KR101277516B1 - 프로세스 외부 접근 차단 장치와 방법 및 컴퓨터 프로그램이 기록된 기록매체 - Google Patents

프로세스 외부 접근 차단 장치와 방법 및 컴퓨터 프로그램이 기록된 기록매체 Download PDF

Info

Publication number
KR101277516B1
KR101277516B1 KR1020100108762A KR20100108762A KR101277516B1 KR 101277516 B1 KR101277516 B1 KR 101277516B1 KR 1020100108762 A KR1020100108762 A KR 1020100108762A KR 20100108762 A KR20100108762 A KR 20100108762A KR 101277516 B1 KR101277516 B1 KR 101277516B1
Authority
KR
South Korea
Prior art keywords
access
browser
blocking
document object
external
Prior art date
Application number
KR1020100108762A
Other languages
English (en)
Other versions
KR20120047083A (ko
Inventor
김윤석
양재갑
김한주
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020100108762A priority Critical patent/KR101277516B1/ko
Priority to PCT/KR2011/008324 priority patent/WO2012060639A2/en
Priority to US13/883,351 priority patent/US9185131B2/en
Publication of KR20120047083A publication Critical patent/KR20120047083A/ko
Application granted granted Critical
Publication of KR101277516B1 publication Critical patent/KR101277516B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 프로세스 외부 접근 차단 장치와 방법 및 컴퓨터 프로그램이 기록된 기록매체에 관한 것으로, 개시된 외부 접근 차단 방법은, 클라이언트 단에서 외부 프로그램에 의한 브라우저로의 접근을 감시하는 단계와, 브라우저에 접근한 것으로 감지한 외부 프로그램이 브라우저의 문서 객체를 획득하는지를 판별하는 단계와, 문서 객체의 획득이 판정되면 외부 프로그램에 의한 브라우저로의 접근을 차단하는 단계를 포함하며, 프로세스 외부 접근에 의한 표준규격 페이지의 변조나 쿠키 값의 탈취 또는 조작, 또는 외부 스크립트를 수행하는 보안 위협에 대응하여 악의적인 프로세스 외부 접근을 클라이언트 단에서 사전에 차단할 수 있는 이점이 있다.

