができる。これによって、前記メールセキュリティー検査情報が「7」であるメールは、迷惑メールと判別されることができる。そして、前記メール情報検査情報に含まれるそれぞれの検査情報項目の結果値は、項目によって絶対的な優先順位が指定されるか、加重値による情報で優先順位が決められることができる。
【0094】
前記メール処理部150は、前記セキュリティー脅威判別情報に応じて正常メールと判別されたメールに対して、前記ユーザ端末が処理可能な受信又は発信状態で処理するメール分配処理部(図示せず)を含むことができる。
【0095】
また、前記メール処理部150は、前記セキュリティー脅威判別情報に応じて迷惑メールと判別されたメールに対して、前記ユーザ端末のアクセスが不可能な状態で処理するメール廃棄処理部(図示せず)をさらに含むことができる。
【0096】
さらに、前記メール処理部150は、前記セキュリティー脅威判別情報に応じてグレーメールに判別されたメールに対して、前記グレーメールを非実行ファイルコンテンツに変換処理して前記ユーザ端末がメール状態を選択的に処理するように提供するメール無害化処理部(図示せず)をさらに含むことができる。
【0097】
一般に、前記グレーメールは、スパムメール又はジャンクメールに仕分けられることもでき、逆に、正常メールに仕分けられることもできる。本発明では、前記グレーメールは、セキュリティー脅威判別情報が正常あるいは異常と確定できない一定範囲内での中間値と算出された場合に仕分けられるメール類型であると定義することができる。前記メール無害化処理部は、疑われる本文内容などを含むグレーメールを画像ファイルに変換してユーザ端末200が確認可能なメール状態で提供することができる。また、前記メール無害化処理部は、添付ファイル内の悪性コードと疑われる部分を除去又は修正してユーザ端末200へ提供することができる。
【0098】
ゼロデイURL診断部160は、周期的に、前記ゼロデイURLを対象に、悪性URLであるかどうかを診断することができる。前記悪性URLは、個人情報の入力誘導、悪性コードのダウンロード、悪性スクリプトの実行、ウェブの脆弱性攻撃などのセキュリティー脅威を含むことができる。
【0099】
前記ゼロデイURLは、既存に使われるか、または、これに対する評価がされていない状態であるから、これを通じた連結により提供されるサービス又はコンテンツに対する信頼度が保障されない。また、前記ゼロデイURLは、正常なウェブページを模倣して偽造または、変造を通じて悪意的な目的で提供される可能性がある。もちろん、正常なサービス又はコンテンツを提供するゼロデイURLが発生されることがある。これはただURLが提供される時点が最初であるからゼロデイURLに仕分けられる。
【0100】
しかし、前記ゼロデイURLは、如何なる目的でサービスされており、コンテンツなどを提供するものか分析されて評価された情報が全くないから、ユーザに非正常的な行為を実行させて被害を与える可能性も排除することができない。これによって、前記ゼロデイURLは発見次第直ちに悪性URLであるか否かが判別できるように、セキュリティー検査を受けなければならない。
【0101】
前記セキュリティー検査は、前記ゼロデイURLが対応するIPアドレスを抽出してこれに対するブラックリストを再度マッチングする1次的な段階を経ることができる。前記ブラックリストは、自ら有害IPに分類して保存したデータベース情報を利用することができる。また、国内外のサイバーセキュリティー関連機関及び企業、ポータル社などで分析して共有している有害IPアドレス評判分析情報を活用することができる。
【0102】
このようなブラックリストマッチング検査は、最初に前記セキュリティー脅威検査部130による評判分析URL情報対応検査に活用されることができる。しかし、前記評判分析URL情報および有害IPに対する評判情報は、リアルタイムで更新される分析情報を活用するために、前記ゼロデイURL診断部160でさらに実施されることができる。
【0103】
前記ゼロデイURL診断部160は、1次的に前記ゼロデイURLとマッピングされる IPに対する有害IPであるか否かを、検査結果によって後続検査を進行することができる。
【0104】
前記ゼロデイURLが正常あるいは異常と仕分けられないゼロデイURLと再判別される時、前記ゼロデイURL診断部160は、前記ゼロデイURLに接続して提供サービス又はコンテンツに対する正常であるか否かを検査することができる。
【0105】
