KR102381575B1 - 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법 - Google Patents

사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법 Download PDF

Info

Publication number
KR102381575B1
KR102381575B1 KR1020210113512A KR20210113512A KR102381575B1 KR 102381575 B1 KR102381575 B1 KR 102381575B1 KR 1020210113512 A KR1020210113512 A KR 1020210113512A KR 20210113512 A KR20210113512 A KR 20210113512A KR 102381575 B1 KR102381575 B1 KR 102381575B1
Authority
KR
South Korea
Prior art keywords
user terminal
information
authentication
capture
application
Prior art date
Application number
KR1020210113512A
Other languages
English (en)
Inventor
이남수
Original Assignee
주식회사 엠엘소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엠엘소프트 filed Critical 주식회사 엠엘소프트
Priority to KR1020210113512A priority Critical patent/KR102381575B1/ko
Application granted granted Critical
Publication of KR102381575B1 publication Critical patent/KR102381575B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/84Protecting input, output or interconnection devices output devices, e.g. displays or monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 발명은 서버시스템 및 서버시스템에서 수행되는 사용자단말에 대한 통신 보안방법에 관한 것으로서, 더욱 상세하게는 서버시스템은 에이전트어플리케이션이 설치된 사용자단말로부터 수신한 인증정보를 검증하여 유효한 것으로 검증된 경우에 인증토큰을 발행하여 상기 사용자단말에 제공하고, 상기 사용자단말로부터 수신한 상기 사용자단말에 설치된 서비스어플리케이션의 통신을 수립하기 위한 라우팅요청정보를 검증하여 유효한 것으로 검증된 경우에 상기 서비스어플리케이션에 상응하는 서비스서버로 통신을 수립하기 위한 라우팅정보를 상기 사용자단말에 제공함으로써, 인증된 사용자단말만 서비스서버와 통신을 수립할 수 있도록 하는, 서버시스템 및 서버시스템에서 수행되는 사용자단말에 대한 통신 보안방법에 관한 것이다.