Description

프로세스 외부 접근 차단 장치와 방법 및 컴퓨터 프로그램이 기록된 기록매체{METHOD AND APPARATUS FOR BLOCKING EXTERNAL ACCESS OF PROCESS, AND RECORDING MEDIUM HAVING COMPUTER PROGRAM THEREFOR}
본 발명은 프로세스 외부 접근을 차단하는 것으로서, 더욱 상세하게는 브라우저에 대한 프로세스 외부 접근에 의한 웹 페이지 또는 왑 페이지(이하, "표준규격 페이지"라고 통칭함)의 변조 등의 보안 위협을 차단하는 프로세스 외부 접근 차단 장치와 이에 의한 프로세스 외부 접근 차단 방법과 이를 수행할 수 있는 컴퓨터 프로그램이 기록된 기록매체에 관한 것이다.
주지하는 바와 같이, 표준규격 페이지 변조는 네트워크 상에서 표준규격 페이지의 파일 정보를 악의적인 의도에 의해 변형하거나 전혀 새로운 다른 정보로 바꾸는 행위를 뜻한다. 이러한 행위는 주로 경제적인 동기나 혹은 단순히 네트워크 해킹에 대한 호기심 등 다양한 동기로 이루어지고 있다.
종래 기술에 따른 표준규격 페이지 변조 차단 기능은 서버 및 네트워크 단에서 구현되어 왔으며, 그 대표적인 예로는 서버에 에이전트를 설치하는 에이전트 방식이 있다.
이러한 에이전트 방식은 접근자의 브라우저에 자동 다운로드 되는 기능을 가진 자바 애플릿을 이용하여 에이전트를 만들고, 에이전트 내에 소켓을 이용한 통신의 원리를 첨가하여 에이전트 서버 내에 접근자의 정보를 전달한다. 이러한 에이전트로부터 받은 접근자 정보와 불법 침입자의 서버 접근으로부터 발생되는 HTTP 헤더의 정보를 비교하여 자신의 위치를 은닉한 불법침입자의 원천 위치를 파악하여 추적할 수 있고, 중간 경로의 위치를 파악할 수 있다. 또한 에이전트로부터 받은 정보를 자료실, 게시판에 사용하여 부정한 글이나 자료를 올린 사용자의 추적 자료로 사용할 수 있으며, 중간 경유지를 이용하여 자기정보를 은닉하는 사람은 사용하지 못하도록 할 수 있다.
그러나, 상술한 에이전트 방식은 서버의 가용성에 큰 영향을 끼치는 문제점이 있었다. 또한, 최근에는 클라이언트 단에서 프로세스 외부 접근을 통한 표준규격 페이지 변조 기법이 발생, 예컨대 HTML 인젝션(injection) 기법으로 금융사의 웹 페이지를 공격하는 사례가 발생하였으나 종래 기술에 의하면 클라이언트 단에서의 직접적인 공격을 방어할 수 없는 문제점이 있었다.
본 발명은 이와 같은 종래 기술의 문제점을 해결하기 위해 제안한 것으로서, 브라우저에 대한 프로세스 외부 접근에 의한 표준규격 페이지의 변조나 쿠키(Cookie) 값의 탈취 또는 조작, 또는 외부 스크립트 수행에 대응하여 악의적인 프로세스 외부 접근을 클라이언트 단에서 차단하는 프로세스 외부 접근 차단 장치 및 방법을 제공한다.
본 발명은 악의적인 프로세스 외부 접근을 클라이언트 단에서 차단할 수 있는 프로세스 외부 접근 방법을 수행할 수 있는 컴퓨터 프로그램이 기록된 기록매체를 제공한다.
본 발명의 제 1 관점으로서 프로세스 외부 접근 차단 장치는, 클라이언트 단에서, 프로그램에 의한 브라우저로의 접근을 감시하는 접근 감지부와, 상기 접근 감지부가 상기 브라우저에 접근한 것으로 감지한 프로그램이 상기 브라우저의 문서 객체를 획득하는지를 판별하는 문서 객체 획득 판별부와, 상기 문서 객체 획득 판별부가 상기 프로그램에 의한 상기 문서 객체의 획득을 판정하면 상기 프로그램에 의한 상기 브라우저로의 접근을 차단하는 차단 처리부를 포함할 수 있다.