前記ゼロデイURL診断部160は、前記ゼロデイURLに接続して行為基盤動的検査を実施することができる。これによって、前記ゼロデイURL診断部160は、前記ゼロデイURLで個人情報の入力を誘導するか、悪性コードをダウンロードするか、悪性コードダウンロードを誘導するか、悪性スクリプトを実行させるかなどに対する検査を段階的に行うことができる。また、ウェブの脆弱性攻撃が発生されることができる事項に対して点検することができる。
【0106】
前記ゼロデイURL診断部160は、優先順位に応じて、まず検査段階で問題点が発見された場合、その段階で必要な処理のみを行い、検査が終了したか否かを判断し、後続する検査段階は行わず終了することができる。これによって、メールセキュリティーサービスの効率性を確保してシステムの複雑性を低減させて処理効率を向上させることができる。
【0107】
本発明の実施の形態よって、前記ゼロデイURL診断部160が悪性URLであるか否かに対する検査を下記のように行うことができる。
【0108】
まず、前記ゼロデイURL診断部160は、評判分析URL情報をリアルタイムで再検査することができる。
【0109】
例えば、ゼロデイURLと判別される「www.*zerodayurl1*.com」が提供された時、前記ゼロデイURL診断部160は、前記「www.*zerodayurl1*.com」に対して1次的に悪性URLであるか否かを診断することができる。この時、「www.*zerodayurl1*.com」にマッピングされるIPアドレスを分析して獲得した「1.2.3.4」のIPアドレス情報により、有害IPであるか否かを一緒に診断することができる。前記ゼロデイURL診断部160は、前記ゼロデイURLとこれにマッピングされるIPアドレスとが、依然として評判分析情報に対応されないことを確認することができる。
【0110】
次の段階において、前記ゼロデイURL診断部160は、前記ゼロデイURLに直接連結又は接続して行為基盤の動的検査を行うことができる。
【0111】
例えば、前記ゼロデイURL診断部160は、ゼロデイURLである「www.*zerodayurl1.com*」に直接連結又は接続して偽・変造URLであるかどうかを検査することができる。前記ゼロデイURL診断部160は、前記「www.*zerodayurl1*.com」で金融サービスを提供するウェブページメニューが構成され、これを通じて、個人情報及び金融関連情報の入力を誘導するURLであることを確認することができる。前記ゼロデイURL診断部160は、これに通じて個人情報または金融関連の情報を奪取しようとするURLであるかどうかを検査して判別することができる。前記検査を通じて、悪性URLと判別される場合は、前記ゼロデイURL診断部160が、前記「www.*zerodayurl1*.com」は、正常な金融サービスを提供する「www.*zerodayurl*.com」のウェブページの構成と類似するように提供していることを感知し、これを利用するユーザの個人情報及び金融情報の奪取の試みを確認した時、悪性URLと評価されることができる。前記悪性URLに判別された「www.*zerodayurl1*.com」は、正常URLである「www.*zerodayurl*.com」の2段階ドメインであるzerodayurlに数字1を追加することでユーザに正常URLのように錯覚させて接続を誘導させることができる。また、前記ゼロデイURL診断部160は、前記「www.*zerodayurl1*.com」に連結又は接続時、悪性コードの含まれたファイルがダウンロードされたりダウンロードを誘導したりするかどうかを検査することができる。さらに、前記ゼロデイURL診断部160は、前記「www.*zerodayurl1*.com」に連結又は接続時、悪性スクリプトが実行されるか否かを検査することができる。これと共に、前記ゼロデイURL診断部160は、前記「www.*zerodayurl1*.com」で提供するメニューの実行動作を把握して異常有無を検査することができる。
【0112】
また、前記ゼロデイURL診断部160は、ウェブの脆弱性などを利用した攻撃が行われるかどうか検査して正常か否かを判別することができる。前記ウェブの脆弱性は、ソースコード領域に対するプログラミングを通じてサイバー攻撃、情報奪取、不法な権限獲得、詐欺などの悪意的な目的を果たすための道具として悪用されることができる。前記ウェブの脆弱性は、SQLインジェクション、XPathインジェクション、悪性コンテンツの注入、クロスサイトスクリプト(XSS)、クロスサイトリクエスト変造、自動化攻撃、ファイルアップロード、クッキー変造などにより行われることができる。