Description

사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법{Communication Security Method including Optional Anti-Capture Function Performed in the User Devices and the Server-System that Communicated with the User Devices}
본 발명은 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법에 관한 것으로서, 더욱 상세하게는 상기 서버시스템에서 사용자단말과 서버시스템 간의 보안된 통신을 위한 라우팅정보를 검증하며, 캡쳐방지어플리케이션에 대해 설정하고, 해당 정보를 사용자단말로 송신하여, 상기 사용자단말에서 기설정된 어플리케이션에 대한 캡쳐를 방지하면서, 인증된 사용자단말만 서비스서버와 통신을 수립할 수 있도록 하는, 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법.
최근 가상사설망(Virtual Private Network, VPN), 가상 데스크톱 인프라(Virtual Desktop Infra, VDI)환경, 화상회의 등을 통해 업무가 활성화 되면서, 각종 고객 및 기술 정보 및 기밀문서 등 PC(Personal Computer)상의 주요 자료에 대하여 무단으로 화면을 캡쳐 후 유출되는 사례가 늘어나고 있다. 이와 같은 정보 보안 사고가 매년 증가하는 추세에 있고, 이에 대한 대응방안으로 프린트스크린 키, 캡쳐 프로그램, 원격 제어 프로그램 등 다양한 루트로 시도되는 모든 화면 캡쳐를 차단할 수 있는, 화면 보안 솔루션의 수요가 증가하고 있다.
또한, 최근 스마트폰과 같이 모바일 통신의 발달과 이에 따라 어디서든 컴퓨팅자원을 활용할 수 있는 클라우드 환경의 저변이 확대되고 있어, 클라우드 환경의 저변이 확대됨에 따라 가상인프라 및 자원 공유 등의 클라우드 환경에 따라 발생할 수 있는 보안 문제들이 수면으로 떠오르고 있는 상황이다.
종래의 네트워크 시스템의 경우 네트워크 망을 외부와 분리하여 내부 네트워크의 보안을 수립하고 있는 상황이다. 이를 위해 방화벽이나, 가상사설망 장치와 같이 다양한 보안 요소들을 사용하고 있다.
그러나 네트워크의 규모가 커지게 되면 보안 장치들을 네트워크의 구성요소 별로 구비해야 하므로 보안에 따른 비용이 증가하게 되는 문제점이 존재하며, 또한 외부 단말이 방화벽을 통과하거나 가상사설망에 접속한 후에는 직접적으로 서비스를 제공하는 서버와 통신을 수행할 수 있고, 내부 네트워크의 요소들을 쉽게 파악할 수 있으므로, 해당 내부망에 존재하는 서버 및 단말에 쉽게 접근할 수 있는 보안 취약점이 존재한다.
따라서, 네트워크에 대한 보안을 효율적으로 수행하기 위하여, 네트워크에 접속하는 단말을 인증 또는 제어하는 통신 채널과, 단말과 실질적인 데이터를 주고받는 서버에 대한 통신 채널을 이원화하여 종래의 네트워크에 대한 보안의 문제점을 개선함과 동시에 사용자단말에서 실행될 수 있는 화면 캡쳐를 방지할 수 있는 새로운 보안방법의 개발이 필요한 상황이다.
본 발명은 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법에 관한 것으로서, 더욱 상세하게는 상기 사용자단말에 설치된 서비스어플리케이션과 상기 서버시스템 내부의 서비스서버의 통신이 수립되기 위한 라우팅정보를 사용자단말과 상기 서버시스템 내부의 인증검증부와 송수신하고, 상기 사용자단말은 기설정한 캡쳐방지어플리케이션에 대한 정보도 상기 인증검증부로부터 수신하여, 상기 사용자단말에서 기설정된 어플리케이션에 대한 캡쳐를 방지하면서, 인증된 사용자단말만 서비스서버와 통신을 수립할 수 있도록 하는, 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법을 제공하는 것을 목적으로 한다.
상기와 같은 과제를 해결하기 위하여, 본 발명의 일 실시예에서는, 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법으로서, 상기 서버시스템은 인증검증부 및 인증제어부를 포함하고, 상기 사용자단말에는 캡쳐방지모듈 및 경로설정모듈을 포함하는 에이전트어플리케이션이 설치되어 있고, 상기 사용자단말에는 상기 인증제어부에서 설정되고, 상기 인증검증부를 통하여 수신한 1 이상의 캡쳐방지애플리케이션에 대한 정보가 저장되어 있고, 상기 경로설정모듈은, 상기 사용자단말에 설치된 서비스어플리케이션과 상기 서버시스템 내부의 서비스서버의 통신이 수립되기 위한 라우팅을 상기 인증검증부에 요청하고, 상기 인증검증부로부터 수신한 라우팅경로정보에 기초하여 해당 서비스어플리케이션의 라우팅경로정보를 설정하는 경로설정단계를 수행하고, 상기 캡쳐방지모듈은, 사용지단말에서 캡쳐어플리케이션의 실행을 감지하는 캡쳐실행감지단계; 캡쳐실행감지단계에서 캡쳐어플리케이션의 실행이 감지되는 경우, 캡쳐대상이미지에서 1 이상의 상기 캡쳐방지애플리케이션의 영역을 검출하는 영역검출단계; 캡쳐대상이미지에서 검출된 1 이상의 상기 캡쳐방지애플리케이션의 영역을 제거하여 수정캡쳐대상이미지를 생성하는 수정이미지생성단계; 및 상기 수정캡쳐대상이미지를 상기 캡쳐어플리케이션에 전달하는 수정이미지전달단계;를 포함하는, 통신 보안방법을 제공한다.
본 발명의 일 실시예에서는, 상기 영역검출단계에서는, 상기 캡쳐방지모듈이 상기 캡쳐대상이미지에 대한 요청을 상기 사용자단말에 설치된 운영체제(Operating System)로 송신하는 캡쳐대상이미지요청단계; 및 상기 운영체제에서 상기 캡쳐방지모듈로부터의 요청을 수신하고, 해당 요청에 해당하는 캡쳐대상이미지를 상기 캡쳐방지모듈로 전달하는 캡쳐대상이미지전달단계;를 포함할 수 있다.
본 발명의 일 실시예에서는, 상기 경로설정단계는, 상기 인증검증부에 의하여, 상기 에이전트어플리케이션이 설치된 사용자단말로부터 수신한 인증정보를 검증하고, 유효한 것으로 검증된 인증정보를 상기 인증제어부로 송신하는 인증검증단계; 상기 인증제어부에 의하여, 상기 인증검증단계를 통해 수신한 인증정보에 기초하여 인증토큰을 생성하여 상기 사용자단말에 제공하는 인증토큰제공단계; 상기 인증검증부에 의하여, 상기 인증토큰을 제공받은 사용자단말로부터 수신한 상기 사용자단말에 설치된 서비스어플리케이션 및 서비스서버의 통신이 수립되기 위한 라우팅을 요청하는 라우팅요청정보를 검증하고, 유효한 것으로 검증된 라우팅요청정보를 상기 인증제어부로 송신하는 라우팅요청정보검증단계; 및 상기 인증제어부에 의하여, 상기 라우팅요청정보검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스어플리케이션 및 서비스서버의 통신을 수립하기 위한 라우팅정보를 도출하여 상기 사용자단말에 제공하는 라우팅정보제공단계;를 포함할 수 있다.
본 발명의 일 실시예에서는, 상기 캡쳐방지어플리케이션은 상기 사용자단말 상에서 캡쳐되지 않도록 상기 서버시스템에서 설정한 어플리케이션을 포함하고, 상기 라우팅정보제공단계는, 상기 인증제어부에 의하여, 상기 사용자단말에 설치된 어플리케이션에 대해서 캡쳐방지어플리케이션을 설정하는 단계; 및 상기 설정된 캡쳐방지어플리케이션에 대한 정보인 캡쳐방지설정정보를 상기 인증검증부를 통해 상기 사용자단말로 송신하는 단계;를 포함하고, 상기 사용자단말에 의하여, 상기 인증검증부로부터 수신한 상기 캡쳐방지설정정보를 상기 사용자단말에 저장하는 단계;를 포함할 수 있다.
본 발명의 일 실시예에서는, 상기 인증정보는, 상기 서버시스템의 식별정보, 상기 사용자단말의 식별정보 및 상기 사용자단말의 사용자에 대한 사용자정보를 포함하고, 상기 인증검증단계는, 상기 인증정보에 포함된 상기 서버시스템의 식별정보를 검증하고, 유효한 것으로 검증된 경우에 상기 인증정보를 상기 인증제어부로 송신하고, 상기 인증토큰제공단계는, 상기 인증검증단계로부터 수신한 인증정보에 포함된 상기 사용자단말의 식별정보 및 상기 사용자정보가 상기 서버시스템에 저장된 데이터베이스에 포함되어 있는지 판별하고, 포함되어 있는 것으로 판별된 경우에 인증토큰을 생성하여 상기 사용자단말에 제공할 수 있다.
본 발명의 일 실시예에서는, 상기 통신 보안방법은, 상기 인증검증부에 의하여, 상기 인증토큰제공단계가 수행된 이후에, 상기 사용자단말로부터 상기 서버시스템의 식별정보 및 상기 인증토큰을 포함하는 정책요청정보를 수신하고, 상기 정책요청정보에 포함된 상기 서버시스템의 식별정보 및 상기 인증토큰을 검증하여, 유효한 것으로 검증된 경우에 상기 정책요청정보를 상기 인증제어부로 송신하는 정책요청정보검증단계; 및 상기 인증제어부에 의하여, 상기 정책요청정보검증단계를 통해 수신한 정책요청정보에 기초하여 상기 사용자단말 및 상기 사용자단말의 사용자에 상응하는 정책정보를 도출하여 상기 사용자단말에 상기 정책정보를 제공하는 정책정보제공단계;를 포함할 수 있다.
본 발명의 일 실시예에서는, 상기 라우팅요청정보검증단계는, 상기 정책정보제공단계를 통해 정책정보를 제공받은 사용자단말의 에이전트어플리케이션에서 해당 사용자단말이 상기 정책정보에 부합하는 것으로 판별한 경우에 상기 사용자단말로부터 상기 라우팅요청정보를 수신할 수 있다.
상기와 같은 과제를 해결하기 위하여, 본 발명의 일 실시예에서는, 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안 시스템으로서, 상기 서버시스템은 인증검증부 및 인증제어부를 포함하고, 상기 사용자단말에는 캡쳐방지모듈 및 경로설정모듈을 포함하는 에이전트어플리케이션이 설치되어 있고, 상기 사용자단말에는 상기 인증제어부에서 설정되고, 상기 인증검증부를 통하여 수신한 1 이상의 캡쳐방지애플리케이션에 대한 정보가 저장되어 있고, 상기 경로설정모듈은, 상기 사용자단말에 설치된 서비스어플리케이션과 상기 서버시스템 내부의 서비스서버의 통신이 수립되기 위한 라우팅을 상기 인증검증부에 요청하고, 상기 인증검증부로부터 수신한 라우팅경로정보에 기초하여 해당 서비스어플리케이션의 라우팅경로정보를 설정하는 경로설정단계를 수행하고, 상기 캡쳐방지모듈은, 사용지단말에서 캡쳐어플리케이션의 실행을 감지하는 캡쳐실행감지단계; 캡쳐실행감지단계에서 캡쳐어플리케이션의 실행이 감지되는 경우, 캡쳐대상이미지에서 1 이상의 상기 캡쳐방지애플리케이션의 영역을 검출하는 영역검출단계; 캡쳐대상이미지에서 검출된 1 이상의 상기 캡쳐방지애플리케이션의 영역을 제거하여 수정캡쳐대상이미지를 생성하는 수정이미지생성단계; 및 상기 수정캡쳐대상이미지를 상기 캡쳐어플리케이션에 전달하는 수정이미지전달단계;를 포함하는, 통신 보안 시스템을 제공한다.
본 발명의 일 실시예에 따르면, 에이전트어플리케이션이 설치된 사용자단말을 서버시스템의 인증검증부 및 인증제어부와의 통신을 수행하여 서버시스템에 대한 접근이 허가된 후에 서비스서버와의 통신이 수립될 수 있으므로, 접근이 허가되기 전까지 서비스서버의 접근을 원천적으로 차단할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 인증토큰제공단계는, 인증정보에 포함된 사용자단말의 식별정보 및 사용자단말의 사용자에 대한 사용자정보를 확인한 후에, 서비스서버와 통신을 수립할 수 있는 인증토큰을 사용자단말에 제공하므로, ID/PW와 같이 사용자정보 뿐만 아니라, 사용자단말까지 확인하므로 인증되지 않은 사용자단말의 접속을 차단할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 정책정보제공단계는 사용자단말에 상응하는 정책정보를 제공하여, 사용자단말에 설치된 에이전트어플리케이션에서 해당 사용자단말이 상기 정책정보에 부합하는 것으로 판단한 경우에 서비스서버와 통신을 수립할 수 있도록 하므로, 서버시스템의 관리자가 설정한 정책에 부합하는 사용자단말만 서버시스템에 접근할 수 있도록 하는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 라우팅정보제공단계에서 제공하는 라우팅정보는, 사용자단말의 서비스어플리케이션과 통신이 수립되는 게이트웨이의 주소정보 및 서비스서버의 주소정보를 포함하므로, 사용자단말이 서버시스템의 타 구성요소에 접근하는 것을 방지할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 인증검증부에서 사용자단말로부터 수신한 정보들을 검증하여, 유효한 것으로 검증된 경우에 인증제어부로 송신하므로, 인증제어부의 부하를 줄일 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 인증제어부에서 설정한 캡쳐방지어플리케이션에 대하여, 사용자단말에서 해당 어플리케이션에 대해 캡쳐를 방지함으로써, 외부로 특정 어플리케이션의 표시정보가 유출되는 것을 방지할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 종래의 기술에서는 별도의 캡쳐방지용 어플리케이션을 사용자단말에 설치할 경우, 해당 어플리케이션에 대한 서비스서버를 서버시스템 안에 구축해야 상기 사용자단말에서 사용할 수 있었으나, 통신 보안 방법에 캡쳐방지 기능을 포함시킴으로써, 서버시스템의 부하 및 유지 비용이 절감되는 효과를 발휘할 수 있다.
도 1은 본 발명의 일 실시예에 따른 사용자단말에 대한 통신 보안방법을 수행하기 위한 서버시스템을 개략적으로 도시한다.
도 2는 본 발명의 일 실시예에 따른 인증검증단계 및 인증토큰제공단계의 수행과정들을 개략적으로 도시한다.
도 3은 본 발명의 일 실시예에 따른 정책요청정보검증단계 및 정책정보제공단계의 수행과정들을 개략적으로 도시한다.
도 4는 본 발명의 일 실시예에 따른 사용자단말에 제공하는 정책정보를 개략적으로 도시한다.
도 5는 본 발명의 일 실시예에 따른 라우팅요청정보검증단계 및 라우팅정보제공단계를 개략적으로 도시한다.
도 6은 본 발명의 일 실시예에 따른 사용자단말에서 라우팅정보에 따라 서비스어플리케이션의 통신을 수립하는 과정을 개략적으로 도시한다.
도 7은 본 발명의 일 실시예에 따른 에이전트어플리케이션의 내부구성을 개략적으로 도시한다.
도 8은 본 발명의 일 실시예에 따른 사용자단말과 서버시스템 간의 통신을 통해 캡쳐방지기능의 수행과정들을 개략적으로 도시한다.
도 9는 본 발명의 일 실시예에 따른 사용자단말에서 수행되는 캡쳐방지모듈에서의 수행단계들을 개략적으로 도시한다.