여기서, 상기 접근 감지부는, 상기 브라우저의 DOM(Document Object Model) 인터페이스에 접근하여 수행할 수 있는 RPC(Remote Procedure Call) 처리 과정에서 프로그램의 접근을 감시할 수 있다.
상기 접근 감지부는, 상기 RPC 처리 과정의 진입점(entry point) 함수를 후킹(hooking)하여 상기 프로그램의 접근을 감시할 수 있다.
상기 문서 객체 획득 판별부는, 인터페이스 ID에 의거하여 상기 브라우저의 문서 객체를 획득하는지를 판별할 수 있다.
상기 차단 처리부는, 프로그램 목록 정보를 저장하는 프로그램 목록 저장부와, 상기 문서 객체의 획득이 판정된 상기 프로그램과 상기 프로그램 목록 저장부에 저장한 상기 프로그램 목록 정보를 비교하여 그 비교 결과에 따라 선택적으로 상기 브라우저로의 접근을 차단하는 차단 결정부를 포함할 수 있다.
상기 프로그램 목록 저장부는, 상기 브라우저로의 접근을 허용할 프로그램 목록을 저장할 수 있다.
본 발명의 제 2 관점으로서 프로세스 외부 접근 차단 방법은, 클라이언트 단에서, 프로그램에 의한 브라우저로의 접근을 감시하는 단계와, 상기 브라우저에 접근한 것으로 감지된 프로그램이 상기 브라우저의 문서 객체를 획득하는지를 판별하는 단계와, 상기 문서 객체의 획득이 판정되면 상기 프로그램에 의한 상기 브라우저로의 접근을 차단하는 단계를 포함할 수 있다.
여기서, 상기 감시하는 단계는, 상기 브라우저의 DOM 인터페이스에 접근하여 수행할 수 있는 RPC 처리 과정에서 프로그램의 접근을 감시할 수 있다.
상기 감시하는 단계는, 상기 RPC 처리 과정의 진입점 함수를 후킹하여 상기 프로그램의 접근을 감시할 수 있다.
상기 판별하는 단계는, 인터페이스 ID에 의거하여 상기 브라우저의 문서 객체를 획득하는지를 판별할 수 있다.
상기 차단하는 단계는, 기 저장된 프로그램 목록 정보를 로드하는 단계와, 상기 문서 객체의 획득이 판정된 상기 프로그램과 로드한 상기 프로그램 목록 정보를 비교하여 그 비교 결과에 따라 선택적으로 상기 브라우저로의 접근을 차단하는 단계를 포함할 수 있다.
상기 로드하는 단계는, 상기 브라우저로의 접근을 허용할 프로그램 목록을 로드할 수 있다.
본 발명의 제 3 관점으로서 앞서 기술한 프로세스 외부 접근 차단 방법을 수행할 수 있는 컴퓨터 프로그램이 기록된 기록매체를 제공할 수 있다.
본 발명의 실시예에 의하면, 브라우저에 대한 프로세스 외부 접근에 의한 표준규격 페이지의 변조나 쿠키 값의 탈취 또는 조작, 또는 외부 스크립트를 수행하는 보안 위협에 대응하여 악의적인 프로세스 외부 접근을 클라이언트 단에서 사전에 차단할 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따른 프로세스 외부 접근 차단 장치의 블록 구성도.
도 2는 본 발명의 프로세스 외부 접근 차단 장치에 의해 수행되는 프로세스 외부 접근 차단 방법의 일 실시예를 설명하기 위한 흐름도.
도 3은 본 발명의 프로세스 외부 접근 차단 장치에 의해 수행되는 프로세스 외부 접근 차단 방법의 다른 실시예를 설명하기 위한 흐름도.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