【0113】
前記ゼロデイURL診断部160は、一定の周期ごとに、前記ゼロデイURLからリンクされる一つ以上の第1の派生URLと、これに通じて連鎖的に派生する第[n]の派生URLとを追跡管理してURLチェーン情報を獲得するURL追跡モジュール161を含むことができる。前記URL追跡モジュール161は、前記ゼロデイURLに直接連結又は接続して提供されるサービス又はコンテンツなどを点検して追加リンクとして提供されるURL情報を追跡することができる。前記URL追跡モジュール161は、前記URLチェーン情報を獲得することで、前記ゼロデイURLとリンクされて連結される派生URLの中で既存に悪性URLと判明されたURLが選別され得るように、前記URLチェーン情報を活用することができる。
【0114】
この際、前記ゼロデイURLがウェブページでサービスを提供する場合、前記ゼロデイURLは、ウェブページにメニューを構成することができる。前記ゼロデイURLは、これによって、ウェブページの更なる動作を行うことができ、更なるリンクを提供して第1 の派生URLに移動されることができる。このような第1の派生URLは、前記ゼロデイURLが提供するウェブページにおいて一つ以上で提供されることができる。前記第1の派生URLがリンクされて連結又は接続されるウェブページは、メニューなどを通じて更なる リンクである第2の派生URLを提供することができる。前記第2の派生URLは、一つ以上のメニューなどを通じて一つ以上が提供されることができる。このように前記ゼロデイURLは、提供するサービス又はコンテンツを通じて第1の派生URLを含むことができ、前記第1の派生URLも第2の派生URLを含むことができる。また、第2の派生URLは、第3、第4、そして第[n]の派生URLを連鎖的に含むことができる。
【0115】
これによって、前記URL追跡モジュール161は、前記ゼロデイURLから第[n]の派生URLまで検出されたURL情報を総合して地図化(mapping)するURLチェーン情報を獲得することができる。
【0116】
これによって、前記ゼロデイURL診断部160は、前記のようにゼロデイURL及び該ゼロデイURLから派生した第1の派生URL、該第1の派生URLから派生した第2の派生URLなどのように連鎖的に含まれるURLチェーン情報を利用して悪性URLであるか否かを検査して判別することができる。このような前記ゼロデイURL診断部160は、一定した時、分、秒の間隔、もしくは、周期的に仕分けられることができる特定の基準によって、前記ゼロデイURLから第[n]の派生URLが検出されない終点(end point)までを対象に、URL情報を追跡して抽出することができる。
【0117】
また、前記ゼロデイURL診断部160は、前記URLチェーン情報に基づいて、第[n]の派生URLを対象に、悪性URLであるか否かを一定の周期ごとに診断してチェーン診断情報を保存及び管理するURLチェーン診断モジュール162をさらに含むことができる。
【0118】
前記URLチェーン診断モジュール162は、前記チェーン診断情報を持続的に更新して最新情報に維持することができる。これによって、前記URLチェーン診断モジュール162は、悪性URLと判別されるURLを、外部機関と連動してブラックリストに追加するように提供してもよい。
【0119】
URL分類情報管理部170は、前記URL検査情報分析によって、正常URL、悪性URL、ゼロデイURLの中から選ばれて判別される情報をURL分類情報として保存して管理することができる。前記URL分類情報管理部170は、前記チェーン診断情報に基づいて、ゼロデイURLおよび第[n]の派生URLに対する異常有無判別情報をURL分類情報に含むことができる。これによって、前記URL分類情報管理部170は、URL分類情報の最新化を維持して速かにセキュリティー脅威に対応することができる情報を提供することができる。
【0120】
セキュリティーURL接続部180は、前記セキュリティーURLを含むメールを受信する前記ユーザ端末200が前記セキュリティーURLへの接続をリクエストする際に、1次的に前記ユーザ端末200でリダイレクトされるセキュリティーゾーンに提供されることができる。前記セキュリティーURL接続部180は、前記診断情報に基づいて悪性URLではないものと判別される前記ゼロデイURLおよび第[n]の派生URLへの接続を処理することができる。
【0121】