도 10은 본 발명의 일 실시예에 따른 영역검출단계부터 수정이미지전달단계까지의 캡쳐방지 과정을 개략적으로 도시한다.
도 11는 본 발명의 일 실시예에 따른 컴퓨팅장치의 내부 구성을 개략적으로 도시한다.
이하에서는, 다양한 실시예들 및/또는 양상들이 이제 도면들을 참조하여 개시된다. 하기 설명에서는 설명을 목적으로, 하나이상의 양상들의 전반적 이해를 돕기 위해 다수의 구체적인 세부사항들이 개시된다. 그러나, 이러한 양상(들)은 이러한 구체적인 세부사항들 없이도 실행될 수 있다는 점 또한 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 인식될 수 있을 것이다. 이후의 기재 및 첨부된 도면들은 하나 이상의 양상들의 특정한 예시적인 양상들을 상세하게 기술한다. 하지만, 이러한 양상들은 예시적인 것이고 다양한 양상들의 원리들에서의 다양한 방법들 중 일부가 이용될 수 있으며, 기술되는 설명들은 그러한 양상들 및 그들의 균등물들을 모두 포함하고자 하는 의도이다.
또한, 다양한 양상들 및 특징들이 다수의 디바이스들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있는 시스템에 의하여 제시될 것이다. 다양한 시스템들이, 추가적인 장치들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있다는 점 그리고/또는 도면들과 관련하여 논의된 장치들, 컴포넌트들, 모듈들 등 전부를 포함하지 않을 수도 있다는 점 또한 이해되고 인식되어야 한다.
본 명세서에서 사용되는 "실시예", "예", "양상", "예시" 등은 기술되는 임의의 양상 또는 설계가 다른 양상 또는 설계들보다 양호하다거나, 이점이 있는 것으로 해석되지 않을 수도 있다. 아래에서 사용되는 용어들 '~부', '컴포넌트', '모듈', '시스템', '인터페이스' 등은 일반적으로 컴퓨터 관련 엔티티(computer-related entity)를 의미하며, 예를 들어, 하드웨어, 하드웨어와 소프트웨어의 조합, 소프트웨어를 의미할 수 있다.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
또한, 본 발명의 실시예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 1은 본 발명의 일 실시예에 따른 사용자단말(1000)에 대한 통신 보안방법을 수행하기 위한 서버시스템(2000)을 개략적으로 도시한다.
도 1에 도시된 바와 같이, 서버시스템(2000)은 사용자단말(1000)과 유선 또는 무선 방식의 통신을 수행하기 위한 복수의 구성요소들을 포함하고, 상기 복수의 구성요소에는 인증검증부(2100), 인증제어부(2200), 게이트웨이(2300) 및 서비스서버(2400)가 해당될 수 있다.
상기 인증검증부(2100) 및 상기 인증제어부(2200)는 사용자단말(1000)과 통신을 수행하여, 사용자단말(1000)을 검증하고, 상기 사용자단말(1000)이 정상적으로 검증된 경우에 상기 사용자단말(1000)이 상기 서버시스템(2000), 구체적으로는 상기 서비스서버(2400)와 통신을 수립할 수 있도록 제어한다. 즉, 상기 인증검증부(2100) 및 상기 인증제어부(2200)는 상기 사용자단말(1000)이 서버시스템(2000)과 서비스에 대한 데이터들을 주고받을 수 있도록 통신 채널을 수립할 수 있도록 사용자단말(1000)을 제어하는 역할을 수행한다.
상기 서비스서버(2400)는 사용자단말(1000)에 설치된 서비스어플리케이션(1200)과 통신을 수행하여 상기 사용자단말(1000)의 사용자가 제공받고자 하는 서비스와 관련된 데이터들을 주고받을 수 있다. 한편, 상기 서버시스템(2000)은 복수의 서비스서버(2400.1 내지 2400.N)를 포함할 수 있고, 각각의 서비스서버(2400.1 내지 2400.N)는 사용자단말(1000)에 설치된 1 이상의 서비스어플리케이션(1200.1 내지 1200.N)과 통신을 수행하여 사용자에게 소정의 서비스를 제공할 수 있다.
상기 게이트웨이(2300)는 사용자단말(1000)과 서비스서버(2400)의 통신을 중계하는 역할을 수행한다. 상기 게이트웨이(2300)는 복수의 서비스서버(2400.1 내지 2400.N)와 접속하여, 상기 사용자단말(1000)로부터 수신한 데이터에 따라 해당 데이터에 상응하는 서비스서버(2400)로 사용자단말(1000)의 데이터를 제공할 수 있다. 또한 상기 게이트웨이(2300)는 사용자단말(1000)이 서버시스템(2000)에 최초로 접속을 시도하는 경우에는 노출되지 않고, 사용자단말(1000)이 상기 인증검증부(2100) 및 상기 인증제어부(2200)를 통해 서비스서버(2400)와의 통신이 수립되는 경우에, 사용자단말(1000)은 상기 게이트웨이(2300)로 서비스서버(2400)와 통신하기 위한 데이터를 송신할 수 있다.
한편, 본 발명의 다른 실시예에서 상기 서버시스템(2000)은 복수의 게이트웨이를 포함할 수 있고, 복수의 게이트웨이 각각은 1 이상의 서비스서버(2400)와 통신을 수행할 수 있다. 따라서, 사용자단말(1000)이 특정 서비스서버(2400)와 통신하고자 하는 경우에, 해당 서비스서버(2400)에 상응하는 게이트웨이로 데이터를 송신할 수 있다. 또한, 복수의 게이트웨이 가운데 특정 게이트웨이는 상기 사용자단말(1000)과 인증검증부(2100)와의 통신을 중계하여, 사용자단말(1000)과 서비스서버(2400)의 통신이 수립되기 위한 정보들을 중계할 수도 있다.
한편, 사용자단말(1000)은 에이전트어플리케이션(1100) 및 1 이상의 서비스어플리케이션(1200.1 내지 1200.N)을 포함한다.
상기 에이전트어플리케이션(1100)은, 상기 인증검증부(2100) 및 상기 인증제어부(2200)에 사용자단말(1000)의 서비스서버(2400)에 대한 접속 허가를 요청하기 위한 정보들을 도출하거나, 인증제어부(2200)에서 생성된 정책정보에 따라 해당 사용자단말(1000)이 정책정보에 부합하는지 판별할 수 있으며, 사용자단말(1000)에 설치된 운영체제(Operating System, OS)(1300)를 제어하여 사용자단말(1000)에 설치된 서비스어플리케이션(1200)과 서비스서버(2400)의 통신이 수립될 수 있도록 한다. 한편, 상기 에이전트어플리케이션(1100)은 도 1에서는 도시되지 않았으나, 상기 서버시스템(2000)에 포함되는 배포서버(미도시)를 통해 상기 사용자단말(1000)에 설치될 수도 있다.
상기 서비스어플리케이션(1200)은 상응하는 서비스서버(2400)와 통신을 수행하여, 사용자에게 소정의 서비스를 제공할 수 있다. 한편, 상기 사용자단말(1000)이 서버시스템(2000)에 최초 접속하는 경우에 상기 서비스어플리케이션(1200)은 서비스서버(2400)와 통신을 수행할 수 없고, 상기 인증검증부(2100) 및 상기 인증제어부(2200)를 통해 사용자단말(1000)이 서비스서버(2400)에 접근할 수 있도록 허가되는 경우에, 상기 사용자단말(1000)에 설치된 에이전트어플리케이션(1100)을 통해 상기 서비스어플리케이션(1200)은 상기 서비스서버(2400)와 통신을 수행할 수 있다.
한편, 상기 서버시스템(2000)은 상기 서버시스템(2000)을 관리하는 관리자가 사용하는 관리자단말(3000)과 통신을 수행할 수 있고, 상기 관리자단말(3000)로부터 사용자단말(1000)의 서비스서버(2400)에 대한 접속을 허가 하기위한 1 이상의 정보들을 수신하고, 상기 1 이상의 정보들을 저장할 수 있다. 또한 상기 서버시스템(2000)은 접속이 허가된 1 이상의 사용자단말(1000)에 대한 정보와 같이, 상기 서버시스템(2000)의 상태에 대한 정보들을 상기 관리자단말(3000)로 송신할 수 있다.
즉, 본 발명에서 사용자단말(1000) 및 서버시스템(2000)은 두 가지 채널을 통해 통신을 수행할 수 있다. 구체적으로, 사용자단말(1000)이 에이전트어플리케이션(1100)을 통해 서버시스템(2000)에 최초로 접속하는 경우에, 상기 사용자단말(1000)은 인증검증부(2100)와의 통신 채널(도 1에서 점선으로 도시)을 통해 상기 사용자단말(1000)이 서비스서버(2400)에 접속할 수 있는 권한을 부여 받기 위한 일련의 통신을 수행할 수 있다. 그리고, 사용자단말(1000)이 권한을 부여받는 경우에, 사용자단말(1000)은 서비스서버(2400)와의 통신 채널(도 1에서 실선으로 도시)을 수립할 수 있고, 상기 통신 채널을 통해 서비스어플리케이션(1200)과 서비스서버(2400)는 사용자에게 서비스를 제공하기 위한 일련의 통신을 수행할 수 있다.
따라서, 사용자단말(1000)은 서비스서버(2400)와의 접속이 허가된 경우에만 해당 서비스서버(2400)와 통신을 수립할 수 있으므로, 본 발명의 서버시스템(2000)은 서비스서버(2400)에 대한 접근 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.
도 2는 본 발명의 일 실시예에 따른 인증검증단계 및 인증토큰제공단계의 수행과정들을 개략적으로 도시한다.
도 2에 도시된 바와 같이, 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)과 통신을 수행하는 서버시스템(2000)에서 수행되는 사용자단말(1000)에 대한 통신 보안방법으로서, 상기 서버시스템(2000)은 인증검증부(2100) 및 인증제어부(2200)를 포함하고, 상기 인증검증부(2100)에 의하여, 상기 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)로부터 수신한 인증정보를 검증하고, 유효한 것으로 검증된 인증정보를 상기 인증제어부(2200)로 송신하는 인증검증단계; 및 상기 인증제어부(2200)에 의하여, 상기 인증검증단계를 통해 수신한 인증정보에 기초하여 인증토큰을 생성하여 상기 사용자단말(1000)에 제공하는 인증토큰제공단계;를 포함할 수 있고, 상기 인증정보는, 상기 서버시스템의 식별정보, 상기 사용자단말의 식별정보 및 상기 사용자단말(1000)의 사용자에 대한 사용자정보를 포함하고, 상기 인증검증단계는, 상기 인증정보에 포함된 상기 서버시스템의 식별정보를 검증하고, 유효한 것으로 검증된 경우에 상기 인증정보를 상기 인증제어부(2200)로 송신하고, 상기 인증토큰제공단계는, 상기 인증검증단계로부터 수신한 인증정보에 포함된 상기 사용자단말의 식별정보 및 상기 사용자정보가 상기 서버시스템(2000)에 저장된 데이터베이스에 포함되어 있는지 판별하고, 포함되어 있는 것으로 판별된 경우에 인증토큰을 생성하여 상기 사용자단말(1000)에 제공할 수 있다.
구체적으로, 상기 사용자단말(1000)에 설치된 에이전트어플리케이션(1100)을 사용자가 실행하여, 사용자는 상기 에이전트어플리케이션(1100)을 통해 사용자정보를 입력하고, 사용자단말(1000)은 사용자의 사용자정보 입력을 수신(S10)할 수 있다. 한편, 상기 사용자정보는 상기 사용자단말(1000)을 사용하는 사용자를 식별할 수 있는 다양한 정보 가운데 하나에 해당할 수 있다. 예를 들어 상기 사용자정보는 ID/PW 정보에 해당하거나, 지문정보와 같이 사용자 고유의 생체정보에 해당할 수 있다.
한편, 상기 에이전트어플리케이션(1100)은 입력받은 사용자정보를 포함하는 인증정보를 도출(S11)한다. 구체적으로 상기 인증정보는 상기 서버시스템의 식별정보, 상기 사용자단말의 식별정보 및 상기 사용자정보를 포함한다.
상기 서버시스템의 식별정보는 서버시스템(2000)의 내부에서 구현되는 네트워크에 대한 식별정보에 해당할 수 있다. 예를 들어, 상기 서버시스템(2000)이 기업 내의 네트워크를 구현하는 경우에, 상기 서버시스템의 식별정보는 해당 기업에 대한 ID와 같이, 해당 기업에 대한 식별정보에 해당할 수도 있다. 상기 사용자단말의 식별정보는 사용자가 사용하는 사용자단말(1000)을 식별하기 위한 고유정보에 해당할 수 있고, 상기 사용자단말의 식별정보는 해당 사용자단말(1000)의 MAC주소(Media Access Control Address) 또는 iOS에서 제공하는 Unique Device Identifier(UDID)와 같이, 사용자단말(1000)에 대한 고유정보에 해당할 수 있다. 한편, 상기 서버시스템의 식별정보 및 상기 사용자단말의 식별정보는 상기 사용자단말(1000)의 메모리에 기 저장될 수 있다.
한편, 상기 인증정보는 헤더 및 바디를 포함하는 패킷데이터 형태로 생성되며, 상기 헤더는 상기 서버시스템의 식별정보를 포함하고, 상기 바디는 상기 사용자단말의 식별정보 및 상기 사용자정보를 포함할 수 있다. 이와 같이 상기 에이전트어플리케이션(1100)은 생성한 인증정보를 상기 인증검증부(2100)로 송신(S12)한다.
상기 인증검증부(2100)는 인증검증단계를 수행하여 사용자단말(1000)로부터 수신한 인증정보를 검증(S13)한다. 구체적으로 인증검증단계는, 상기 인증정보의 헤더에 포함된 상기 서버시스템의 식별정보가 상기 인증검증부(2100)가 포함된 서버시스템의 식별정보와 일치하는지 여부를 검증(S13)한다. 상기 인증검증부(2100)는 수신한 인증정보를 검증하기 위하여 자신이 포함된 서버시스템의 식별정보를 저장할 수 있다.
한편, 상기 인증검증단계에서 수신한 인증정보가 유효한 것으로 검증된 경우에 상기 인증정보를 상기 인증제어부(2200)로 송신(S14)하고, 만약 상기 인증정보가 유효한 것으로 검증되지 않는 경우, 즉, 상기 인증정보에 포함된 서버시스템의 식별정보가 상기 인증검증부(2100)가 포함된 서버시스템의 식별정보와 일치하지 않는 경우, 수신한 인증정보를 버리거나(drop), 상기 인증정보를 송신한 사용자단말(1000)의 에이전트어플리케이션(1100)으로 인증정보의 검증결과를 송신할 수 있다.
한편, 상기 인증제어부(2200)는 인증토큰제공단계를 수행하여 상기 인증검증부(2100)로부터 수신한 인증정보의 바디를 검증(S15)하고, 검증결과에 따라 상기 사용자단말(1000)의 서비스어플리케이션(1200)과 서비스서버(2400)의 통신을 수립할 수 있는 인증토큰을 생성(S16)할 수 있다.