도 1은 본 발명의 실시예에 따른 프로세스 외부 접근 차단 장치의 블록 구성도이다. 이에 나타낸 바와 같이 본 발명의 실시예에 따른 프로세스 외부 접근 차단 장치(100)는 접근 감지부(110), 문서 객체 획득 판별부(120), 차단 처리부(130) 등을 포함할 수 있다.
접근 감지부(110)는 클라이언트 단에서 프로그램에 의한 브라우저로의 접근을 감시한다. 예컨대, 접근 감지부(110)는 브라우저의 DOM 인터페이스에 접근하여 수행할 수 있는 RPC 처리 과정(10)에서 프로그램의 접근을 감시할 수 있다. 이를 위해, 접근 감지부(110)는 RPC 처리 과정의 진입점 함수(11), 예컨대 NdrStubCall2 API 함수를 후킹(13)하여 프로그램의 접근을 감시할 수 있다.
문서 객체 획득 판별부(120)는 접근 감지부(110)가 브라우저에 접근한 것으로 감지한 프로그램이 브라우저의 문서 객체를 획득하는지를 판별한다. 예컨대, 문서 객체 획득 판별부(120)는 브라우저에 접근한 프로그램의 인터페이스 ID에 의거하여 브라우저의 문서 객체를 획득하는지를 판별할 수 있다. 예컨대, 인터페이스 ID가 IID_IHTMLInputElement, IID_IHTMLElement, IID_IHTMLDocument2, IID_IConnectionPointContainer, IID_IHTMLWindow2, IID_IHTMLDOMNode, IID_IDispatch 또는 IID_IWebBrowser2 중에서 어느 하나일 경우에는 프로그램이 브라우저의 문서 객체를 획득하는 것으로 판정할 수 있다.
차단 처리부(130)는 문서 객체 획득 판별부(120)가 프로그램에 의한 문서 객체의 획득을 판정하면 해당 프로그램에 의한 브라우저로의 접근을 차단한다. 예컨대, 차단 처리부(130)는 프로그램 목록 저장부(133)에 프로그램 목록 정보를 미리 저장하며, 문서 객체 획득 판별부(120)에 의해 문서 객체의 획득이 판정되면 차단 결정부(131)가 해당 프로그램과 프로그램 목록 저장부(133)에 저장한 프로그램 목록 정보를 비교하여 그 비교 결과에 따라 선택적으로 브라우저로의 접근을 차단할 수 있다. 여기서, 프로그램 목록 저장부(133)는 브라우저로의 접근을 허용할 프로그램 목록을 저장하거나 반대로 브라우저로의 접근을 차단할 프로그램 목록을 저장할 수도 있다.
도 2는 본 발명의 프로세스 외부 접근 차단 장치에 의해 수행되는 프로세스 외부 접근 차단 방법의 일 실시예를 설명하기 위한 흐름도이다. 이에 나타낸 바와 같이 본 발명의 실시예에 따른 프로세스 외부 접근 차단 방법은, 클라이언트 단에서, 프로그램에 의한 브라우저로의 접근을 감시하는 단계(S201 내지 S203)와, 브라우저에 접근한 것으로 감지된 프로그램이 브라우저의 문서 객체를 획득하는지를 판별하는 단계(S205)와, 문서 객체의 획득이 판정되면 프로그램에 의한 브라우저로의 접근을 차단하는 단계(S207)를 포함할 수 있다.