例えば、ユーザ端末200は、最初のメール内容に記載されたゼロデイURLである「www.*zerodayurl123*.com」(マッピングIPアドレス:1.1.1.1)がセキュリティーURLである「www.*security123*.com」(マッピングIPアドレス:10.10.10.10)に代替された受信メールを確認することができる。また、ゼロデイURLである「www.*zerodayurl123*.com」は、変更なしにこれとマッピングされるIPアドレスを変換したセキュリティーURL変換情報を、ユーザ端末200が接続のリクエストをするとき、適用することができる。前記ユーザ端末200は、メール内容を追加的に確認するために記載された前記「www.*security123*.com」をクリックするか、またはウェブブラウザーに入力して接続を図ることができる。このとき、前記ユーザ端末200がメール内容に記載された前記「www.*security123*.com」をクリックして接続をリクエストするようになると、前記ユーザ端末200は、1次的に前記セキュリティーURL接続部180のIPアドレスである10.10.10.10に接続されるようにリダイレクトされることができる。その以後、悪性URL検査情報によって、前記「www.*zerodayurl123*.com」とマッピングされた1.1.1.1であるIPアドレスへの移動を許容又は遮断することができる。これに対する情報は、通知ウィンドウなどによりユーザ端末200で確認するように提供することができる。
【0122】
レコード管理部(図示せず)は、前記セキュリティー脅威判別情報に応じて処理された前記メール情報を、レコード情報として保存して管理することができる。前記レコード管理部は、前記セキュリティー脅威判別情報に応じて正常メールとして処理される場合、受信メールのドメイン、発信メールのドメイン、受信メールアドレス、発信メールアドレス、メールのルーティング、メールの本文内容情報などを含む前記レコード情報を信頼認証ログとして保存して管理する関係情報管理部(図示せず)をさらに含むことができる。前記レコード管理部は、メールの本文内容に含まれるURLに対する異常有無判断情報に基づいて信頼認証ログに正常URL情報をさらに含むことができる。これによって、前記信頼認証ログは、受信者と差出人のメール情報に対して信頼し得る関係情報分析に活用されることができる。また、前記信頼認証ログに含まれた情報は、相互間の情報交換を通じて持続的にデータが蓄積されながら信頼度が保障されることができる。
【0123】
また、前記レコード管理部は、前記セキュリティー脅威判別情報に応じて迷惑メールとして処理される場合、受信メールのドメイン、発信メールのドメイン、受信メールアドレス、発信メールアドレス、メールのルーティング、メールの本文内容情報などを含む前記レコード情報を、メールセキュリティープロセス遂行時に迷惑メール判断インデックスとして活用されることができる。また、前記レコード管理部は、メールの本文内容に含まれるURLに対する異常有無判断情報に基づいて、迷惑メールの判断インデックスとして悪性URL情報をさらに含むことができる。
【0124】
図3は、本発明の一実施の形態によるメールセキュリティー基盤のゼロデイ攻撃防御サービス提供装置の動作方法を説明するための流れ図である。
【0125】
図3を参照すれば、ゼロデイ攻撃防御サービス提供装置の動作方法において、収集段階S101は、一つ以上のユーザ端末200間に送受信されるメール情報を収集することができる。
【0126】
これに併せて、前記メール情報にURLが収集されるか否かを判断する(S103)。
【0127】
セキュリティー脅威検査段階S105は、あらかじめ設定されたセキュリティー脅威アーキテクチャに応じて、前記メール情報にURL(Uniform Resource Locator)が含まれる場合、メールセキュリティープロセスによってURLを検査することができる。前記セキュリティー脅威検査段階S105は、前記検査結果によるURL検査情報を保存及び管理することができる。
【0128】
前記メールセキュリティープロセスは、前記セキュリティー脅威アーキテクチャに応じて、受信メールか発信メールかに対応する相異なるメールセキュリティープロセスが決められることができる。また、前記メールセキュリティープロセスの検査手順又は検査レベルは、あらかじめ設定したセキュリティー段階及びアーキテクチャに応じて決められることができる。
【0129】
これと共に、前記検査結果によって、ゼロデイURLと判別されるかどうかを判断する(S107)。