구체적으로, 상기 인증토큰제공단계는 수신한 상기 인증정보의 바디에 포함된 사용자단말의 식별정보 및 사용자정보를 검증한다. 이를 위하여, 상기 인증토큰제공단계는 상기 인증제어부(2200) 또는 상기 서버시스템(2000)에 포함된 데이터베이스에 상기 사용자단말의 식별정보 및 상기 사용자정보가 저장되어 있는지 판별한다. 본 발명의 일 실시예에서 상기 데이터베이스에 저장되는 사용자단말의 식별정보 및 사용자정보는 상술한 관리자단말(3000)을 통해 수신할 수 있다. 또한 본 발명의 다른 실시예에서는 상기 에이전트어플리케이션(1100)을 통해 사용자단말(1000)의 사용자가 사용자등록과 같은 절차를 수행함에 따라 상기 데이터베이스에 상기 사용자단말의 식별정보 및 상기 사용자정보가 자동적으로 저장될 수도 있다.
한편, 상기 인증토큰제공단계는 인증정보를 검증(S15)하여, 해당 인증정보가 유효한 것으로 검증된 경우에 인증토큰을 생성(S16)하고, 생성한 인증토큰을 상기 인증검증부(2100)를 통해 상기 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)로 송신(S17 및 S18)한다. 상기 인증토큰제공단계를 통해 생성된 인증토큰은 사용자단말(1000)이 인증되었음을 의미하며, 이후 사용자단말(1000)은 상기 인증검증부(2100)로 데이터를 송신하는 경우에 인증토큰을 포함하여 송신하며, 상기 인증검증부(2100)는 인증토큰을 확인하는 것으로 해당 데이터를 상기 인증제어부(2200)에 제공하게 된다.
또한 상기 인증토큰을 수신한 인증검증부(2100)는 상기 인증토큰을 저장하여, 이후에 상기 에이전트어플리케이션(1100)으로부터 수신하는 데이터에 포함된 인증토큰을 검증할 수 있고, 상기 사용자단말(1000) 또한 제공받은 인증토큰을 저장(S19)하고, 이후에 상기 인증검증부(2100)로 데이터를 송신함에 있어서, 상기 데이터에 저장된 인증토큰을 포함시킬 수 있다.
이와 같이, 인증검증부(2100)는 사용자단말(1000)에서 인증제어부(2200)로 송신하고자 하는 데이터들의 유효성을 검증하여, 유효한 것으로 검증된 데이터만을 상기 인증제어부(2200)로 제공하므로, 상기 인증제어부(2200)에 대한 보안이 향상될 수 있고, 상기 인증제어부(2200)의 부하를 줄일 수 있다.
한편, 상기 인증토큰제공단계에서 생성된 인증토큰을 사용자단말(1000)이 수신하는 것으로 상기 사용자단말(1000)의 에이전트어플리케이션(1100)에서 인증정보가 정상적으로 검증된 것으로 판단할 수 있으나, 본 발명의 다른 실시예에서 상기 인증토큰제공단계는 인증토큰과 함께 인증정보에 대한 검증이 정상적으로 이루어졌음을 의미하는 인증결과정보를 상기 사용자단말(1000)에 제공할 수도 있다.
도 3은 본 발명의 일 실시예에 따른 정책요청정보검증단계 및 정책정보제공단계의 수행과정들을 개략적으로 도시한다.
도 3에 도시된 바와 같이, 상기 통신 보안방법은, 상기 인증검증부(2100)에 의하여, 상기 인증토큰제공단계가 수행된 이후에, 상기 사용자단말(1000)로부터 상기 서버시스템의 식별정보 및 상기 인증토큰을 포함하는 정책요청정보를 수신하고, 상기 정책요청정보에 포함된 상기 서버시스템의 식별정보 및 상기 인증토큰을 검증하여, 유효한 것으로 검증된 경우에 상기 정책요청정보를 상기 인증제어부(2200)로 송신하는 정책요청정보검증단계; 및 상기 인증제어부(2200)에 의하여, 상기 정책요청정보검증단계를 통해 수신한 정책요청정보에 기초하여 상기 사용자단말(1000) 및 상기 사용자단말(1000)의 사용자에 상응하는 정책정보를 도출하여 상기 사용자단말(1000)에 상기 정책정보를 제공하는 정책정보제공단계;를 포함할 수 있다.
구체적으로, 상기 인증토큰을 제공받은 사용자단말(1000)은, 곧바로 상기 사용자단말(1000)에 설치된 서비스어플리케이션(1200) 및 상기 서버시스템(2000)에 포함된 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 상기 인증검증부(2100)로 송신할 수 있으나, 바람직하게는 상기 에이전트어플리케이션(1100)은 상기 사용자단말(1000)이 상기 서비스서버(2400)와 접속할 수 있는 상태인지를 판별하기 위한 정책요청정보를 상기 인증검증부(2100)로 송신하고, 상기 인증검증부(2100) 및 상기 인증제어부(2200)는 정책요청정보검증단계 및 정책정보제공단계를 통해 상기 사용자단말(1000)에 상응하는 정책정보를 도출하여 상기 사용자단말(1000)에 제공한다.
이를 위해, 상기 에이전트어플리케이션(1100)은 인증토큰을 제공받은 후에 상기 인증토큰을 포함하는 정책요청정보를 생성(S20)하고, 상기 정책요청정보를 상기 인증검증부(2100)로 송신(S21)한다. 한편, 상기 정책요청정보는 헤더 및 바디를 포함하는 패킷데이터 형태로 생성되며, 상기 헤더는 서버시스템의 식별정보를 포함하고, 상기 바디는 상기 인증토큰을 포함할 수 있다.
한편, 상기 인증검증부(2100)는 정책요청정보검증단계를 수행하여 상기 사용자단말(1000)로부터 수신한 정책요청정보를 검증(S22)한다. 구체적으로 정책요청정보검증단계는, 상기 정책요청정보의 헤더에 포함된 서버시스템의 식별정보가 상기 인증검증부(2100)가 포함된 서버시스템의 식별정보와 일치하는지 여부를 검증하고, 상기 정책요청정보의 바디에 포함된 인증토큰이 상기 서버시스템(2000)에 포함된 인증제어부(2200)에서 생성한 인증토큰에 해당하는지 여부를 검증(S22)한다.
이어서, 상기 정책요청정보검증단계에서 수신한 정책요청정보가 유효한 것으로 검증된 경우에 상기 정책요청정보검증단계는 상기 정책요청정보를 상기 인증제어부(2200)로 송신(S23)하고, 만약 상기 정책요청정보가 유효한 것으로 검증되지 않은 경우에는 수신한 정책요청정보를 버리거나(drop), 상기 정책요청정보를 송신한 사용자단말(1000)의 에이전트어플리케이션(1100)으로 정책요청정보에 대한 검증결과를 송신할 수 있다.
한편, 상기 인증제어부(2200)는 정책정보제공단계를 수행하여 상기 인증검증부(2100)로부터 수신한 정책요청정보에 상응하는 정책정보를 도출(S24)한다. 구체적으로, 상기 정책정보제공단계는 서버시스템(2000)에 포함된 데이터베이스에 저장된 1 이상의 정책정보 가운데 상기 정책요청정보에 상응하는 정책정보를 도출(S24)한다. 이를 위해 관리자는 상기 관리자단말(3000)을 통해 사용자단말(1000)의 유형 및/또는 사용자의 유형에 따른 1 이상의 정책정보를 입력할 수 있고, 상기 서버시스템(2000)은 관리자가 입력한 1 이상의 정책정보를 데이터베이스에 저장할 수 있다.
본 발명의 다른 실시예에서 상기 사용자단말(1000)의 유형은 데스크탑, 스마트폰 및 태블릿 PC와 같은 사용자단말(1000)의 종류에 해당할 수 있고, 상기 사용자의 유형은 상기 서버시스템(2000)이 기업에서 운영하는 경우에, 사용자의 직급 및/또는 부서에 해당할 수도 있다.
이어서, 상기 정책정보제공단계는 도출한 정책정보를 상기 인증검증부(2100)를 통해 상기 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)로 송신(S25 및 S26)한다. 상기 에이전트어플리케이션(1100)은 수신한 정책정보에 따라 상기 사용자단말(1000)의 상태를 판단(S27)하며, 상기 정책정보에 부합하는 것으로 판단하는 경우에 상기 인증검증부(2100)에 상기 사용자단말(1000)의 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 요청하게 된다.
도 4는 본 발명의 일 실시예에 따른 사용자단말(1000)에 제공하는 정책정보를 개략적으로 도시한다.
도 4에 도시된 바와 같이, 정책정보는 1 이상의 정책들을 포함하고, 상기 라우팅요청정보검증단계는, 상기 정책정보제공단계를 통해 정책정보를 제공받은 사용자단말(1000)의 에이전트어플리케이션(1100)에서 해당 사용자단말(1000)이 상기 정책정보에 부합하는 것으로 판별한 경우에 상기 사용자단말(1000)로부터 상기 라우팅요청정보를 수신할 수 있다.
구체적으로, 도 4에 도시된 바와 같이 정책정보는 1 이상의 정책들을 포함하고, 상기 정책정보는 사용자단말(1000)의 유형 및/또는 사용자의 유형에 따라 상이한 정책들을 포함할 수 있으며, 상기 정책정보는 관리자가 설정할 수 있다.
상기 정책정보는 사용자단말(1000)이 서버시스템(2000), 구체적으로는 서비스서버(2400)에 접속하는 데 있어서 사용자단말(1000)의 상태를 확인하기 위한 정보에 해당할 수 있다. 예를 들어, 상기 정책정보는 사용자단말에 1 이상의 백신소프트웨어의 설치여부에 대한 정책, 사용자단말에 방화벽의 설정여부에 대한 정책, 사용자단말의 운영체제의 최신 업데이트 여부에 대한 정책, 사용자단말에 블랙리스트에 포함된 1 이상의 소프트웨어의 설치여부에 대한 정책 및 사용자단말에 화이트리스트에 포함된 1 이상의 소프트웨어의 설치여부에 대한 정책 등을 포함할 수 있다.
한편, 상기 에이전트어플리케이션(1100)은 상기 인증제어부(2200)로부터 제공받은 정책정보에 기초하여 상기 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)이 상기 정책정보에 포함된 1 이상의 정책에 부합하는지 여부를 판단할 수 있다. 이를 위하여 상기 에이전트어플리케이션(1100)은 상기 사용자단말(1000)의 운영체제(1300)의 내부에 접근할 수 있는 권한이 부여될 수 있다.
이에 따라, 상기 에이전트어플리케이션(1100)이 제공받은 정책정보에 해당 사용자단말(1000)이 부합하는 것으로 판별한 경우에, 상기 에이전트어플리케이션(1100)은 상기 사용자단말(1000)에 설치된 서비스어플리케이션(1200) 및 상기 서비스어플리케이션(1200)에 상응하는 서비스서버(2400)와의 통신을 수립하기 위한 라우팅정보를 상기 인증검증부(2100)에 요청할 수 있다.
반면에, 상기 에이전트어플리케이션(1100)이 해당 사용자단말(1000)이 제공받은 정책정보에 부합하지 않는 것으로 판별한 경우에, 상기 에이전트어플리케이션(1100)은 상기 라우팅정보를 상기 인증검증부(2100)에 요청하지 않는다. 또한, 부가적으로 상기 에이전트어플리케이션(1100)은 정책정보에 부합하지 않음을 해당 사용자단말(1000)에 디스플레이 하거나, 상기 서버시스템(2000)에 포함된 배포서버(미도시)와 통신을 수행하여 상기 정책정보에 부합하기 위한 1 이상의 소프트웨어를 사용자단말(1000)에 설치하거나, 사용자단말(1000)에 설치된 블랙리스트에 포함된 소프트웨어를 제거하는 등의 동작을 수행하여 상기 사용자단말(1000)이 제공받은 정책정보에 부합되도록 하는 일련의 과정을 수행할 수도 있다.
이와 같이, 본 발명의 일 실시예에서 서버시스템(2000)은 사용자단말(1000)이 인증토큰을 제공받는 경우에, 즉시 서비스어플리케이션(1200)과 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 제공하는 것이 아니라, 사용자단말(1000) 및 사용자에 상응하는 정책정보를 에이전트어플리케이션(1100)에 제공하고, 에이전트어플리케이션(1100)에서 사용자단말(1000)이 정책정보에 부합하는 것으로 판별한 경우에만 라우팅정보를 요청할 수 있도록 하므로, 보안에 위협이 되는 요소들을 포함하는 사용자단말(1000)이 서비스서버(2400)에 접속하는 것을 미연에 방지할 수 있는 효과를 발휘할 수 있다.
한편, 본 발명의 다른 실시예에서 상기 정책정보에 따라 상기 에이전트어플리케이션(1100)이 해당 사용자단말(1000)이 상기 정책정보에 부합하는지 판별하는 과정은 상기 에이전트어플리케이션(1100)에서 라우팅정보를 요청하기 위하여 수행되는 것뿐만 아니라, 라우팅정보에 따라 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신이 수립된 후에도 상기 과정이 수행될 수 있고, 해당 사용자단말(1000)이 상기 정책정보에 부합하지 않는 것으로 판별되는 경우에 수립된 통신 채널은 끊어질 수 있다.
도 5는 본 발명의 일 실시예에 따른 라우팅요청정보검증단계 및 라우팅정보제공단계를 개략적으로 도시한다.
도 5에 도시된 바와 같이, 상기 통신 보안방법은, 상기 인증검증부(2100)에 의하여, 상기 인증토큰을 제공받은 사용자단말(1000)로부터 수신한 상기 사용자단말(1000)에 설치된 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신이 수립되기 위한 라우팅을 요청하는 라우팅요청정보를 검증하고, 유효한 것으로 검증된 라우팅요청정보를 상기 인증제어부(2200)로 송신하는 라우팅요청정보검증단계; 및 상기 인증제어부(2200)에 의하여, 상기 라우팅요청정보검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 도출하여 상기 사용자단말(1000)에 제공하는 라우팅정보제공단계;를 포함하고, 상기 라우팅요청정보는, 상기 서버시스템의 식별정보 및 상기 인증토큰을 포함하고, 상기 라우팅요청정보검증단계는, 상기 라우팅요청정보에 포함된 상기 서버시스템의 식별정보 및 상기 인증토큰을 검증하고, 유효한 것으로 검증된 경우에 상기 라우팅요청정보를 상기 인증제어부(2200)로 송신하고, 상기 라우팅정보제공단계는, 상기 라우팅요청정보검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스서버의 주소정보 및 상기 서비스어플리케이션(1200)과 상기 서비스서버(2400)의 통신을 중계하는 게이트웨이의 주소정보를 포함하는 라우팅정보를 도출하여 상기 사용자단말(1000)에 상기 라우팅정보를 제공할 수 있다.
구체적으로, 상술한 바와 같이 상기 에이전트어플리케이션(1100)에서 사용자단말(1000)이 정책정보에 부합하는 것으로 판별한 경우에, 상기 사용자단말(1000)에 설치된 서비스어플리케이션(1200)과 이에 상응하는 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 요청하는 라우팅요청정보를 생성(S30)하고, 상기 라우팅요청정보를 상기 인증검증부(2100)로 송신(S31)한다. 한편, 상기 라우팅요청정보는 헤더 및 바디를 포함하는 패킷데이터 형태로 생성되며, 상기 헤더는 서버시스템의 식별정보를 포함하고, 상기 바디는 상기 인증토큰을 포함할 수 있다.