도 3은 본 발명의 프로세스 외부 접근 차단 장치에 의해 수행되는 프로세스 외부 접근 차단 방법의 다른 실시예를 설명하기 위한 흐름도이다. 이에 나타낸 바와 같이 본 발명의 다른 실시예에 따른 프로세스 외부 접근 차단 방법은, 클라이언트 단에서, 프로그램에 의한 브라우저로의 접근을 감시하는 단계(S301 내지 S303)와, 브라우저에 접근한 것으로 감지된 프로그램이 브라우저의 문서 객체를 획득하는지를 판별하는 단계(S305)와, 기 저장된 프로그램 목록 정보를 로드하는 단계(S307)와, 문서 객체의 획득이 판정된 프로그램과 로드한 프로그램 목록 정보를 비교하여 그 비교 결과에 따라 선택적으로 브라우저로의 접근을 차단하는 단계(S309 내지 S311)를 포함할 수 있다.
이하, 도 1 내지 도 3을 참조하여 프로세스 외부 접근 차단 장치(100)에 의해 수행되는 프로세스 외부 접근 차단 과정을 시계열적으로 살펴보기로 한다. 아래에서는 도 1 및 도 2를 참조하여 본 발명의 제 1 실시예에 따른 프로세스 외부 접근 차단 과정을 설명하고, 도 1 및 도 3을 참조하여 본 발명의 제 2 실시예에 따른 프로세스 외부 접근 차단 과정을 설명하였다.
(제 1 실시예)
외부 악성 프로그램이 외부에 노출된 브라우저의 DOM 인터페이스에 접근하여 표준규격 페이지를 변조하거나 쿠키 값을 탈취 또는 조작, 또는 외부 스크립트를 수행하기 위해서는 표준규격 페이지의 문서 정보를 획득하여야 하며, 이를 위해서는 브라우저의 DOM 인터페이스에 접근하여 프로세스 간의 RPC 처리 과정(10)을 거쳐야 한다. 이에, 프로세스 외부 접근 차단 장치(100)는 프로세스 외부 접근, 예컨대 COM(Component Object Model) 인터페이스 접근에 의한 표준규격 페이지(HTML 인젝션 등)을 차단하기 위해 접근 감지부(110)가 클라이언트 단에서 프로그램에 의한 브라우저로의 접근을 감시한다. 예컨대, 접근 감지부(110)는 브라우저의 DOM 인터페이스에 접근하여 수행할 수 있는 RPC 처리 과정(10)에서 프로그램의 접근을 감시할 수 있다. 이를 위해, 접근 감지부(110)는 RPC 처리 과정(10)의 진입점 함수(11), 예컨대 NdrStubCall2 API 함수를 후킹(13)(S201)하여 프로그램의 접근을 감시한다(S203).
접근 감지부(110)가 외부 프로그램이 브라우저에 접근한 것을 감지하면 문서 객체 획득 판별부(120)는 브라우저에 접근한 것으로 감지한 프로그램이 브라우저의 문서 객체를 획득하는지를 판별한다. 예컨대, 문서 객체 획득 판별부(120)는 브라우저에 접근한 프로그램의 인터페이스 ID가 IID_IHTMLInputElement, IID_IHTMLElement, IID_IHTMLDocument2, IID_IConnectionPointContainer, IID_IHTMLWindow2, IID_IHTMLDOMNode, IID_IDispatch 또는 IID_IWebBrowser2 중에서 어느 하나일 경우에는 프로그램이 브라우저의 문서 객체를 획득하는 것으로 판정할 수 있다(S205).
이처럼, 문서 객체 획득 판별부(120)가 프로그램에 의한 문서 객체의 획득을 판정하면 차단 처리부(130)는 해당 프로그램에 의한 브라우저로의 접근을 차단한다(S207).
이로써, 외부 악성 프로그램이 외부에 노출된 브라우저의 DOM 인터페이스에 접근하여 표준규격 페이지를 변조하거나 쿠키 값을 탈취 또는 조작, 또는 외부 스크립트를 수행하여 보안에 위협을 주는 것을 사전에 차단할 수 있다.
(제 2 실시예)