【0130】
URL変換段階S109は、URL検査情報に基づいて、前記URLが評判分析URL情報と対応されないゼロデイURLと判別される場合、前記ゼロデイURLをあらかじめ設定されたセキュリティーURLに変換することができる。
【0131】
ゼロデイURL診断段階S111は、一定の周期ごとに、前記ゼロデイURLを対象に、悪性URLであるか否かを診断することができる。
【0132】
前記ゼロデイURL診断段階S111は、一定の周期ごとに、前記ゼロデイURLからリンクされる一つ以上の第1の派生URLと、これに通じて連鎖的に派生する第[n]の派生URLとを追跡管理してURLチェーン情報を獲得するURL追跡段階(図示せず)をさらに含むことができる。
【0133】
また、前記ゼロデイURL診断段階S111は、前記URLチェーン情報に基づいて第[n]の派生URLを対象に、悪性URLであるか否かを一定の周期ごとに診断して、チェーン診断情報を保存及び管理するURLチェーン診断段階(図示せず)をさらに含むことができる。
【0134】
メール処理段階S113は、URL検査情報分析によってメール状態を処理することができる。前記メール処理段階S113は、前記ゼロデイURLが含まれるメールに対して、前記ゼロデイURLを前記セキュリティーURLに代替し、前記ユーザ端末200がアクセス可能な受信状態に処理するゼロデイメール処理段階(図示せず)をさらに含むことができる。
【0135】
URL分類情報管理段階(図示せず)がさらに含まれ、前記URL検査情報分析によって、正常URL、悪性URL、ゼロデイURLの中からいずれか一つが選ばれて判別される情報をURL分類情報として保存して管理することができる。
【0136】
セキュリティーURL接続段階(図示せず)がさらに含まれ、前記セキュリティーURLを含むメールを受信する前記ユーザ端末200が前記セキュリティーURLへの接続をリクエスト時、1次的に前記ユーザ端末200でセキュリティーURLとして指定されたセキュリティー装置にリダイレクトされ、前記診断情報に基づいて悪性URLではないものと判別される前記ゼロデイURLおよび第[n]の派生URLへの接続を処理することができる。
【0137】
図4は、本発明の一実施の形態によるメールセキュリティー基盤のゼロデイ攻撃防御サービス提供装置を通じてURL変換を適用した受信メールを説明するための例示図である。
【0138】
図4を参照すれば、外部から発信したメールは、メールサーバーを通じて収集されることができる。この時、サービス提供装置100は、メールセキュリティープロセスの遂行によって検出したURLは、http://www.**zeroday-url**.comから確認することができる。前記サービス提供装置100は、前記URLに対する検査を通じてゼロデイURLであるか否かを判別することができる。これによって、ゼロデイURLと判別された場合、前記サービス提供装置100は、前記http://www.**zeroday-url**.comをセキュリティーURLに変換することができる。前記セキュリティーURLは、あらかじめ設定されたhttp://www.**security-platform**.comに変換されてメール内容に適用されてメールは受信者に送信されることができる。
【0139】
これによって、受信者は金メールさんが送ったメール内容と前記メール内容に含まれたURL情報をセキュリティーURLであるhttp://www.**security-platform**.comから確認することができる。もし、前記ゼロデイURLは、ユーザ端末200を通じてクリックされると、正常なURLとして保障できないウェブページなどで連結されることができ、これによって、セキュリティーリスクが発生されることができる。
【0140】
これに対し、変換されたセキュリティーURLは、ユーザ端末200を通じてクリックされると、安全なURLとして保障されるセキュリティー装置から提供するウェブページなどに接続されることができる。その以降、セキュリティー装置は、リアルタイムで実際URLであるhttp://www.**zeroday-url**.comのセキュリティー検査を実施して、安全であると判断される時、前記実際のURLへの接続を許容して前記ユーザ端末200を連結することができる。
【0141】
図5は、本発明の一実施の形態によるメールセキュリティー基盤のゼロデイ攻撃防御サービス提供装置を通じて、メール受信経路によるURL接続経路を比較説明する例示図である。