한편, 상기 인증검증부(2100)는 라우팅요청정보검증단계를 수행하여 상기 사용자단말(1000)로부터 수신한 라우팅요청정보를 검증(S32)한다. 구체적으로, 상기 라우팅요청정보검증단계는, 상기 라우팅요청정보의 헤더에 포함된 서버시스템의 식별정보가 상기 인증검증부(2100)가 포함된 서버시스템의 식별정보와 일치하는지 여부를 검증하고, 상기 라우팅요청정보의 바디에 포함된 인증토큰이 상기 서버시스템(2000)에 포함된 인증제어부(2200)에서 생성한 인증토큰에 해당하는지 여부를 검증(S32)한다.
이어서, 상기 라우팅요청정보검증단계에서 수신한 라우팅요청정보가 유효한 것으로 검증된 경우에 상기 라우팅요청정보검증단계는 상기 라우팅요청정보를 상기 인증제어부(2200)로 송신(S33)하고, 만약 상기 라우팅요청정보가 유효한 것으로 검증되지 않은 경우에는 수신한 라우팅요청정보를 버리거나(drop), 상기 라우팅요청정보를 송신한 사용자단말(1000)의 에이전트어플리케이션(1100)으로 라우팅요청정보에 대한 검증결과를 송신할 수 있다.
한편, 상기 인증제어부(2200)는 라우팅정보제공단계를 수행하여 상기 인증검증부(2100)로부터 수신한 라우팅요청정보에 기초하여 사용자단말(1000)에 설치된 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 도출(S34)한다. 구체적으로, 상기 라우팅정보제공단계에서 도출하는 라우팅정보는 통신을 수립하고자 하는 서비스서버의 주소정보 및 통신을 수립하고자 하는 서비스서버(2400) 및 서비스어플리케이션(1200)의 통신을 중계하는 게이트웨이의 주소정보를 포함할 수 있다.
이어서, 상기 라우팅정보제공단계는 도출한 라우팅정보를 상기 인증검증부(2100)를 통해 상기 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)로 송신(S35 및 S36)한다. 한편, 상기 에이전트어플리케이션(1100)은 수신한 라우팅정보에 기초하여 상기 라우팅정보에 포함된 게이트웨이의 주소정보에 해당하는 게이트웨이(2300)를 경유하는 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신을 수립하기 위한 경로(라우팅)를 설정(S37)할 수 있다.
도 6은 본 발명의 일 실시예에 따른 사용자단말(1000)에서 라우팅정보에 따라 서비스어플리케이션(1200)의 통신을 수립하는 과정을 개략적으로 도시한다.
도 6에 도시된 바와 같이, 상기 라우팅정보제공단계를 통해 상기 사용자단말(1000)에 제공되는 라우팅정보는, 상기 에이전트어플리케이션(1100)에서 상기 사용자단말(1000)에 설치된 운영체제(Operating System)(1300)로 하여금 상기 서비스어플리케이션(1200) 및 상기 서비스서버(2400)가 상기 게이트웨이(2300)를 통해 통신을 수행하도록 상기 운영체제(1300)의 커널(kernel)을 제어하도록 할 수 있다.
구체적으로, 상기 에이전트어플리케이션(1100)은 상기 라우팅정보제공단계를 통해 제공받은 라우팅정보에 기초하여, 상기 사용자단말(1000)에 설치된 운영체제(1300)에 포함되는 커널을 제어함으로써, 서비스어플리케이션(1200) 및 서비스서버(2400)가 게이트웨이(2300)를 통해 통신을 수행할 수 있도록 라우팅 될 수 있다.
상기 커널은 서비스어플리케이션(1200)의 수행에 필요한 다양한 서비스를 제공하고, 사용자단말(1000)의 하드웨어를 제어하여 타 사용자단말과의 네트워킹을 제공할 수 있으며, 이에 따라 상기 에이전트어플리케이션(1100)은 상기 운영체제(1300)의 커널을 제어할 수 있는 권한이 부여될 수 있다.
따라서, 상기 에이전트어플리케이션(1100)은, 서비스어플리케이션(1200)이 상기 라우팅정보에 포함된 게이트웨이의 주소정보에 상응하는 게이트웨이(2300)를 통해 상기 라우팅정보에 포함된 서비스서버의 주소정보에 상응하는 서비스서버(2400)와 통신이 수립되도록 상기 커널을 제어한다.
이와 같이, 라우팅정보에 따라 통신이 수립된 채널을 통해서만 상기 서비스어플리케이션(1200) 및 상기 서비스서버(2400)가 통신을 수행할 수 있으며, 상기 서비스어플리케이션(1200)은 상기 채널을 통해 특정 서비스서버(2400)에 대해서만 통신을 할 수 있으므로, 상기 서버시스템(2000)에 포함된 타 구성요소와의 불필요한 통신을 미연에 차단할 수 있으므로 상기 서버시스템(2000)의 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.
한편, 본 발명의 다른 실시예에서 상기 서비스어플리케이션(1200) 및 상기 서비스서버(2400)의 통신이 수립되는 경우에 해당 통신 채널은 암호화되어, 해당 채널을 통해 송수신하는 데이터의 보안을 향상시킬 수 있으며, 암호화 방식은 전송 계층 보안(Transport Layer Security, TLS) 프로토콜 등과 같이 다양한 암호화 방식을 사용할 수 있다. 또한, 상기 통신 채널에서 암호화되는 구간은 상기 서비스어플리케이션(1200) 및 상기 게이트웨이(2300) 사이의 구간에만 해당할 수도 있다.
도 7은 본 발명의 일 실시예에 따른 에이전트어플리케이션의 내부구성을 개략적으로 도시한다.
도 7에 도시된 바와 같이 상기 에이전트어플리케이션(1100)은 경로설정모듈(1110)과 캡쳐방지모듈(1120)을 포함할 수 있다. 한편, 본 발명의 설명을 위해 도 7에서 상기 경로설정모듈(1110)과 상기 캡쳐방지모듈(1120)만 도시했을 뿐, 도 7에 도시된 것만이 상기 에이전트어플리케이션(1100)의 모든 내부구성을 도시하지는 않는다.
구체적으로, 상기 에이전트어플리케이션(1100)은 사용자단말(1000)에 설치되어 가장 우선적으로 실행될 수 있으며, 상기 에이전트어플리케이션(1100)의 실행여부는 상기 사용자단말(1000)을 사용하는 사용자의 의사와 상관없이 사용자단말(1000)의 부팅이 완료됨과 동시에 실행될 수 있다.
상기 에이전트어플리케이션(1100)이 실행될 경우, 상기 경로설정모듈(1110)은 상기 캡쳐방지모듈(1120)보다 먼저 실행될 수 있다. 상기 경로설정모듈(1110)에서는 상술한 바와 같이, 상기 서버시스템(2000) 내부에 있는 인증검증부(2100) 및 인증제어부(2200)와의 통신을 통해, 상기 사용자단말(1000)에 대한 서버시스템(2000)의 인증을 검증하고, 게이트웨이주소를 포함하는 라우팅정보를 송수신하여, 상기 서비스서버와 상기 사용자단말(1000)의 서비스어플리케이션(1200)과의 연결을 가능하게 할 수 있다. 상기 경로설정모듈(1110)에서의 수행을 통해, 상기 서버시스템(2000)에서 승인되어 라우팅정보를 받은 사용자단말(1000)에 대해서만 상기 서버시스템(2000)으로의 접속을 허용하기 때문에, 종래의 보안방식에 비해 더 향상된 보안을 기대할 수 있다.
상기 캡쳐방지모듈(1120)에서는, 관리자단말(3000)을 통해 상기 서버시스템(2000)에 저장된 1 이상의 캡쳐방지설정정보를 수신하여 상기 사용자단말(1000)에 저장할 수 있고, 상기 사용자단말(1000)에서 캡쳐어플리케이션을 실행한 경우, 상기 캡쳐어플리케이션의 실행을 감지하고, 상기 사용자단말(1000)에 표시되는 화면 중 캡쳐방지어플리케이션의 표시화면은 제외하고 표시할 수 있다. 상기 캡쳐방지설정정보는 상기 관리자단말(3000)의 주체인 관리자가 상기 서버시스템(2000)을 통해, 캡쳐방지어플리케이션에 대해 설정한 정보를 의미하며, 상기 캡쳐방지어플리케이션은 상기 관리자가 사용자단말(1000)의 화면 상에서 캡쳐 되지 않도록, 상기 서버시스템(2000)에서 설정한 1 이상의 어플리케이션을 의미하고, 캡쳐방지설정정보에 상응하는 어플리케이션을 포함한다.
도 8은 본 발명의 일 실시예에 따른 사용자단말(1000)과 서버시스템(2000) 간의 통신을 통해 캡쳐방지기능의 수행과정들을 개략적으로 도시한다.
도 8에 도시된 바와 같이, 상기 경로설정단계에서는, 상기 인증제어부(2200)에 의하여, 상기 라우팅요청정보검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 도출하여 상기 사용자단말(1000)에 제공하는 라우팅정보제공단계;를 포함하며, 상기 라우팅정보제공단계는, 상기 인증제어부(2200)에 의하여, 상기 사용자단말(1000)에 설치된 어플리케이션에 대해서 캡쳐방지어플리케이션을 설정하는 단계; 및 상기 설정된 캡쳐방지어플리케이션에 대한 정보인 캡쳐방지설정정보를 상기 인증검증부(2100)를 통해 상기 사용자단말(1000)로 송신하는 단계;를 포함하고, 상기 사용자단말(1000)에 의하여, 상기 인증검증부(2100)로부터 수신한 상기 캡쳐방지설정정보를 상기 사용자단말(1000)에 저장하는 단계;를 포함할 수 있다.
개략적으로, 도 8에 도시된 바와 같이, 상기 인증제어부(2200)에서 설정된 상기 캡쳐방지설정정보는 상기 인증검증부(2100)를 통해 상기 사용자단말(1000)에 설치된 상기 에이전트어플리이션 내부의 상기 캡쳐방지모듈(1120)로 전송될 수 있다. 상기 캡쳐방지모듈(1120)에서 수신한 상기 캡쳐방지설정정보는 상기 사용자단말(1000)에 저장될 수 있고, 저장된 상기 정보를 토대로 상기 에이전트어플리케이션(1100)은 상기 사용자단말(1000)에서 캡쳐방지 기능을 사용할 수 있다.
구체적으로, 관리자는 관리자단말(3000)을 통해 상기 서버시스템(2000)에 상기 캡쳐방지설정정보를 저장할 수 있다. 상기 캡쳐방지설정정보는 상기 관리자에 의해 설정된 캡쳐방지어플리케이션에 대한 정보를 포함하여, 캡쳐방지어플리케이션은 상기 사용자단말(1000) 상에서 캡쳐되지 않도록 상기 서버시스템(2000)에서 설정한 어플리케이션을 포함할 수 있다. 상기 캡쳐방지어플리케이션은 상기 관리자가 상기 서버시스템(2000) 내부의 서비스서버(2400)와 통신할 수 있는 서비스어플리케이션(1200) 중에 1 이상을 지정하여 설정할 수 있다. 상기 캡쳐방지설정정보는 상기 인증제어부(2200)에 직접 저장될 수 있고, 혹은 상기 인증제어부(2200)와 통신할 수 있는 별도의 DB(Data Base)(미도시)에 저장될 수 있다.
상기 인증제어부(2200)는 상기 서버시스템(2000)에 저장된 상기 캡쳐방지설정정보를 상기 인증검증부(2100)로 송신한다. 상기 인증제어부(2200)는 상기 사용자단말(1000)과 직접 통신할 수 있는 통신채널을 생성할 수 없으므로, 상기 인증제어부(2200)는 상기 인증검증부(2100)를 통해서만 상기 사용자단말(1000)로 상기 캡쳐방지설정정보를 송신할 수 있다. 바람직하게는, 상기 캡쳐방지설정정보는 상기 인증제어부(2200)에서 라우팅정보에 포함될 수 있다. 상기 캡쳐방지설정정보는 상기 라우팅정보에 포함된 경우, 상기 라우팅정보제공단계에서의 수행과정에 따라, 상기 인증검증부(2100)를 거쳐 상기 사용자단말(1000)로 송신될 수 있다. 또 다른 실시예에 따르면, 캡쳐방지설정정보는 상기 인증검증부(2100)에서 도출한 정책정보에 포함되어, 상기 정책정보제공단계의 수행과정에 따라 상기 사용자단말(1000)로 전송될 수 있다.
상기 사용자단말(1000)에 설치된 에이전트어플리케이션(1100) 내부에 있는 상기 캡쳐방지모듈(1120)에서는 상기 인증검증부(2100)로부터 수신한 상기 라우팅정보에서 상기 캡쳐방지설정정보를 도출할 수 있다. 상기 라우팅정보로부터 도출된 상기 캡쳐방지설정정보는 상기 사용자단말(1000)에 저장될 수 있다.
상기 캡쳐방지모듈(1120)은 상기 사용자단말(1000)에 저장된 상기 캡쳐방지설정정보에 상응하는 상기 캡쳐방지어플리케이션에 대해 캡쳐방지를 제어할 수 있는 권한을 가질 수 있고, 상기 캡쳐방지어플리케이션은 상기 사용자단말(1000)에 설치된 서비스어플리케이션(1200)을 포함할 수 있다. 상기 캡쳐방지모듈(1120)은 상기 캡쳐방지설정정보를 토대로, 상기 사용자단말(1000)의 디스플레이에서 표시될 수 있는 상기 캡쳐방지설정정보에 상응하는 상기 캡쳐방지어플리케이션의 표시화면에 대한 캡쳐방지 기능을 수행할 수 있다.
도 9는 본 발명의 일 실시예에 따른 사용자단말(1000)에서 수행되는 캡쳐방지모듈(1120)에서의 수행단계들을 개략적으로 도시한다.
도 9에 도시한 바와 같이, 사용자단말(1000) 및 사용자단말(1000)과 통신을 수행하는 서버시스템(2000)에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법으로서, 상기 서버시스템(2000)은 인증검증부(2100) 및 인증제어부(2200)를 포함하고, 상기 사용자단말(1000)에는 캡쳐방지모듈(1120) 및 경로설정모듈(1110)을 포함하는 에이전트어플리케이션(1100)이 설치되어 있고, 상기 사용자단말(1000)에는 상기 인증제어부(2200)에서 설정되고, 상기 인증검증부(2100)를 통하여 수신한 1 이상의 캡쳐방지애플리케이션에 대한 정보가 저장되어 있고, 상기 경로설정모듈(1110)은, 상기 사용자단말(1000)에 설치된 서비스어플리케이션(1200)과 상기 서버시스템(2000) 내부의 서비스서버(2400)의 통신이 수립되기 위한 라우팅을 상기 인증검증부(2100)에 요청하고, 상기 인증검증부(2100)로부터 수신한 라우팅경로정보에 기초하여 해당 서비스어플리케이션(1200)의 라우팅경로정보를 설정하는 경로설정단계를 수행하고, 상기 캡쳐방지모듈(1120)은, 사용지단말에서 캡쳐어플리케이션의 실행을 감지하는 캡쳐실행감지단계; 캡쳐실행감지단계에서 캡쳐어플리케이션의 실행이 감지되는 경우, 캡쳐대상이미지에서 1 이상의 상기 캡쳐방지애플리케이션의 영역을 검출하는 영역검출단계; 캡쳐대상이미지에서 검출된 1 이상의 상기 캡쳐방지애플리케이션의 영역을 제거하여 수정캡쳐대상이미지를 생성하는 수정이미지생성단계; 및 상기 수정캡쳐대상이미지를 상기 캡쳐어플리케이션에 전달하는 수정이미지전달단계;를 포함할 수 있으며, 상기 영역검출단계에서는, 상기 캡쳐방지모듈(1120)이 상기 캡쳐대상이미지에 대한 요청을 상기 사용자단말(1000)에 설치된 운영체제(Operating System)로 송신하는 캡쳐대상이미지요청단계; 및 상기 운영체제에서 상기 캡쳐방지모듈(1120)로부터의 요청을 수신하고, 해당 요청에 해당하는 캡쳐대상이미지를 상기 캡쳐방지모듈(1120)로 전달하는 캡쳐대상이미지전달단계;를 포함할 수 있다.