프로세스 외부 접근 차단 장치(100)는 프로세스 외부 접근, 예컨대 COM 인터페이스 접근에 의한 표준규격 페이지(HTML 인젝션 등)을 차단하기 위해 접근 감지부(110)가 클라이언트 단에서 프로그램에 의한 브라우저로의 접근을 감시한다. 예컨대, 접근 감지부(110)는 브라우저의 DOM 인터페이스에 접근하여 수행할 수 있는 RPC 처리 과정(10)에서 프로그램의 접근을 감시할 수 있다. 이를 위해, 접근 감지부(110)는 RPC 처리 과정(10)의 진입점 함수(11), 예컨대 NdrStubCall2 API 함수를 후킹(13)(S301)하여 프로그램의 접근을 감시한다(S303).
접근 감지부(110)가 외부 프로그램이 브라우저에 접근한 것을 감지하면 문서 객체 획득 판별부(120)는 브라우저에 접근한 것으로 감지한 프로그램이 브라우저의 문서 객체를 획득하는지를 판별한다. 예컨대, 문서 객체 획득 판별부(120)는 브라우저에 접근한 프로그램의 인터페이스 ID가 IID_IHTMLInputElement, IID_IHTMLElement, IID_IHTMLDocument2, IID_IConnectionPointContainer, IID_IHTMLWindow2, IID_IHTMLDOMNode, IID_IDispatch 또는 IID_IWebBrowser2 중에서 어느 하나일 경우에는 프로그램이 브라우저의 문서 객체를 획득하는 것으로 판정할 수 있다(S305).
이처럼, 문서 객체 획득 판별부(120)가 프로그램에 의한 문서 객체의 획득을 판정하면 차단 처리부(130)의 차단 결정부(131)는 프로그램 목록 저장부(133)에 미리 저장한 프로그램 목록 정보를 로드하며(S307), 문서 객체를 획득한 해당 프로그램과 프로그램 목록 저장부(133)에서 로드한 프로그램 목록 정보를 비교(S309)하여 그 비교 결과에 따라 선택적으로 외부 프로그램에 의한 브라우저로의 접근을 차단한다. 예컨대, 프로그램 목록 저장부(133)에 브라우저로의 접근을 허용할 프로그램 목록을 저장한 경우에는 로드한 프로그램 목록 정보에 포함된 프로그램과 일치하는 프로그램에 대해서만 브라우저로의 접근을 허용하고, 로드한 프로그램 목록 정보에 포함되지 않은 프로그램에 대해서는 브라우저로의 접근을 원천적으로 차단한다(S311).
이로써, 외부 악성 프로그램이 외부에 노출된 브라우저의 DOM 인터페이스에 접근하여 표준규격 페이지를 변조하거나 쿠키 값을 탈취 또는 조작, 또는 외부 스크립트를 수행하여 보안에 위협을 주는 것을 사전에 차단할 수 있다.
앞서 설명한 본 발명의 실시예들에 따른 프로세스 외부 접근 차단 방법은 컴퓨터 프로그램으로 작성 가능하다. 이 컴퓨터 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 해당 컴퓨터 프로그램은 컴퓨터가 읽을 수 있는 정보저장매체(computer readable medium)에 저장되고, 컴퓨터나 본 발명의 실시예에 따른 프로세스 외부 접근 차단 장치 등에 의하여 읽혀지고 실행됨으로써 프로세스 외부 접근 차단 방법을 구현할 수 있다. 정보저장매체는 자기 기록매체, 광 기록매체 및 캐리어 웨이브 매체를 포함한다.
100 : 프로세스 외부 접근 차단 장치
110 : 접근 감지부 120 : 문서 객체 획득 판별부
130 : 차단 처리부 131 : 차단 결정부
133 : 프로그램 목록 저장부