【0142】
図5aを参照すれば、本発明の実施の形態によるURL情報提供およびURL接続経路を説明するための例示図である。部外者は、ゼロデイURLである「www.*zerodayurl*.com」を含むメールを発信することができる。ユーザ端末3は、メールサーバー及びゼロデイ攻撃防御システムを介して受信したメールを閲覧することができる。この時、前記「www.*zerodayurl*.com」は、「www.*securityurl*.com」に変換されてユーザ端末3に提供される。前記ユーザ端末3は、メール内容の追加確認のために含まれたURLをクリックして接続をリクエストすることができる。この時、ユーザ端末3がクリックしたURLである「www.*securityurl*.com」が呼び出されて、これとIPアドレスとがマッピングされたゼロデイ攻撃防御システムに接続される。前記ゼロデイ攻撃防御オシステムは、ユーザ端末3にウェブページなどに接続状況などの情報を提供することができる。前記接続状況などの情報は、ユーザ端末3に伝達されたメール内容に含まれた本来のURLは「www.*zerodayurl*.com」であったが、ゼロデイURLと判別されてセキュリティーリスクを予防するために検査を進行するというメッセージなどで理解を助けることができる。
【0143】
これと同時に、前記ゼロデイ攻撃防御システムは、前記「www.*zerodayurl*.com」に対する悪性URLであるか否かを検査することができる。前記ゼロデイ攻撃防御システムは、前記「www.*zerodayurl*.com」が悪性URLと判別されると、これに対するリンクを遮断してユーザ端末3の接続を遮断することができる。逆に、前記ゼロデイ攻撃防御システムは、前記「www.*zerodayurl*.com」がセキュリティー脅威のない正常URLと判別されると、これに対するリンクを許容してユーザ端末3を前記「www.*zerodayurl*.com」に連結させることができる。
【0144】
図5bを参照すれば、従来の技術によるURL情報提供およびURL接続経路を説明する例示図である。部外者は、ゼロデイURLである「www.*zerodayurl*.com」を含むメールを発信することができる。ユーザ端末7は、部外者が送信したゼロデイURLである「www.*zerodayurl*.com」に対するセキュリティー検査又はURL変更措置なしに受信するようになる。前記ユーザ端末7は、ゼロデイ攻撃防御システムを経らないから、前記www.*zerodayurl*.comの情報が悪性URLであるか正常なURLであるか判別するセキュリティー点検を経ることができなくなる。このため、前記ユーザ端末7は、前記URLへの接続をリクエストするとき、悪性URLの場合、個人情報の奪取、悪性コードのダウンロード、悪性スクリプトの実行などの攻撃に無防備状態で露出することができる。
【0145】
図6は、本発明の一実施の形態によるメールセキュリティー基盤のゼロデイ攻撃防御サービス提供装置を通じてゼロデイURLと、これから派生するURLの検査段階を説明する手続き図である。
【0146】
図6を参照すれば、前記ゼロデイURLと判明される1次URLは、ウェブページとしてサービスを提供する場合、前記ゼロデイURLは、ウェブページにメニューを構成することができ、これによって、ウェブページの更なる動作を行うことができる。これによって、前記ゼロデイURLは、追加リンクを提供して2次URLに移動されることができる。このような2次URLは、追加リンクを通じて3次URLを提供することができ、これから派生する3次、4次、[n]次URLが連鎖的に確認できる。このような段階別のURLに対してセキュリティー検査を実施して異常URLであるか否かを判別して終点(end point)まで追跡して悪性コードが発見されるか否かを判別することができる。
【0147】
図7は、本発明の一実施の形態によるメールセキュリティーアーキテクチャに応じた検査方式を説明するための例示図である。
【0148】
図7を参照すれば、メールセキュリティー提供するためのアーキテクチャであって、これによって、セキュリティー脅威の類型及びレベル、プロセス、優先順位、処理手順などが設定されることができる。前記メールセキュリティーサービスのアーキテクチャは、受信メール、発信メール、内部メール、ユーザ教育などの最上位カテゴリーに仕分けられて各カテゴリーごとに下部構造として階層的、段階的な構成と処理方式が適用されることができる。前記最上位カテゴリーは、メール情報に含まれる属性値又はユーザ端末200のメールの利用目的によって接続するシステムの区分で分類されることができる。