개략적으로, 상기 캡쳐방지모듈(1120)에서의 수행단계는, 상기 인증검증부(2100)로부터 상기 캡쳐방지설정정보를 수신한 이후에 수행될 수 있는 단계로서, 상기 사용자단말(1000)에서, 캡쳐어플리케이션이 실행된 시점부터 상기 캡쳐방지모듈(1120)에 의해 상기 캡쳐방지설정정보에 상응하는 캡쳐방지어플리케이션에 대해 캡쳐방지 기능이 실행되는 수행단계를 도시한 것이다.
구체적으로, 상기 캡쳐실행감지단계에 해당하는 단계 S40에서는, 상기 사용자단말(1000)에 상기 캡쳐방지설정정보가 저장된 이후, 상기 사용자단말(1000)에서 캡쳐어플리케이션이 실행되었을 때, 상기 캡쳐방지모듈(1120)에서는 상기 캡쳐어플리케이션의 실행을 감지할 수 있다. 상기 캡쳐어플리케이션은, 예를 들어 Windows 운영체제에서 작동하는 프린트스크린 키 또는 기본 캡쳐 프로그램, iOS 운영체제에서 작동하는 단축키 또는, 기본 어플리케이션 혹은 별도의 화면 캡쳐가 가능한 어플리케이션을 포함할 수 있다. 상기 캡쳐방지모듈(1120)이 상기 사용자단말(1000) 상에서 캡쳐어플리케이션의 실행을 감지하는 것에 대한 자세한 설명은 후술하도록 한다.
상기 캡쳐대상이미지요청단계에 해당하는 단계 S41에서는, 상기 에이전트어플리케이션(1100)은, 상기 사용자단말(1000)에서 상기 캡쳐어플리케이션의 실행이 감지되면, 운영체제(1300)로부터 캡쳐대상이미지를 요청할 수 있다. 상기 캡쳐대상이미지는, 상기 사용자단말(1000)의 메모리에 할당되어 있는 디스플레이영역에 저장되어 있어, 상기 사용자단말(1000)의 디스플레이에 표시되는 화면에 해당하는 이미지를 의미한다. 구체적으로, 상기 캡쳐대상이미지는, 상기 캡쳐어플리케이션이 상기 운영체제(1300)에 요청한 이미지일 수 있다. 상기 캡쳐어플리케이션이 사용자단말(1000)의 화면을 캡쳐하기 위해 운영체제(1300)로 상기 캡쳐대상이미지를 요청할 수 있다.
이 과정에서, 상기 캡쳐어플리케이션보다 상기 에이전트어플리케이션(1100)이 상기 운영체제(1300)에 대해서 더 우선적인 권한을 가지고 있기 때문에, 상기 캡쳐어플리케이션에서 상기 운영체제(1300)로의 요청은 상기 에이전트어플리케이션(1100)을 경유해야만 상기 운영체제(1300)로 도착할 수 있다. 이와 같은 이유로, 상기 에이전트어플리케이션(1100)은 상기 캡쳐어플리케이션의 실행을 감지할 수 있다. 상기 에이전트어플리케이션(1100)이 상기 운영체제(1300)로의 요청은, 상기 운영체제(1300)에 포함되는 커널을 제어함으로써, 상기 메모리의 디스플레이영역에 저장되어 있는 상기 캡쳐대상이미지에 해당하는 메모리주소를 제어할 수 있다.
상기 캡쳐대상이미지는 상기 캡쳐어플리케이션을 실행했을 때의 사용자단말(1000)의 디스플레이 전체 화면일 수도 있고, 상기 사용자의 입력을 통해 지정된 일부 영역의 디스플레이일 수도 있다.
상기 캡쳐대상이미지전달단계에 해당하는 단계 S42에서는, 상기 운영체제(1300)가 상기 에이전트어플리케이션(1100)으로부터 받은 요청에 의해 상기 커널을 제어함으로써, 상기 메모리에 할당되어있는 캡쳐대상이미지를 복사할 수 있고, 상기 에이전트어플리케이션(1100)은 상기 커널에 의해 복사된 캡쳐대상이미지를 상기 운영체제(1300)를 통해 수신할 수 있다. 이 때, 상기 캡쳐대상이미지는 상기 에이전트어플리케이션(1100)에서 수신되자마자 바로 상기 캡쳐어플리케이션으로 전달되지 않고, 상기 에이전트어플리케이션(1100)에서는 후술할 캡쳐방지 기능을 수행할 수 있다.
상기 영역검출단계에 해당하는 단계 S43에서는, 상기 에이전트어플리케이션(1100)은 단계 S42에서 수신한 상기 캡쳐대상이미지에서 상기 사용자단말(1000)에 저장된 상기 캡쳐방지설정정보를 토대로, 상기 캡쳐대상이미지에서 표시되는 1 이상의 어플리케이션 표시화면 중에서 캡쳐방지어플리케이션의 표시화면에 대한 영역을 추출해낼 수 있다.
상기 수정이미지생성단계에 해당하는 단계 S44에서는, 단계 S43에서 추출한 캡쳐방지어플리케이션의 영역을 제거함으로써, 수정캡쳐대상이미지를 생성할 수 있다. 상기 수정캡쳐대상이미지는 상기 사용자가 캡쳐프로그램을 실행한 시점에서의 상기 사용자단말(1000)의 디스플레이에서 표시되는 화면에서, 상기 캡쳐방지어플리케이션의 표시화면만 제거된 이미지를 의미한다. 본 발명의 일 실시예에 따른, 상기 수정캡쳐대상이미지는, 메모리단계에서 상기 캡쳐방지어플리케이션에 대한 표시화면만 지운 이미지이기 때문에, 별도의 인터페이스가 표시되거나, 해당 영역만 다른 이미지로 덮여서 지워지는 것이 아니라, 애초에 상기 캡쳐방지어플리케이션의 표시화면이 상기 사용자단말(1000)의 디스플레이에 표시되지 않았던 것 같은 이미지를 상기 사용자에게 보여질 수 있다.
상기 수정이미지전달단계에 해당하는 단계 S45에서는, 상기 에이전트어플리케이션(1100)이 단계 S44에서 생성한 수정캡쳐대상이미지를 상기 캡쳐어플리케이션으로 전달하여, 상기 사용자로 하여금 상기 관리자가 설정한 캡쳐방지어플리케이션에 대해 화면캡쳐를 방지할 수 있다.
도 10은 본 발명의 일 실시예에 따른 영역검출단계부터 수정이미지전달단계까지의 캡쳐방지 과정을 개략적으로 도시한다.
개략적으로, 도 10에 도시된 바에 따르면, 사용자단말(1000)의 메모리(11200)에서 수신 받은 캡쳐대상이미지를 수정캡쳐대상이미지로 전환하는 과정을 도시한다. 도 10에서는, 상기 사용자단말(1000)의 메모리(11200);와 상기 메모리(11200) 안에 할당되어, 상기 사용자단말(1000)의 디스플레이에서 보여지는 화면에 대한 메모리가 저장되어 있는 디스플레이부(11210); 및 상기사용자단말(1000)에 설치된 어플리케이션의 표시화면;을 도시한다. 한편, 도 10에서 도시되는 것은 본 발명의 작동 원리를 쉽게 설명 하기 위해 이미지적인 요소를 사용한 것이고, 본 발명이 실제로 구동되는 방식은 상이할 수 있다.
구체적으로, 상기 사용자단말(1000)의 메모리(11200)에는 사용자단말(1000)의 디스플레이에서 보여지는 화면이 할당되어 있는 영역인 디스플레이부(11210)가 존재하고, 현재 대중적으로 사용되는 캡쳐어플리케이션들은 상기 디스플레이부(11210)에서 캡쳐대상이미지를 가져와 화면캡쳐 기능을 수행할 수 있다. 본 발명에서는 이와 같은 캡쳐어플리케이션의 동작원리를 이용하여, 기설정해놓은 캡쳐방지어플리케이션에 대해 캡쳐방지 기능을 수행할 수 있다.
도 10의 (a)에서는, 상술한 바와 같이 상기 사용자단말(1000)의 메모리(11200)와, 디스플레이부(11210), 캡쳐대상이미지영역(A1) 및 어플리케이션의 표시화면영역을 도시하고 있다. 또한, 상기 캡쳐대상이미지영역(A1)은 캡쳐어플리케이션 또는 에이전트어플리케이션(1100)이 운영체제(1300)로 요청하는 캡쳐대상이미지에 해당하는 영역으로, 상기 디스플레이부(11210)에 포함될 수 있다. 상기 어플리케이션의 표시화면영역은 상기 캡쳐대상이미지영역(A1)에 포함될 수 있고, 상기 사용자단말(1000)에서 실행되고 있는 어플리케이션 중에 상기 사용자단말(1000)의 디스플레이에 표시되고 있는 어플리케이션의 표시화면에 해당하는 영역을 의미한다. 상기 어플리케이션의 표시화면영역에 해당하는 어플리케이션은 상기 사용자단말(1000)에 설치된 모든 어플리케이션이 될 수 있고, 상기 서버시스템(2000) 내의 서비스서버(2400)와 통신할 수 있는 서비스어플리케이션(1200)에 국한되지 않는다. 또한, 상기 어플리케이션의 표시화면영역은 상기 디스플레이부(11210)에 1 이상 존재할 수 있고, 혹은 전혀 존재하지 않을 수도 있다.
도 10의 (b)에서는, 상기 캡쳐방지모듈(1120)에서 수행되는 영역검출단계에서의 캡쳐대상이미지영역(A1)을 도시한다. 에이전트어플리케이션(1100)은 운영체제(1300)로부터 도 10의 (a)의 캡쳐대상이미지영역(A1)에 해당하는 이미지를 수신할 수 있다. 상기 에이전트어플리케이션(1100)은 상기 캡쳐대상이미지영역(A1)에서 상기 사용자단말(1000)에 저장된 캡쳐방지설정정보에 상응하는 캡쳐방지어플리케이션의 영역(A2)을 검출할 수 있다. 상기 캡쳐방지어플리케이션의 영역(A2)은 상기 어플리케이션의 표시화면영역 중 상기 캡쳐방지어플리케이션의 표시화면에 해당하는 영역이며, 상기 캡쳐방지어플리케이션의 영역(A2)은 상기 캡쳐대상이미지영역(A1) 안에 1 이상 존재할 수 있고, 혹은 전혀 존재하지 않을 수도 있다.
도 10의 (c)와 (d)는 상기 캡쳐방지모듈(1120)에서 수행되는 수정이미지생성단계에서의 캡쳐대상이미지영역(A1) 및 수정캡쳐대상이미지영역(A3)을 도시한다. 도 10의 (c)에서 도시한 바와 같이, 상기 에이전트어플리케이션(1100)은 영역검출단계에서 검출한 캡쳐방지어플리케이션의 영역(A2)을 제거할 수 있다. 상기 캡쳐방지어플리케이션의 영역(A2)을 제거한 상기 캡쳐대상이미지영역(A1)에 해당하는 수정캡쳐대상이미지영역(A3)을 도 10의 (d)에 도시하였고, 수정캡쳐대상이미지는 상기 수정캡쳐대상이미지영역(A3)에 해당하는 이미지이다. 상기 에이전트어플리케이션(1100)의 캡쳐방지모듈(1120)은 상기 수정캡쳐대상이미지를 상기 캡쳐어플리케이션에서 전달한다. 따라서, 상기 사용자는 상기 캡쳐어플리케이션을 실행시켰을 때, 상기 캡쳐방지모듈(1120)에서 전달한 수정캡쳐대상이미지를 상기 사용자단말(1000)에서 확인할 수 있다.
도 11는 본 발명의 일 실시예에 따른 컴퓨팅장치의 내부 구성을 개략적으로 도시한다.
상술한 도 1에 도시된 서버시스템(2000)(2000)에 포함되는 구성요소들은 상기 도 11에 도시된 컴퓨팅장치(11000)의 구성요소들을 포함할 수 있다.
도 11에 도시된 바와 같이, 컴퓨팅장치(11000)는 적어도 하나의 프로세서(processor)(11100), 메모리(memory)(11200), 주변장치 인터페이스(peripheral interface)(11300), 입/출력 서브시스템(I/O subsystem)(11400), 전력 회로(11500) 및 통신 회로(11600)를 적어도 포함할 수 있다. 이때, 컴퓨팅장치(11000)는 도 1에 도시된 서버시스템(2000)(2000)에 포함되는 구성요소에 해당될 수 있다.
메모리(11200)는 일례로 고속 랜덤 액세스 메모리(high-speed random access memory), 자기 디스크, 에스램(SRAM), 디램(DRAM), 롬(ROM), 플래시 메모리 또는 비휘발성 메모리를 포함할 수 있다. 메모리(11200)는 컴퓨팅장치(11000)의 동작에 필요한 소프트웨어 모듈, 명령어 집합 또는 그 밖에 다양한 데이터를 포함할 수 있다.
이때, 프로세서(11100)나 주변장치 인터페이스(11300) 등의 다른 컴포넌트에서 메모리(11200)에 액세스하는 것은 프로세서(11100)에 의해 제어될 수 있다.
주변장치 인터페이스(11300)는 컴퓨팅장치(11000)의 입력 및/또는 출력 주변장치를 프로세서(11100) 및 메모리(11200)에 결합시킬 수 있다. 프로세서(11100)는 메모리(11200)에 저장된 소프트웨어 모듈 또는 명령어 집합을 실행하여 컴퓨팅장치(11000)을 위한 다양한 기능을 수행하고 데이터를 처리할 수 있다.
입/출력 서브시스템은 다양한 입/출력 주변장치들을 주변장치 인터페이스(11300)에 결합시킬 수 있다. 예를 들어, 입/출력 서브시스템은 모니터나 키보드, 마우스, 프린터 또는 필요에 따라 터치스크린이나 센서 등의 주변장치를 주변장치 인터페이스(11300)에 결합시키기 위한 컨트롤러를 포함할 수 있다. 다른 측면에 따르면, 입/출력 주변장치들은 입/출력 서브시스템을 거치지 않고 주변장치 인터페이스(11300)에 결합될 수도 있다.
전력 회로(11500)는 단말기의 컴포넌트의 전부 또는 일부로 전력을 공급할 수 있다. 예를 들어 전력 회로(11500)는 전력 관리 시스템, 배터리나 교류(AC) 등과 같은 하나 이상의 전원, 충전 시스템, 전력 실패 감지 회로(power failure detection circuit), 전력 변환기나 인버터, 전력 상태 표시자 또는 전력 생성, 관리, 분배를 위한 임의의 다른 컴포넌트들을 포함할 수 있다.
통신 회로(11600)는 적어도 하나의 외부 포트를 이용하여 다른 컴퓨팅장치와 통신을 가능하게 할 수 있다.
또는 상술한 바와 같이 필요에 따라 통신 회로(11600)는 RF 회로를 포함하여 전자기 신호(electromagnetic signal)라고도 알려진 RF 신호를 송수신함으로써, 다른 컴퓨팅장치와 통신을 가능하게 할 수도 있다.
이러한 도 11의 실시예는, 컴퓨팅장치(11000)의 일례일 뿐이고, 컴퓨팅장치(11000)는 도 11에 도시된 일부 컴포넌트가 생략되거나, 도 11에 도시되지 않은 추가의 컴포넌트를 더 구비하거나, 2개 이상의 컴포넌트를 결합시키는 구성 또는 배치를 가질 수 있다. 예를 들어, 모바일 환경의 통신 단말을 위한 컴퓨팅장치는 도 11에 도시된 컴포넌트들 외에도, 터치스크린이나 센서 등을 더 포함할 수도 있으며, 통신 회로(11600)에 다양한 통신방식(WiFi, 3G, LTE, Bluetooth, NFC, Zigbee 등)의 RF 통신을 위한 회로가 포함될 수도 있다. 컴퓨팅장치(11000)에 포함 가능한 컴포넌트들은 하나 이상의 신호 처리 또는 어플리케이션에 특화된 집적 회로를 포함하는 하드웨어, 소프트웨어, 또는 하드웨어 및 소프트웨어 양자의 조합으로 구현될 수 있다.
본 발명의 실시예에 따른 방법들은 별도의 다양한 컴퓨팅장치를 통하여 수행될 수 있는 프로그램 명령(instruction) 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 특히, 본 실시예에 따른 프로그램은 PC 기반의 프로그램 또는 모바일 단말 전용의 어플리케이션으로 구성될 수 있다. 본 발명이 적용되는 어플리케이션은 파일 배포 시스템이 제공하는 파일을 통해 사용자단말(1000)을 포함하는 별도의 컴퓨팅장치에 설치될 수 있다. 일 예로, 파일 배포 시스템은 별도의 컴퓨팅장치의 요청에 따라 상기 파일을 전송하는 파일 전송부(미도시)를 포함할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로 (collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨팅장치 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (8)