Claims (13)

  1. 클라이언트 단의 브라우저 외부에 존재하는 외부 프로그램이, 원격 프로시저 호출(RPC, Remote Procedure Call) 프로토콜을 이용하여 상기 클라이언트 단의 상기 브라우저로 접근하는 것을 감시하는 접근 감지부와,
    상기 접근 감지부가 상기 브라우저에 접근한 것으로 감지한 상기 외부 프로그램이 상기 브라우저의 문서 객체를 획득하는지를 판별하는 문서 객체 획득 판별부와,
    상기 문서 객체 획득 판별부가 상기 외부 프로그램에 의한 상기 문서 객체의 획득을 판정하면 상기 외부 프로그램에 의한 상기 브라우저로의 접근을 차단하는 차단 처리부를 포함하며,
    상기 접근 감지부는, 상기 외부 프로그램이 상기 클라이언트 단의 상기 브라우저의 DOM(Document Object Model) 인터페이스에 상기 RPC 프로토콜을 이용해서 접근할 때의 처리 과정 중에서, 진입점 (entry point) 함수를 후킹(hooking)하여 상기 외부 프로그램의 접근을 감시하며,
    상기 진입점 함수는 상기 외부 프로그램이 상기 RPC 프로토콜을 이용해서 상기 클라이언트 단에 진입하는 진입 지점에서의 함수인,
    프로세스 외부 접근 차단 장치.
  2. 삭제
  3. 삭제
  4. 제 1 항에 있어서,
    상기 문서 객체 획득 판별부는, 인터페이스 ID에 의거하여 상기 브라우저의 문서 객체를 획득하는지를 판별하는
    프로세스 외부 접근 차단 장치.
  5. 제 1 항에 있어서,
    상기 차단 처리부는, 외부 프로그램 목록 정보를 저장하는 프로그램 목록 저장부와,
    상기 문서 객체의 획득이 판정된 상기 외부 프로그램과 상기 프로그램 목록 저장부에 저장한 상기 외부 프로그램 목록 정보를 비교하여 그 비교 결과에 따라 선택적으로 상기 브라우저로의 접근을 차단하는 차단 결정부
    를 포함하는 프로세스 외부 접근 차단 장치.
  6. 제 5 항에 있어서,
    상기 프로그램 목록 저장부는, 상기 브라우저로의 접근을 허용할 외부 프로그램 목록을 저장하는
    프로세스 외부 접근 차단 장치.
  7. 클라이언트 단의 브라우저 외부에 존재하는 외부 프로그램이, 원격 프로시저 호출(RPC, Remote Procedure Call) 프로토콜을 이용하여 상기 클라이언트 단의 상기 브라우저로 접근하는 것을 감시하는 단계와,
    상기 브라우저에 접근한 것으로 감지된 외부 프로그램이 상기 브라우저의 문서 객체를 획득하는지를 판별하는 단계와,
    상기 문서 객체의 획득이 판정되면 상기 외부 프로그램에 의한 상기 브라우저로의 접근을 차단하는 단계를 포함하며,
    상기 감시하는 단계는, 상기 외부 프로그램이 상기 클라이언트 단의 상기 브라우저의 DOM(Document Object Model) 인터페이스에 상기 RPC 프로토콜을 이용해서 접근할 때의 처리 과정 중에서 진입점(entry point) 함수를 후킹(hooking)하여 상기 외부 프로그램의 접근을 감시하며,
    상기 진입점 함수는 상기 외부 프로그램이 상기 RPC 프로토콜을 이용해서 상기 클라이언트 단에 진입하는 진입 지점에서의 함수인,
    프로세스 외부 접근 차단 방법.
  8. 삭제
  9. 삭제
  10. 제 7 항에 있어서,
    상기 판별하는 단계는, 인터페이스 ID에 의거하여 상기 브라우저의 문서 객체를 획득하는지를 판별하는
    프로세스 외부 접근 차단 방법.
  11. 제 7 항에 있어서,
    상기 차단하는 단계는,
    기 저장된 외부 프로그램 목록 정보를 로드하는 단계와,
    상기 문서 객체의 획득이 판정된 상기 외부 프로그램과 로드한 상기 외부 프로그램 목록 정보를 비교하여 그 비교 결과에 따라 선택적으로 상기 브라우저로의 접근을 차단하는 단계
    를 포함하는 프로세스 외부 접근 차단 방법.
  12. 제 11 항에 있어서,
    상기 로드하는 단계는, 상기 브라우저로의 접근을 허용할 외부 프로그램 목록을 로드하는
    프로세스 외부 접근 차단 방법.
  13. 제 7 항, 제 10 항 내지 제 12 항 중에서 어느 한 항의 프로세스 외부 접근 차단 방법을 수행할 수 있는 컴퓨터 프로그램이 기록된 기록매체.
KR1020100108762A 2010-11-03 2010-11-03 프로세스 외부 접근 차단 장치와 방법 및 컴퓨터 프로그램이 기록된 기록매체 KR101277516B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020100108762A KR101277516B1 (ko) 2010-11-03 2010-11-03 프로세스 외부 접근 차단 장치와 방법 및 컴퓨터 프로그램이 기록된 기록매체
PCT/KR2011/008324 WO2012060639A2 (en) 2010-11-03 2011-11-03 Method and apparatus for blocking malicious access to process
US13/883,351 US9185131B2 (en) 2010-11-03 2011-11-03 Method and apparatus for blocking malicious access to process