【0149】
それぞれのセキュリティー脅威類型内には、一つ以上の特定のメールセキュリティープロセスが割り当てられることができ、これはレベルで仕分けされて段階的でかつ順次に実行されることができる。詳しく、セキュリティー脅威類型は、SPAM、Malicious code Attachment、Malicious code(URL)、Social Engineering Attackなどのセキュリティー脅威類型に仕分けられることができる。これによる、セキュリティー脅威類型の検査プロセスが順次に履行されることができる。また、それぞれの前記セキュリティー脅威類型内ではレベル1、2、3、…[n]段階に仕分けされて順次に履行されることができる。この時、各レベルは、検査する特定項目とインデックスが割り当てられて検査結果を獲得することができる。
【0150】
また、アーキテクチャの設定に応じて、それぞれのセキュリティー脅威類型内のメールセキュリティープロセスは、割り当てられた検査領域を並列的に並行検査処理する方式で行われてもよい 。
【0151】
最上位カテゴリー中の一つである前記受信メールは、下位階層であって、セキュリティー脅威類型が仕分けられることができる。詳しく、前記セキュリティー脅威類型は、SPAM処理、悪性コード処理、ソーシャルテクノロジー的処理などに仕分けられることができる。
【0152】
受信メールのセキュリティー脅威検査のために、SPAM処理部門内のレベル1(Lv.1)は、評判基盤でのスパムメールであるか否かを検査することができる。その後、評判基盤のスパムメール検査で発見された問題点がない場合、レベル2(Lv.2)はユーザ指定キーワードに基づいてフィルタリングによるスパムメールであるか否かを検査することができる。
【0153】
レベル2の遂行が完了した後、次の段階であるレベル3(Lv.3)は、画像基盤の内容分析によってスパムメールであるか否かを検査することができる。このように、メールセキュリティーサービスアーキテクチャは、SPAM処理類型中における特定のスパムフィルタリングプロセスを通じてレベル別の検証を遂行させ、前記検証が完了すると次のレベルに移行させる。そして、前記メールセキュリティーサービスアーキテクチャは、SPAM処理によってメールがスパムであるかどうかの検査を完了した後、メール内の悪性コードが含まれているかどうかを判別する悪性コード処理段階に移行されることができる。
【0154】
前記悪性コード処理は、レベル1の評判基盤悪性コードを含むか否かを判別することができ、正常確認時に次の段階に移行されることができる。レベルn(Lv.n)は、悪性コードが含まれる可能性がある添付ファイルとして判別されると、添付ファイル内に含まれた実行コードを変形する無害化処理を通じて悪性コード処理段階を終了することができる。前記悪性コード処理検査が完了する場合、検査段階は、ソーシャルテクノロジー的処理検査段階に移行されることができる。前記ソーシャルテクノロジー的処理検査段階は、レベル1(Lv.1)のメタデータ基盤、レベルn(Lv.n)の関係分析基盤のソーシャルテクノロジー的攻撃メール検査プロセスを実行した後、検査結果の情報によって対応を処理するか、またはリクエストすることができる。
【0155】
最上位カテゴリーの一つである前記発信メールは、下位階層であって、セキュリティー脅威類型が仕分けられることができる。前記発信メールのカテゴリーも、受信メールのセキュリティー脅威類型のように、SPAM処理、悪性コード処理、ソーシャルテクノロジー的処理段階に仕分けされて検査が行われることができる。
【0156】
特に、発信メールのセキュリティー脅威検査は、発信環境検査段階を含むことができる。前記発信環境検査段階は、メール発信を目的として一つ以上のユーザ端末200がシステムに接続する時、事前に登録済みのホワイトリストによるIPアドレス許容ユーザ端末であるか否かを検証するレベル1(Lv.1)段階を遂行することができる。前記レベル1段階の検証を通じて認証されたユーザ端末200は、メール発送回数に対して一定基準回数以内に整合しているとき、正常メールと判別して次の段階に移行されることができる。その以降、レベルn(Lv.n)段階は、発信メールの内容を事前に検査して、異常であるかどうかを判別するプロセスが実行されて正常メールであるかどうかを検証することができる。
【0157】
最上位カテゴリーの一つである前記内部メールは、下位階層であって、内部情報の流出を防止することができる内部メール管理段階が遂行されることができる。前記内部メール管理段階は、レベル1(Lv.1)の承認プロセスを通じて異常メールであるかどうかを検査することができる。前記承認プロセスは、内部情報が含まれたメールに対する情報流出の危険度を判断することができる。
【0158】
前記承認プロセスは、メール管理システムによって順次に承認処理されて外部へ送信されるメールの内容に対して事前検閲されるという方式で行われることができる。その後、レベル2(Lv.2)段階において、DLP(Data Loss Prevention;データ流出防止)及びDRM(Digital Rights Management:デジタル著作権管理)統制プロセスが遂行されて内部情報が流出したか否を検査することができる。前記DLP統制プロセスは、承認などの許可なしに政策に違反するシステムにアクセスして情報を伝送しようとする行為を検知及び統制することができる。前記DRM統制プロセスは、暗号化された内部文書が承認などの許可なしに復号化または復号化されたファイルをメールに添付しようとする試みを探知して統制することができる。その後、レベルn(Lv.n)段階は、メールを発信しようとする時、ユーザ端末200の認証処理段階であって、第1段階、第2段階などの多段階の認証プロセスを提供することができる。これによって、アカウントの奪取や盗用を試みるユーザを遮断することで正常なメール処理を保障することができる。
【0159】
最上位のカテゴリーの一つである前記ユーザ教育は、下位階層であって、模擬フィッシング段階とフィードバックシステム段階とを含むことができる。前記模擬フィッシング段階では、セキュリティー脅威が含まれたメールを使用した履歴のあるユーザ端末200の識別値と回数などの情報を保存及び管理することができる。前記セキュリティー脅威は、実際のシステムやコンテンツに無害な方式で構成されたメールが使われることができる。これによって、フィードバックシステムは、模擬フィッシングを通じて算出された統計値や脅威度を分析した結果値を提供することができる。
【0160】
前記カテゴリー別に構成されたセキュリティー脅威検査は、アーキテクチャ及びセキュリティー段階によって決められることができる。これによって、検査順序及び検査レベルが決められることができ、順次的な検査によって異常有無を確認することができる。また、前記検査順序及び検査レベルの優先順位は、アーキテクチャ及びセキュリティー段階によって設定可能である。前記優先順位に応じて遂行されたプロセスは、獲得される検査結果によって問題点が発見される場合、当該段階で必要な処理を遂行して検査が終了したか否かを判断することができる。前記問題点は、スパムメールと判別されるとか悪性コードが含まれたメールと判別される時、メールをユーザ端末200で確認できないように廃棄処理するか、返送などの処理で解決されることができる。このように特定の段階での検査プロセスを通じてメールの問題点を処理する場合、後続する検査段階は遂行されないで終了することができる。
【0161】
前述した本発明による方法は、コンピューターで実行されるためのプログラムで製作されて、コンピューターで読み取り可能な記録媒体に格納されることができ、コンピューターで読み取り可能な記録媒体の例としては、ROM、RAM、CD-ROM、磁気テープ、フロッピーディスク、光データ記憶装置などが挙げられ、また、搬送波(例えば、インターネットを介した伝送の形態)で具現されるものも含む。
【0162】
コンピューターで読み取り可能な記録媒体は、ネットワークで繋がれたコンピューターシステムに分散され、分散方式により、コンピューターで読み取り可能なコードが格納されて実行されることができる。そして、前記方法を具現するための機能的な(function)プログラム、コード及びコードセグメントは、本発明の属する技術分野におけるプログラマーによって容易に推論できる。
【0163】
また、以上では本発明の好ましい実施の形態について図示し説明したが、本発明は上述した特定の実施例に限定されなく、請求の範囲で請求する本発明の要旨を逸脱することがなく、当該発明の属する技術分野における通常の知識を持つ者によって多様な変形実施が可能なことは勿論であり、これらの変形実施は、本発明の技術的思想や展望から個別的に理解されてはならない。
図1
図2
図3
図4
図5a
図5b
図6
図7a
図7b
図7c
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.