  1. 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법으로서,
    상기 서버시스템은 인증검증부 및 인증제어부를 포함하고,
    상기 사용자단말에는 캡쳐방지모듈 및 경로설정모듈을 포함하는 에이전트어플리케이션이 설치되어 있고,
    상기 사용자단말에는 상기 인증제어부에서 설정되고, 상기 인증검증부를 통하여 수신한 1 이상의 캡쳐방지애플리케이션에 대한 정보가 저장되어 있고,
    상기 경로설정모듈은, 상기 사용자단말에 설치된 서비스어플리케이션과 상기 서버시스템 내부의 서비스서버의 통신이 수립되기 위한 라우팅을 상기 인증검증부에 요청하고, 상기 인증검증부로부터 수신한 라우팅경로정보에 기초하여 해당 서비스어플리케이션의 라우팅경로정보를 설정하는 경로설정단계를 수행하고,
    상기 캡쳐방지모듈은,
    사용지단말에서 캡쳐어플리케이션의 실행을 감지하는 캡쳐실행감지단계;
    캡쳐실행감지단계에서 캡쳐어플리케이션의 실행이 감지되는 경우, 캡쳐대상이미지에서 1 이상의 상기 캡쳐방지애플리케이션의 영역을 검출하는 영역검출단계;
    캡쳐대상이미지에서 검출된 1 이상의 상기 캡쳐방지애플리케이션의 영역을 제거하여 수정캡쳐대상이미지를 생성하는 수정이미지생성단계; 및
    상기 수정캡쳐대상이미지를 상기 캡쳐어플리케이션에 전달하는 수정이미지전달단계;를 포함하고,
    상기 경로설정단계는,
    상기 인증검증부에 의하여, 상기 에이전트어플리케이션이 설치된 사용자단말로부터 수신한 인증정보를 검증하고, 유효한 것으로 검증된 인증정보를 상기 인증제어부로 송신하는 인증검증단계;
    상기 인증제어부에 의하여, 상기 인증검증단계를 통해 수신한 인증정보에 기초하여 인증토큰을 생성하여 상기 사용자단말에 제공하는 인증토큰제공단계;
    상기 인증검증부에 의하여, 상기 인증토큰을 제공받은 사용자단말로부터 수신한 상기 사용자단말에 설치된 서비스어플리케이션 및 서비스서버의 통신이 수립되기 위한 라우팅을 요청하는 라우팅요청정보를 검증하고, 유효한 것으로 검증된 라우팅요청정보를 상기 인증제어부로 송신하는 라우팅요청정보검증단계; 및
    상기 인증제어부에 의하여, 상기 라우팅요청정보검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스어플리케이션 및 서비스서버의 통신을 수립하기 위한 라우팅정보를 도출하여 상기 사용자단말에 제공하는 라우팅정보제공단계;를 포함하는, 통신 보안방법.
  2. 청구항 1에 있어서,
    상기 영역검출단계에서는,
    상기 캡쳐방지모듈이 상기 캡쳐대상이미지에 대한 요청을 상기 사용자단말에 설치된 운영체제(Operating System)로 송신하는 캡쳐대상이미지요청단계; 및
    상기 운영체제에서 상기 캡쳐방지모듈로부터의 요청을 수신하고, 해당 요청에 해당하는 캡쳐대상이미지를 상기 캡쳐방지모듈로 전달하는 캡쳐대상이미지전달단계;를 포함하는, 통신 보안방법.
  3. 삭제
  4. 청구항 1에 있어서,
    상기 캡쳐방지어플리케이션은 상기 사용자단말 상에서 캡쳐되지 않도록 상기 서버시스템에서 설정한 어플리케이션을 포함하고,
    상기 라우팅정보제공단계는,
    상기 인증제어부에 의하여,
    상기 사용자단말에 설치된 어플리케이션에 대해서 캡쳐방지어플리케이션을 설정하는 단계; 및
    상기 설정된 캡쳐방지어플리케이션에 대한 정보인 캡쳐방지설정정보를 상기 인증검증부를 통해 상기 사용자단말로 송신하는 단계;를 포함하고,
    상기 사용자단말에 의하여,
    상기 인증검증부로부터 수신한 상기 캡쳐방지설정정보를 상기 사용자단말에 저장하는 단계;를 포함하는 통신 보안방법.
  5. 청구항 1에 있어서,
    상기 인증정보는,
    상기 서버시스템의 식별정보, 상기 사용자단말의 식별정보 및 상기 사용자단말의 사용자에 대한 사용자정보를 포함하고,
    상기 인증검증단계는,
    상기 인증정보에 포함된 상기 서버시스템의 식별정보를 검증하고, 유효한 것으로 검증된 경우에 상기 인증정보를 상기 인증제어부로 송신하고,
    상기 인증토큰제공단계는,
    상기 인증검증단계로부터 수신한 인증정보에 포함된 상기 사용자단말의 식별정보 및 상기 사용자정보가 상기 서버시스템에 저장된 데이터베이스에 포함되어 있는지 판별하고, 포함되어 있는 것으로 판별된 경우에 인증토큰을 생성하여 상기 사용자단말에 제공하는, 통신 보안방법.
  6. 청구항 1에 있어서,
    상기 통신 보안방법은,
    상기 인증검증부에 의하여,
    상기 인증토큰제공단계가 수행된 이후에, 상기 사용자단말로부터 상기 서버시스템의 식별정보 및 상기 인증토큰을 포함하는 정책요청정보를 수신하고, 상기 정책요청정보에 포함된 상기 서버시스템의 식별정보 및 상기 인증토큰을 검증하여, 유효한 것으로 검증된 경우에 상기 정책요청정보를 상기 인증제어부로 송신하는 정책요청정보검증단계; 및
    상기 인증제어부에 의하여,
    상기 정책요청정보검증단계를 통해 수신한 정책요청정보에 기초하여 상기 사용자단말 및 상기 사용자단말의 사용자에 상응하는 정책정보를 도출하여 상기 사용자단말에 상기 정책정보를 제공하는 정책정보제공단계;를 포함하는, 통신 보안방법.
  7. 청구항 6에 있어서,
    상기 라우팅요청정보검증단계는,
    상기 정책정보제공단계를 통해 정책정보를 제공받은 사용자단말의 에이전트어플리케이션에서 해당 사용자단말이 상기 정책정보에 부합하는 것으로 판별한 경우에 상기 사용자단말로부터 상기 라우팅요청정보를 수신하는, 통신 보안방법.
  8. 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안 시스템으로서,
    상기 서버시스템은 인증검증부 및 인증제어부를 포함하고,
    상기 사용자단말에는 캡쳐방지모듈 및 경로설정모듈을 포함하는 에이전트어플리케이션이 설치되어 있고,
    상기 사용자단말에는 상기 인증제어부에서 설정되고, 상기 인증검증부를 통하여 수신한 1 이상의 캡쳐방지애플리케이션에 대한 정보가 저장되어 있고,
    상기 경로설정모듈은, 상기 사용자단말에 설치된 서비스어플리케이션과 상기 서버시스템 내부의 서비스서버의 통신이 수립되기 위한 라우팅을 상기 인증검증부에 요청하고, 상기 인증검증부로부터 수신한 라우팅경로정보에 기초하여 해당 서비스어플리케이션의 라우팅경로정보를 설정하는 경로설정단계를 수행하고,
    상기 캡쳐방지모듈은,
    사용지단말에서 캡쳐어플리케이션의 실행을 감지하는 캡쳐실행감지단계;
    캡쳐실행감지단계에서 캡쳐어플리케이션의 실행이 감지되는 경우, 캡쳐대상이미지에서 1 이상의 상기 캡쳐방지애플리케이션의 영역을 검출하는 영역검출단계;
    캡쳐대상이미지에서 검출된 1 이상의 상기 캡쳐방지애플리케이션의 영역을 제거하여 수정캡쳐대상이미지를 생성하는 수정이미지생성단계; 및
    상기 수정캡쳐대상이미지를 상기 캡쳐어플리케이션에 전달하는 수정이미지전달단계;를 포함하고, 상기 경로설정단계는,
    상기 인증검증부에 의하여, 상기 에이전트어플리케이션이 설치된 사용자단말로부터 수신한 인증정보를 검증하고, 유효한 것으로 검증된 인증정보를 상기 인증제어부로 송신하는 인증검증단계;
    상기 인증제어부에 의하여, 상기 인증검증단계를 통해 수신한 인증정보에 기초하여 인증토큰을 생성하여 상기 사용자단말에 제공하는 인증토큰제공단계;
    상기 인증검증부에 의하여, 상기 인증토큰을 제공받은 사용자단말로부터 수신한 상기 사용자단말에 설치된 서비스어플리케이션 및 서비스서버의 통신이 수립되기 위한 라우팅을 요청하는 라우팅요청정보를 검증하고, 유효한 것으로 검증된 라우팅요청정보를 상기 인증제어부로 송신하는 라우팅요청정보검증단계; 및
    상기 인증제어부에 의하여, 상기 라우팅요청정보검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스어플리케이션 및 서비스서버의 통신을 수립하기 위한 라우팅정보를 도출하여 상기 사용자단말에 제공하는 라우팅정보제공단계;를 포함하는, 통신 보안 시스템.