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100108762A KR101277516B1 (ko) 2010-11-03 2010-11-03 프로세스 외부 접근 차단 장치와 방법 및 컴퓨터 프로그램이 기록된 기록매체

Publications (2)

Publication Number Publication Date
KR20120047083A KR20120047083A (ko) 2012-05-11
KR101277516B1 true KR101277516B1 (ko) 2013-07-30

Family

ID=46024959

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100108762A KR101277516B1 (ko) 2010-11-03 2010-11-03 프로세스 외부 접근 차단 장치와 방법 및 컴퓨터 프로그램이 기록된 기록매체

Country Status (3)

Country Link
US (1) US9185131B2 (ko)
KR (1) KR101277516B1 (ko)
WO (1) WO2012060639A2 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090037789A (ko) * 2007-10-12 2009-04-16 한국전자통신연구원 웹브라우저를 통한 악성행위를 차단하는 장치 및 방법
KR20090111577A (ko) * 2008-04-22 2009-10-27 주식회사 안철수연구소 온라인 전자거래 프로그램 보호방법
KR20100049258A (ko) * 2008-11-03 2010-05-12 엔에이치엔비즈니스플랫폼 주식회사 브라우저 기반 어뷰징 방지 방법 및 시스템

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7028312B1 (en) * 1998-03-23 2006-04-11 Webmethods XML remote procedure call (XML-RPC)
KR100874948B1 (ko) 2007-06-18 2008-12-19 한국전자통신연구원 권한 수준 위반 프로세스 관리 장치 및 방법
US8336097B2 (en) * 2007-10-12 2012-12-18 Electronics And Telecommunications Research Institute Apparatus and method for monitoring and protecting system resources from web browser

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090037789A (ko) * 2007-10-12 2009-04-16 한국전자통신연구원 웹브라우저를 통한 악성행위를 차단하는 장치 및 방법
KR20090111577A (ko) * 2008-04-22 2009-10-27 주식회사 안철수연구소 온라인 전자거래 프로그램 보호방법
KR20100049258A (ko) * 2008-11-03 2010-05-12 엔에이치엔비즈니스플랫폼 주식회사 브라우저 기반 어뷰징 방지 방법 및 시스템

Also Published As

Publication number Publication date
WO2012060639A2 (en) 2012-05-10
KR20120047083A (ko) 2012-05-11
US9185131B2 (en) 2015-11-10
US20130227686A1 (en) 2013-08-29
WO2012060639A3 (en) 2012-07-05

Similar Documents

Publication Publication Date Title
US9882926B2 (en) Detecting stored cross-site scripting vulnerabilities in web applications
Jin et al. Code injection attacks on html5-based mobile apps: Characterization, detection and mitigation
KR101442654B1 (ko) 동작 샌드박싱용 시스템 및 방법
US8997253B2 (en) Method and system for preventing browser-based abuse
US20140053267A1 (en) Method for identifying malicious executables
US20090300764A1 (en) System and method for identification and blocking of malicious code for web browser script engines
CN110647744B (zh) 文件系统中的取证分析的方法、装置、介质和系统
US20100299754A1 (en) Identifying Security Breaches Caused by Web-Enabled Software Applications
JP2007316637A (ja) 個別アプリケーション・プログラム用のスクリーンセーバ
CN113632432B (zh) 一种攻击行为的判定方法、装置及计算机存储介质
CN102831339A (zh) 一种针对网页的恶意攻击进行防护的方法、装置和浏览器
CN115688106A (zh) 一种Java agent无文件注入内存马的检测方法及装置
CN109784051B (zh) 信息安全防护方法、装置及设备
KR102156340B1 (ko) 웹 페이지 공격 차단 방법 및 장치
KR101781780B1 (ko) 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템 및 방법
KR101977428B1 (ko) 애플리케이션용 콘텐츠 핸들링 기법
KR101277516B1 (ko) 프로세스 외부 접근 차단 장치와 방법 및 컴퓨터 프로그램이 기록된 기록매체
KR100925508B1 (ko) 액티브엑스 컨트롤 실행 관리 장치 및 방법
Li et al. Real-time monitoring of privacy abuses and intrusion detection in android system
CN102902908B (zh) 免安装ActiveX插件安全检测装置及方法
CN102902912A (zh) 免安装ActiveX插件安全检测装置及方法
CN109840417B (zh) 一种恶意软件检测方法及装置
US20200389471A1 (en) Attack signature generation
CN111538990B (zh) 一种互联网分析系统
CN113886824B (zh) 安卓勒索软件检测防御方法、装置、设备及可读存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160617

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170619

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180618

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190617

Year of fee payment: 7