KR1020210113512A 2021-08-26 2021-08-26 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법 KR102381575B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210113512A KR102381575B1 (ko) 2021-08-26 2021-08-26 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210113512A KR102381575B1 (ko) 2021-08-26 2021-08-26 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법

Publications (1)

Publication Number Publication Date
KR102381575B1 true KR102381575B1 (ko) 2022-04-01

Family

ID=81183477

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210113512A KR102381575B1 (ko) 2021-08-26 2021-08-26 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법

Country Status (1)

Country Link
KR (1) KR102381575B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060101800A (ko) * 2005-03-21 2006-09-26 김영숙 서비스 서버 및 통신 장비의 보안을 관리하기 위한 통신서비스 시스템 및 그를 위한 방법
KR20120026262A (ko) * 2010-09-09 2012-03-19 에스케이플래닛 주식회사 휴대 단말, 그의 캡쳐 방지를 위한 디지털 컨텐츠 실행 방법, 그리고 캡쳐 방지를 위한 디지털 컨텐츠 제작 방법 및 장치
KR20190010405A (ko) * 2018-03-07 2019-01-30 리마 주식회사 웹툰 무단 복사 방지 및 추척시스템, 방법 및 프로그램

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060101800A (ko) * 2005-03-21 2006-09-26 김영숙 서비스 서버 및 통신 장비의 보안을 관리하기 위한 통신서비스 시스템 및 그를 위한 방법
KR20120026262A (ko) * 2010-09-09 2012-03-19 에스케이플래닛 주식회사 휴대 단말, 그의 캡쳐 방지를 위한 디지털 컨텐츠 실행 방법, 그리고 캡쳐 방지를 위한 디지털 컨텐츠 제작 방법 및 장치
KR20190010405A (ko) * 2018-03-07 2019-01-30 리마 주식회사 웹툰 무단 복사 방지 및 추척시스템, 방법 및 프로그램

Similar Documents

Publication Publication Date Title
US10757094B2 (en) Trusted container
US10083290B2 (en) Hardware-based device authentication
KR102036758B1 (ko) 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온
US20200004946A1 (en) Secretless and secure authentication of network resources
US9209979B2 (en) Secure network cloud architecture
JP6222592B2 (ja) モバイルアプリケーション管理のためのモバイルアプリケーションのアイデンティティの検証
US20160125180A1 (en) Near Field Communication Authentication Mechanism
US20100197293A1 (en) Remote computer access authentication using a mobile device
US9589130B2 (en) Application trust-listing security service
CN113614691A (zh) 供传统虚拟交付器件使用的连接租用系统和相关方法
US20170094518A1 (en) Method and apparatus for providing provably secure user input/output
KR102345866B1 (ko) 서버시스템 및 서버시스템에서 수행되는 사용자단말에 대한 통신 보안방법
KR20230110287A (ko) 하드웨어 보안 모듈들의 원격 관리
US10873572B1 (en) Transferring a single sign-on session between a browser and a client application
CN106856471B (zh) 802.1x下ad域登录认证方法
US11068598B2 (en) Chassis internal device security
KR102381575B1 (ko) 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 선택적 캡쳐방지 기능을 구비한 통신 보안방법
KR102345261B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법
KR101445708B1 (ko) 보안 시스템, 이를 위한 단말기 및 보안 방법
KR102371181B1 (ko) 에이전트어플리케이션이 설치된 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 통신 보안방법
US10412097B1 (en) Method and system for providing distributed authentication
EP3619904B1 (en) Smart card thumb print authentication
KR20230081110A (ko) 서버시스템 및 서버시스템에서 수행되는 사용자단말에 대한 통신 보안방법
KR102472556B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 클라이언트 사이의 횡적이동을 통한 공격을 차단하기 위한 방법
KR102415998B1 (ko) 소프트웨어 정의 경계 네트워크 시스템의 제어 채널의 부하분산이 가능한 sdp 컨트롤러 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant