KR102509594B1 - 어플리케이션 코드의 위변조 여부 탐지 방법 및 이를 지원하는 전자 장치 - Google Patents
어플리케이션 코드의 위변조 여부 탐지 방법 및 이를 지원하는 전자 장치 Download PDFInfo
- Publication number
- KR102509594B1 KR102509594B1 KR1020160080925A KR20160080925A KR102509594B1 KR 102509594 B1 KR102509594 B1 KR 102509594B1 KR 1020160080925 A KR1020160080925 A KR 1020160080925A KR 20160080925 A KR20160080925 A KR 20160080925A KR 102509594 B1 KR102509594 B1 KR 102509594B1
- Authority
- KR
- South Korea
- Prior art keywords
- application
- code
- segment
- unique information
- electronic device
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 44
- 230000006870 function Effects 0.000 claims description 46
- 238000012545 processing Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 description 16
- 238000001514 detection method Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 14
- 238000007726 management method Methods 0.000 description 10
- 230000014509 gene expression Effects 0.000 description 6
- 230000004075 alteration Effects 0.000 description 4
- 230000036541 health Effects 0.000 description 4
- 238000009434 installation Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 239000008280 blood Substances 0.000 description 2
- 210000004369 blood Anatomy 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000002591 computed tomography Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000036316 preload Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000010187 selection method Methods 0.000 description 2
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 2
- WQZGKKKJIJFFOK-GASJEMHNSA-N Glucose Natural products OC[C@H]1OC(O)[C@H](O)[C@@H](O)[C@@H]1O WQZGKKKJIJFFOK-GASJEMHNSA-N 0.000 description 1
- 238000002583 angiography Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000036772 blood pressure Effects 0.000 description 1
- 230000036760 body temperature Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- -1 electricity Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 239000008103 glucose Substances 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000002595 magnetic resonance imaging Methods 0.000 description 1
- 238000004377 microelectronic Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000000779 smoke Substances 0.000 description 1
- 239000003826 tablet Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
- G06F21/125—Restricting unauthorised execution of programs by manipulating the program code, e.g. source code, compiled code, interpreted code, machine code
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/007—Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
전자 장치에 있어서, 어플리케이션 및 상기 어플리케이션의 고유 정보를 저장하기 위한 메모리, 및 상기 메모리와 기능적으로 연결된 프로세서를 포함하고, 상기 프로세서는 상기 어플리케이션의 코드를 복수 개의 세그먼트들로 분할하고, 상기 세그먼트들 중 적어도 하나의 세그먼트를 선택하고, 상기 적어도 하나의 세그먼트에 대한 고유 정보를 생성하고, 상기 적어도 하나의 세그먼트에 대한 고유 정보와 상기 메모리에 저장된 상기 어플리케이션의 고유 정보를 비교하고, 비교한 결과에 기초하여 상기 어플리케이션의 코드의 위변조 여부를 판단하도록 설정된 것을 특징으로 하는 전자 장치가 개시된다. 이 외에도 명세서를 통해 파악되는 다양한 실시 예가 가능하다.
Description
본 문서에 개시되는 실시 예들은 어플리케이션 코드의 위변조 여부 탐지 방법 및 이를 지원하는 전자 장치와 관련된다.
스마트 폰 등의 전자 장치는 다양한 기능을 지원하는 어플리케이션의 실행 환경을 제공할 수 있다. 예를 들어, 전자 장치는 통화, 카메라 촬영, 또는 웹 검색 등의 기능을 지원하는 어플리케이션이 설치 및 실행될 수 있도록 메모리의 저장 공간 등 시스템 자원을 제어할 수 있다.
한편, 전자 장치는 보안 강화를 위해, 인증된 어플리케이션의 코드에 의해서만 접근할 수 있도록 제한되는 시스템 자원을 포함할 수 있다. 예를 들어, 전자 장치는 트러스트존(trustzone)과 같은 보안 영역(secure world)을 포함하고 인증 정보나 개인 정보 등의 중요 데이터, 및 보안 모듈 등을 보안 영역에서 따로 관리할 수 있다.
또한, 전자 장치는 어플리케이션의 코드가 위변조되는 경우, 보안 영역으로의 접근을 차단하여 보안을 강화할 수 있다. 예컨대, 네트워크에 연결되는 어플리케이션의 경우, 네트워크를 통해 침입한 해커에 의해 어플리케이션의 코드가 위변조되고 이러한 악성 코드에 의해 중요 데이터가 유출되는 위험성이 존재하기 때문에, 전자 장치는 어플리케이션의 코드에 대한 위변조 여부를 판단하여 보안 영역으로의 접근을 제한할 수 있다. 또는, 루팅 등을 통해 어플리케이션의 코드가 위변조됨으로써 어플리케이션의 본래 취지에 맞지 않는 기능 또는 사용 권한 등이 변경되는 경우 보안 이슈가 발생할 수 있기 때문에, 전자 장치는 어플리케이션의 코드에 대한 위변조 여부를 판단하여 보안 영역으로의 접근을 제한할 수 있다.
기존의 전자 장치는 어플리케이션의 코드 영역 전체에 대해 위변조 여부를 판단할 수 있다. 예컨대, 기존의 전자 장치는 어플리케이션 코드를 복수 개의 세그먼트로 분할하고, 분할된 세그먼트 전체에 대해 각각 고유 정보(예: 해시값)를 생성하여 이를 기저장된 고유 정보와 비교함으로써 어플리케이션의 코드에 대한 위변조 여부를 판단할 수 있다.
그러나, 어플리케이션의 코드 영역 전체에 대해 위변조 여부를 판단하는 것은 전자 장치 성능의 저하를 일으킬 수 있다. 예컨대, 분할된 세그먼트 전체에 대해 각각 고유 정보를 생성하는 것은 세그먼트의 개수가 증가함에 따라 프로세싱의 시간 및 프로세싱에 관여하는 시스템 자원의 부하를 증가시키는 결과를 가져올 수 있다.
본 문서에서 개시되는 실시 예들은 전술한 문제 및 본 문서에서 제기되는 과제들을 해결하기 위해, 어플리케이션 코드의 세그먼트들 중 일부를 선택하고, 선택된 세그먼트에 대한 고유 정보를 기반으로 어플리케이션의 코드에 대한 위변조 여부를 판단하는 방법 및 이를 지원하는 전자 장치를 제공할 수 있다.
본 문서에서 개시되는 일 실시 예에 따른 전자 장치는, 어플리케이션 및 상기 어플리케이션의 고유 정보를 저장하기 위한 메모리, 및 상기 메모리와 기능적으로 연결된 프로세서를 포함하고, 상기 프로세서는 상기 어플리케이션의 코드를 복수 개의 세그먼트들로 분할하고, 상기 세그먼트들 중 적어도 하나의 세그먼트를 선택하고, 상기 적어도 하나의 세그먼트에 대한 고유 정보를 생성하고, 상기 적어도 하나의 세그먼트에 대한 고유 정보와 상기 메모리에 저장된 상기 어플리케이션의 고유 정보를 비교하고, 비교한 결과에 기초하여 상기 어플리케이션의 코드의 위변조 여부를 판단하도록 설정될 수 있다.
또한, 본 문서에서 개시되는 일 실시 예에 따른 전자 장치는, 어플리케이션 및 상기 어플리케이션의 고유 정보를 저장하기 위한 메모리, 및 상기 메모리와 기능적으로 연결된 프로세서를 포함하고, 상기 프로세서는 상기 어플리케이션의 코드를 복수 개의 세그먼트들로 분할하고, 상기 세그먼트들 중 적어도 하나의 제1 세그먼트를 선택하고, 상기 적어도 하나의 제1 세그먼트에 대한 고유 정보를 생성하고, 상기 메모리에 저장되고 상기 세그먼트들 중 상기 적어도 하나의 제1 세그먼트와 다른 적어도 하나의 제2 세그먼트에 대한 고유 정보 및 상기 적어도 하나의 제1 세그먼트에 대한 고유 정보를 이용하여 상기 어플리케이션의 코드 전체에 대한 고유 정보를 생성하고, 상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 상기 메모리에 저장된 상기 어플리케이션의 고유 정보를 검증하고, 검증된 결과에 기초하여 상기 어플리케이션의 코드의 위변조 여부를 판단하도록 설정될 수 있다.
또한, 본 문서에서 개시되는 일 실시 예에 따른 어플리케이션의 코드의 위변조 여부 탐지 방법은, 상기 어플리케이션의 코드를 복수 개의 세그먼트들로 분할하는 동작, 상기 세그먼트들 중 적어도 하나의 제1 세그먼트를 선택하는 동작, 상기 적어도 하나의 제1 세그먼트에 대한 고유 정보를 생성하는 동작, 메모리에 저장되고 상기 세그먼트들 중 상기 적어도 하나의 제1 세그먼트와 다른 적어도 하나의 제2 세그먼트에 대한 고유 정보 및 상기 적어도 하나의 제1 세그먼트에 대한 고유 정보를 이용하여 상기 어플리케이션의 코드 전체에 대한 고유 정보를 생성하는 동작, 상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 상기 메모리에 저장된 어플리케이션의 고유 정보를 검증하는 동작, 및 검증된 결과에 기초하여 상기 어플리케이션의 코드의 위변조 여부를 판단하는 동작을 포함할 수 있다.
본 문서에 개시되는 실시 예들에 따르면, 어플리케이션 코드의 세그먼트들 중 일부에 대해서만 고유 정보를 생성하고, 이를 기반으로 어플리케이션의 코드에 대한 위변조 여부 탐지함으로써, 프로세싱 시간을 단축하고 프로세싱에 관여하는 시스템 자원의 부하가 증가되는 것을 방지할 수 있다.
이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.
도 1은 일 실시 예에 따른 네트워크 환경 내의 전자 장치를 나타낸 도면이다.
도 2는 일 실시 예에 따른 프로그램 모듈의 블록도이다.
도 3은 일 실시 예에 따른 어플리케이션 코드의 고유 정보를 이용한 위변조 여부 탐지 방법을 설명하기 위한 도면이다.
도 4는 일 실시 예에 따른 인증 비율에 따른 페이지 선택 방법을 설명하기 위한 도면이다.
도 5는 일 실시 예에 따른 어플리케이션 코드의 고유 정보의 획득과 관련한 전자 장치의 운용 방법을 나타낸 도면이다.
도 6은 일 실시 예에 따른 어플리케이션 코드의 위변조 여부 탐지와 관련한 전자 장치의 운용 방법을 나타낸 도면이다.
도 7은 일 실시 예에 따른 어플리케이션 코드의 위변조에 따른 사용자 인터페이스 제공을 설명하기 위한 도면이다.
도 2는 일 실시 예에 따른 프로그램 모듈의 블록도이다.
도 3은 일 실시 예에 따른 어플리케이션 코드의 고유 정보를 이용한 위변조 여부 탐지 방법을 설명하기 위한 도면이다.
도 4는 일 실시 예에 따른 인증 비율에 따른 페이지 선택 방법을 설명하기 위한 도면이다.
도 5는 일 실시 예에 따른 어플리케이션 코드의 고유 정보의 획득과 관련한 전자 장치의 운용 방법을 나타낸 도면이다.
도 6은 일 실시 예에 따른 어플리케이션 코드의 위변조 여부 탐지와 관련한 전자 장치의 운용 방법을 나타낸 도면이다.
도 7은 일 실시 예에 따른 어플리케이션 코드의 위변조에 따른 사용자 인터페이스 제공을 설명하기 위한 도면이다.
이하, 본 발명의 다양한 실시 예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 실시 예의 다양한 변경(modification), 균등물(equivalent), 및/또는 대체물(alternative)을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 구성요소에 대해서는 유사한 참조 부호가 사용될 수 있다.
본 문서에서, "가진다", "가질 수 있다", "포함한다", 또는 "포함할 수 있다" 등의 표현은 해당 특징(예: 수치, 기능, 동작, 또는 부품 등의 구성요소)의 존재를 가리키며, 추가적인 특징의 존재를 배제하지 않는다.
본 문서에서, "A 또는 B", "A 또는/및 B 중 적어도 하나", 또는 "A 또는/및 B 중 하나 또는 그 이상" 등의 표현은 함께 나열된 항목들의 모든 가능한 조합을 포함할 수 있다. 예를 들면, "A 또는 B", "A 및 B 중 적어도 하나", 또는 "A 또는 B 중 적어도 하나"는, (1) 적어도 하나의 A를 포함, (2) 적어도 하나의 B를 포함, 또는 (3) 적어도 하나의 A 및 적어도 하나의 B 모두를 포함하는 경우를 모두 지칭할 수 있다.
본 문서에서 사용된 "제1", "제2", "첫째", 또는 "둘째" 등의 표현들은 다양한 구성요소들을, 순서 및/또는 중요도에 상관없이 수식할 수 있고, 한 구성요소를 다른 구성요소와 구분하기 위해 사용될 뿐 해당 구성요소들을 한정하지 않는다. 예를 들면, 제1 사용자 기기와 제2 사용자 기기는, 순서 또는 중요도와 무관하게, 서로 다른 사용자 기기를 나타낼 수 있다. 예를 들면, 본 문서에 기재된 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 바꾸어 명명될 수 있다.
어떤 구성요소(예: 제1 구성요소)가 다른 구성요소(예: 제2 구성요소)에 "(기능적으로 또는 통신적으로) 연결되어((operatively or communicatively) coupled with/to)" 있다거나 "접속되어(connected to)" 있다고 언급된 때에는, 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로 연결되거나, 다른 구성요소(예: 제3 구성요소)를 통하여 연결될 수 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소(예: 제1 구성요소)가 다른 구성요소(예: 제2 구성요소)에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 상기 어떤 구성요소와 상기 다른 구성요소 사이에 다른 구성요소(예: 제3 구성요소)가 존재하지 않는 것으로 이해될 수 있다.
본 문서에서 사용된 표현 "~하도록 구성된(또는 설정된)(configured to)"은 상황에 따라, 예를 들면, "~에 적합한(suitable for)", "~하는 능력을 가지는(having the capacity to)", "~하도록 설계된(designed to)", "~하도록 변경된(adapted to)", "~하도록 만들어진(made to)", 또는 "~를 할 수 있는(capable of)"과 바꾸어 사용될 수 있다. 용어 "~하도록 구성(또는 설정)된"은 하드웨어적으로 "특별히 설계된(specifically designed to)"것만을 반드시 의미하지 않을 수 있다. 대신, 어떤 상황에서는, "~하도록 구성된 장치"라는 표현은, 그 장치가 다른 장치 또는 부품들과 함께 "~할 수 있는" 것을 의미할 수 있다. 예를 들면, 문구 "A, B, 및 C를 수행하도록 구성(또는 설정)된 프로세서"는 해당 동작을 수행하기 위한 전용 프로세서(예: 임베디드 프로세서), 또는 메모리 장치에 저장된 하나 이상의 소프트웨어 프로그램들을 실행함으로써, 해당 동작들을 수행할 수 있는 범용 프로세서(generic-purpose processor)(예: CPU 또는 application processor)를 의미할 수 있다.
본 문서에서 사용된 용어들은 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 다른 실시 예의 범위를 한정하려는 의도가 아닐 수 있다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 용어들은 본 문서에 기재된 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가질 수 있다. 본 문서에 사용된 용어들 중 일반적인 사전에 정의된 용어들은 관련 기술의 문맥 상 가지는 의미와 동일 또는 유사한 의미로 해석될 수 있으며, 본 문서에서 명백하게 정의되지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다. 경우에 따라서, 본 문서에서 정의된 용어일지라도 본 문서의 실시 예들을 배제하도록 해석될 수 없다.
본 문서의 다양한 실시 예들에 따른 전자 장치는, 예를 들면, 스마트폰(smartphone), 태블릿 PC(tablet personal computer), 이동 전화기(mobile phone), 영상 전화기, 전자책 리더기(e-book reader), 데스크탑 PC (desktop PC), 랩탑 PC(laptop PC), 넷북 컴퓨터(netbook computer), 워크스테이션(workstation), 서버, PDA(personal digital assistant), PMP(portable multimedia player), MP3 플레이어, 모바일 의료기기, 카메라, 또는 웨어러블 장치(wearable device) 중 적어도 하나를 포함할 수 있다. 다양한 실시 예에 따르면 웨어러블 장치는 엑세서리 형(예: 시계, 반지, 팔찌, 발찌, 목걸이, 안경, 콘택트 렌즈, 또는 머리 착용형 장치(head-mounted-device(HMD)), 직물 또는 의류 일체 형(예: 전자 의복), 신체 부착 형(예: 스킨 패드(skin pad) 또는 문신), 또는 생체 이식 형(예: implantable circuit) 중 적어도 하나를 포함할 수 있다.
어떤 실시 예들에서, 전자 장치는 가전 제품(home appliance)일 수 있다. 가전 제품은, 예를 들면, 텔레비전, DVD 플레이어(Digital Video Disk player), 오디오, 냉장고, 에어컨, 청소기, 오븐, 전자레인지, 세탁기, 공기 청정기, 셋톱 박스(set-top box), 홈 오토매이션 컨트롤 패널(home automation control panel), 보안 컨트롤 패널(security control panel), TV 박스(예: 삼성 HomeSync™, 애플TV™, 또는 구글 TV™), 게임 콘솔(예: Xbox™, PlayStation™), 전자 사전, 전자 키, 캠코더, 또는 전자 액자 중 적어도 하나를 포함할 수 있다.
다른 실시 예에서, 전자 장치는, 각종 의료기기(예: 각종 휴대용 의료측정기기(혈당 측정기, 심박 측정기, 혈압 측정기, 또는 체온 측정기 등), MRA(magnetic resonance angiography), MRI(magnetic resonance imaging), CT(computed tomography), 촬영기, 또는 초음파기 등), 네비게이션(navigation) 장치, 위성 항법 시스템(GNSS(Global Navigation Satellite System)), EDR(event data recorder), FDR(flight data recorder), 자동차 인포테인먼트(infotainment) 장치, 선박용 전자 장비(예: 선박용 항법 장치, 자이로 콤파스 등), 항공 전자기기(avionics), 보안 기기, 차량용 헤드 유닛(head unit), 산업용 또는 가정용 로봇, 금융 기관의 ATM(automatic teller's machine), 상점의 POS(point of sales), 또는 사물 인터넷 장치(internet of things)(예: 전구, 각종 센서, 전기 또는 가스 미터기, 스프링클러 장치, 화재경보기, 온도조절기(thermostat), 가로등, 토스터(toaster), 운동기구, 온수탱크, 히터, 보일러 등) 중 적어도 하나를 포함할 수 있다.
어떤 실시 예에 따르면, 전자 장치는 가구(furniture) 또는 건물/구조물의 일부, 전자 보드(electronic board), 전자 사인 수신 장치(electronic signature receiving device), 프로젝터(projector), 또는 각종 계측 기기(예: 수도, 전기, 가스, 또는 전파 계측 기기 등) 중 적어도 하나를 포함할 수 있다. 다양한 실시 예에서, 전자 장치는 전술한 다양한 장치들 중 하나 또는 그 이상의 조합일 수 있다. 어떤 실시 예에 따른 전자 장치는 플렉서블 전자 장치일 수 있다. 또한, 본 문서의 실시 예에 따른 전자 장치는 전술한 기기들에 한정되지 않으며, 기술 발전에 따른 새로운 전자 장치를 포함할 수 있다.
이하, 첨부 도면을 참조하여, 다양한 실시 예에 따른 전자 장치가 설명된다. 본 문서에서, 사용자라는 용어는 전자 장치를 사용하는 사람 또는 전자 장치를 사용하는 장치 (예: 인공지능 전자 장치)를 지칭할 수 있다.
도 1은 일 실시 예에 따른 네트워크 환경 내의 전자 장치를 나타낸 도면이다.
전자 장치(101)는 지정된 기능을 지원하는 어플리케이션 프로그램(또는 "어플리케이션")(147)의 실행 환경을 제공할 수 있다. 또한, 전자 장치(101)는 인증된 어플리케이션(147)의 코드에 의해서만 접근될 수 있도록 제한되는 보안 영역(secure world)(180)을 포함하고, 인증 정보나 개인 정보 등의 중요 데이터 및 보안 모듈 등을 보안 영역(180)에서 따로 관리할 수 있다.
다양한 실시 예에 따르면, 전자 장치(101)는 어플리케이션(147)의 코드가 위변조되는 경우, 보안 영역(180)으로의 접근을 차단하여 보안을 강화할 수 있다. 예컨대, 전자 장치(101)는 위변조된 어플리케이션(147)이 보안 영역(180)에 데이터를 쓰거나 읽을 수 없도록 제한할 수 있다. 어떤 실시 예에서, 전자 장치(101)는 위변조된 어플리케이션(147)의 실행을 제한할 수도 있다.
상술한 기능을 수행하기 위한, 전자 장치(101)는 도 1을 참조하면, 외부 장치(예: 제1 외부 전자 장치(102), 제2 외부 전자 장치(104), 또는 서버(106))와 네트워크(162) 또는 근거리 통신(164)을 통하여 서로 연결될 수 있다. 전자 장치(101)는 버스(110), 프로세서(120), 메모리(130), 입출력 인터페이스(150), 디스플레이(160), 및 통신 인터페이스(170)를 포함할 수 있다. 어떤 실시 예에서는, 전자 장치(101)는, 구성요소들 중 적어도 하나를 생략하거나 다른 구성 요소를 추가적으로 구비할 수 있다.
버스(110)는, 예를 들면, 구성요소들(110-180)을 서로 연결하고, 구성요소들 간의 통신(예: 제어 메시지 및/또는 데이터)을 전달하는 회로를 포함할 수 있다.
프로세서(120)는, 중앙처리장치(Central Processing Unit (CPU)), 어플리케이션 프로세서(Application Processor (AP)), 또는 커뮤니케이션 프로세서(Communication Processor (CP)) 중 하나 또는 그 이상을 포함할 수 있다. 프로세서(120)는, 예를 들면, 전자 장치(101)의 적어도 하나의 다른 구성요소들의 제어 및/또는 통신에 관한 연산이나 데이터 처리를 실행할 수 있다.
다양한 실시 예에 따르면, 프로세서(120)는 어플리케이션(147)의 설치 및 실행을 제어할 수 있다. 프로세서(120)는 통신 인터페이스(170)를 기반으로 연결된 외부 장치(예: 제1 외부 전자 장치(102), 제2 외부 전자 장치(104), 또는 서버(106))로부터 획득한 어플리케이션(147)을 메모리(130)에 설치할 수 있다. 또한, 프로세서(120)는 메모리(130)에 설치된 어플리케이션(147)을 실행시킬 수 있다.
다양한 실시 예에 따르면, 프로세서(120)는 어플리케이션(147) 코드의 위변조 여부를 탐지할 수 있다. 한 예로, 프로세서(120)는 어플리케이션(147)의 코드에 대한 고유 정보를 생성하고, 생성된 고유 정보를 메모리(130)에 기저장된 어플리케이션 고유 정보(149)와 비교하여 어플리케이션(147) 코드의 위변조 여부를 판단할 수 있다.
이를 보다 상세히 설명하면, 우선 프로세서(120)는 어플리케이션(147)의 코드를 복수 개의 세그먼트들로 분할할 수 있다. 세그먼트는 어플리케이션(147)의 코드가 메모리(130)에 로드(load) 또는 저장되는 단위일 수 있다. 프로세서(120)는 분할된 세그먼트들 중 일부를 선택하고, 선택된 세그먼트에 대한 고유 정보를 생성할 수 있다. 고유 정보는 예를 들어, 해시 함수(hash function)(예: SHA-256 등)를 이용하여 추출된 각 세그먼트의 해시값, 암호 알고리즘을 이용하여 추출된 각 세그먼트의 암호문, 및 비트 연산(예: XOR 연산 등)을 이용하여 추출된 각 세그먼트의 연산값 중 적어도 하나를 포함할 수 있다. 또한, 프로세서(120)는 생성된 고유 정보를 메모리(130)에 기저장된 어플리케이션 고유 정보(149)와 비교할 수 있다. 프로세서(120)는 생성된 고유 정보가 어플리케이션 고유 정보(149)와 다른 경우, 어플리케이션(147)의 코드가 위변조되었다고 판단할 수 있다.
어떤 실시 예에서, 프로세서(120)는 선택된 세그먼트에 대한 고유 정보를 생성하고, 생성된 고유 정보와 메모리(130)에 기저장된 다른 세그먼트에 대한 고유 정보를 이용하여 어플리케이션(147)의 코드 전체에 대한 고유 정보를 생성할 수도 있다. 프로세서(120)는 생성된 어플리케이션(147)의 코드 전체에 대한 고유 정보와 메모리(130)에 기저장된 어플리케이션 고유 정보(149)를 비교하여 어플리케이션(147) 코드의 위변조 여부를 판단할 수도 있다
이와 관련하여, 어플리케이션 고유 정보(149)는 어플리케이션(147)의 코드 전체에 대한 고유 정보 및 어플리케이션(147) 코드의 분할된 세그먼트들 중 일부에 대한 고유 정보 중 적어도 하나를 포함할 수 있다. 한 예로, 어플리케이션 고유 정보(149)는 어플리케이션(147) 코드의 분할된 세그먼트들 중 프로세서(120)에 의해 필수적으로 선택되어야 하는 세그먼트(예: 중요 코드에 대한 세그먼트)를 제외한 나머지 세그먼트에 대한 고유 정보를 포함할 수 있다. 다른 예로, 어플리케이션 고유 정보(149)는 어플리케이션(147)의 코드 전체에 대한 고유 정보를 기반으로 생성된 변조 방지 코드(예: 전자 서명값 또는 HMAC(Hash-based Message Authentication Code) 등)를 포함할 수도 있다. 이 경우, 프로세서(120)는 변조 방지 코드를 이용하여 어플리케이션(147)의 코드에 대한 위변조 여부를 판단할 수도 있다.
다양한 실시 예에 따르면, 프로세서(120)는 어플리케이션(147)의 보안 수준에 따라 어플리케이션(147) 코드의 분할된 세그먼트들 중 선택되는 세그먼트의 개수를 다르게 지정할 수 있다. 한 예로, 프로세서(120)는 보안 수준이 높은 어플리케이션(147)(예: 보안 어플리케이션 등)의 경우, 보안 수준이 낮은 어플리케이션(147)보다 상대적으로 많은 개수의 세그먼트가 선택되도록 설정될 수 있다. 어떤 실시 예에서, 프로세서(120)는 전자 장치(101)의 성능 또는 어플리케이션(147)의 코드 크기 등에 따라 선택되는 세그먼트의 개수를 다르게 지정할 수도 있다.
다양한 실시 예에 따르면, 프로세서(120)는 분할된 세그먼트들 중 일부를 선택할 시에, 어플리케이션(147)의 코드 상에서 서로 인접한 세그먼트들을 그룹으로 선택할 수 있다. 예를 들어, 어플리케이션(147)의 코드가 순서대로 제1 세그먼트, 제2 세그먼트, 제3 세그먼트, 및 제4 세그먼트로 분할된 경우, 프로세서(120)는 서로 인접한 제1 세그먼트와 제2 세그먼트, 또는 제3 세그먼트와 제4 세그먼트 등을 선택할 수 있다.
다양한 실시 예에 따르면, 프로세서(120)는 세그먼트 단위로 고유 정보를 생성하는 대신에 페이지 단위로 고유 정보를 생성할 수도 있다. 페이지는 데이터가 보안 영역(180)에 로드 또는 저장되는 단위일 수 있다. 한 예로, 페이지는 보안 영역(180) 내부에서 보안 영역(180) 외부에 있는 메모리(130)에 접근할 때 적용되는 크기를 가질 수 있다. 프로세서(120)가 페이지 단위로 고유 정보를 생성하는 전자 장치(101)의 경우, 어플리케이션 고유 정보(149)도 페이지 단위로 생성된 데이터를 포함할 수 있다.
다양한 실시 예에 따르면, 프로세서(120)는 위변조된 어플리케이션(147)의 실행을 제한할 수 있다. 한 예로, 프로세서(120)는 위변조된 어플리케이션(147)을 실행시키지 않을 수 있다. 또 다른 예로, 프로세서(120)는 위변조된 어플리케이션(147)이 보안 영역(180)에 데이터를 쓰거나 읽지 못하도록 제한할 수 있다. 또한, 프로세서(120)는 어플리케이션(147)의 코드가 위변조된 경우, 어플리케이션(147) 코드의 위변조를 알리는 표시 객체(예: 팝업)를 디스플레이(160) 출력할 수 있다. 어떤 실시 예에서, 프로세서(120)는 어플리케이션(147) 코드의 위변조를 알리는 음성 정보를 입출력 인터페이스(150)에 포함된 음성 출력 장치를 통해 출력할 수도 있다.
메모리(130)는, 휘발성 및/또는 비휘발성 메모리를 포함할 수 있다. 메모리(130)는, 예를 들면, 전자 장치(101)의 적어도 하나의 다른 구성요소에 관계된 명령 또는 데이터를 저장할 수 있다. 한 실시 예에 따르면, 메모리(130)는 소프트웨어 및/또는 프로그램(140)을 저장할 수 있다. 프로그램(140)은, 예를 들면, 커널(141), 미들웨어(143), 어플리케이션 프로그래밍 인터페이스(Application Programming Interface (API))(145), 및/또는 어플리케이션 프로그램(또는 "어플리케이션")(147) 등을 포함할 수 있다. 커널(141), 미들웨어(143), 또는 API(145)의 적어도 일부는, 운영 시스템(Operating System (OS))으로 지칭될 수 있다.
커널(141)은, 예를 들면, 다른 프로그램들(예: 미들웨어(143), API(145), 또는 어플리케이션 프로그램(147))에 구현된 동작 또는 기능을 실행하는 데 사용되는 시스템 리소스들(예: 버스(110), 프로세서(120), 또는 메모리(130) 등)을 제어 또는 관리할 수 있다. 또한, 커널(141)은 미들웨어(143), API(145), 또는 어플리케이션 프로그램(147)에서 전자 장치(101)의 개별 구성요소에 접근함으로써, 시스템 리소스들을 제어 또는 관리할 수 있는 인터페이스를 제공할 수 있다.
미들웨어(143)는, 예를 들면, API(145) 또는 어플리케이션 프로그램(147)이 커널(141)과 통신하여 데이터를 주고받을 수 있도록 중개 역할을 수행할 수 있다. 또한, 미들웨어(143)는 어플리케이션 프로그램(147)으로부터 수신된 하나 이상의 작업 요청들을 우선 순위에 따라 처리할 수 있다. 예를 들면, 미들웨어(143)는 어플리케이션 프로그램(147) 중 적어도 하나에 전자 장치(101)의 시스템 리소스(예: 버스(110), 프로세서(120), 또는 메모리(130) 등)를 사용할 수 있는 우선 순위를 부여할 수 있다. 예컨대, 미들웨어(143)는 상기 적어도 하나에 부여된 우선 순위에 따라 상기 하나 이상의 작업 요청들을 처리함으로써, 상기 하나 이상의 작업 요청들에 대한 스케쥴링 또는 로드 밸런싱 등을 수행할 수 있다.
API(145)는, 예를 들면, 어플리케이션(147)이 커널(141) 또는 미들웨어(143)에서 제공되는 기능을 제어하기 위한 인터페이스로, 예를 들면, 파일 제어, 창 제어, 영상 처리, 또는 문자 제어 등을 위한 적어도 하나의 인터페이스 또는 함수(예: 명령어)를 포함할 수 있다.
어플리케이션(147)은 지정된 기능을 수행하기 위한 일련의 프로그램(또는 명령어(인스트럭션)) 집합으로서, 프로세서(120)에 의해 실행될 경우, 명령어가 메모리(130)에 로드되어 정의된 루틴(routine)에 따라 실행될 수 있다. 명령어는 컴파일러에 의해 만들어지는 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 어플리케이션(147)은 다양한 경로를 통하여 전자 장치(101)에 설치될 수 있다. 예컨대, 어플리케이션(147)은 프리로드 어플리케이션(preloaded application) 또는 외부 장치(예: 제 1 외부 전자 장치(102), 제 2 외부 전자 장치(104), 또는 서버(106))로부터 다운로드 가능한 제3자 어플리케이션(third party application)을 포함할 수 있다.
어플리케이션 고유 정보(149)는 어플리케이션의 코드에 대한 위변조 여부 탐지 시 참조되는 정보를 포함할 수 있다. 한 실시 예에 따르면, 어플리케이션 고유 정보(149)는 전자 장치(101)의 공정 단계에서 생성되어 메모리(130)에 미리 저장되거나, 전자 장치(101)의 사용 중에 생성되어 메모리(130)에 저장될 수도 있다. 예컨대, 프리로드 어플리케이션에 대응되는 어플리케이션 고유 정보(149)는 전자 장치(101)의 공정 단계에서 생성되어 메모리(130)에 미리 저장될 수 있으며, 제3자 어플리케이션에 대응되는 어플리케이션 고유 정보(149)는 해당 어플리케이션의 설치 시에 생성되어 메모리(130)에 저장될 수 있다.
입출력 인터페이스(150)는, 예를 들면, 사용자 또는 다른 외부 기기로부터 입력된 명령 또는 데이터를 전자 장치(101)의 다른 구성요소(들)에 전달할 수 있는 인터페이스의 역할을 할 수 있다. 또한, 입출력 인터페이스(150)는 전자 장치(101)의 다른 구성요소(들)로부터 수신된 명령 또는 데이터를 사용자 또는 다른 외부 기기로 출력할 수 있다.
다양한 실시 예에 따르면, 입출력 인터페이스(150)는 스피커 등의 음성 출력 장치를 포함할 수 있다. 입출력 인터페이스(150)는 어플리케이션(147)의 코드가 위변조된 경우, 프로세서(120)의 제어에 의해 어플리케이션(147)의 코드가 위변조되었음을 알리는 음성 정보를 출력할 수 있다.
디스플레이(160)는, 예를 들면, 액정 디스플레이(Liquid Crystal Display (LCD)), 발광 다이오드(Light-Emitting Diode (LED)) 디스플레이, 유기 발광 다이오드(Organic LED (OLED)) 디스플레이, 또는 마이크로 전자기계 시스템(microelectromechanical systems, MEMS) 디스플레이, 또는 전자 종이(electronic paper) 디스플레이를 포함할 수 있다. 디스플레이(160)는, 예를 들면, 사용자에게 각종 컨텐츠(예: 텍스트, 이미지, 비디오, 아이콘, 또는 심볼 등)을 표시할 수 있다. 디스플레이(160)는, 터치 스크린을 포함할 수 있으며, 예를 들면, 전자 펜 또는 사용자의 신체의 일부를 이용한 터치, 제스처, 근접, 또는 호버링(hovering) 입력을 수신할 수 있다.
다양한 실시 예에 따르면, 디스플레이(160)는 어플리케이션(147)의 코드가 위변조된 경우, 프로세서(120)의 제어에 의해 어플리케이션(147)의 코드가 위변조되었음을 알리는 표시 객체(예: 팝업)를 출력할 수 있다.
통신 인터페이스(170)는, 예를 들면, 전자 장치(101)와 외부 장치(예: 제1 외부 전자 장치(102), 제2 외부 전자 장치(104), 또는 서버(106)) 간의 통신을 설정할 수 있다. 예를 들면, 통신 인터페이스(170)는 무선 통신 또는 유선 통신을 통해서 네트워크(162)에 연결되어 상기 외부 장치(예: 제2 외부 전자 장치(104) 또는 서버(106))와 통신할 수 있다.
무선 통신은, 예를 들면 셀룰러 통신 프로토콜로서, 예를 들면 LTE(Long-Term Evolution), LTE-A(LTE-Advanced), CDMA(Code Division Multiple Access), WCDMA(Wideband CDMA), UMTS(Universal Mobile Telecommunications System), WiBro(Wireless Broadband), 또는 GSM(Global System for Mobile Communications) 중 적어도 하나를 사용할 수 있다. 또한 무선 통신은, 예를 들면, 근거리 통신(164)을 포함할 수 있다. 근거리 통신(164)은, 예를 들면, Wi-Fi(Wireless Fidelity), Bluetooth, NFC(Near Field Communication), MST(magnetic stripe transmission), 또는 GNSS 중 적어도 하나를 포함할 수 있다.
MST는 전자기 신호를 이용하여 전송 데이터에 따라 펄스를 생성하고, 상기 펄스는 자기장 신호를 발생시킬 수 있다. 전자 장치(101)는 상기 자기장 신호를 POS(point of sales)에 전송하고, POS는 MST 리더(MST reader)를 이용하여 상기 자기장 신호는 검출하고, 검출된 자기장 신호를 전기 신호로 변환함으로써 상기 데이터를 복원할 수 있다.
GNSS는 사용 지역 또는 대역폭 등에 따라, 예를 들면, GPS(Global Positioning System), Glonass(Global Navigation Satellite System), Beidou Navigation Satellite System(이하 "Beidou") 또는 Galileo(the European global satellite-based navigation system) 중 적어도 하나를 포함할 수 있다. 이하, 본 문서에서는, "GPS"는 "GNSS"와 혼용되어 사용(interchangeably used)될 수 있다. 유선 통신은, 예를 들면, USB(universal serial bus), HDMI(high definition multimedia interface), RS-232(recommended standard 232), 또는 POTS(plain old telephone service) 등 중 적어도 하나를 포함할 수 있다. 네트워크(162)는 통신 네트워크(telecommunications network), 예를 들면, 컴퓨터 네트워크(computer network)(예: LAN 또는 WAN), 인터넷, 또는 전화 망(telephone network) 중 적어도 하나를 포함할 수 있다.
제1 및 제2 외부 전자 장치(102, 104) 각각은 전자 장치(101)와 동일한 또는 다른 종류의 장치일 수 있다. 한 실시 예에 따르면, 서버(106)는 하나 또는 그 이상의 서버들의 그룹을 포함할 수 있다. 다양한 실시 예에 따르면, 전자 장치(101)에서 실행되는 동작들의 전부 또는 일부는 다른 하나 또는 복수의 전자 장치(예: 전자 장치(102, 104), 또는 서버(106))에서 실행될 수 있다. 한 실시 예에 따르면, 전자 장치(101)가 어떤 기능이나 서비스를 자동으로 또는 요청에 의하여 수행해야 할 경우에, 전자 장치(101)는 기능 또는 서비스를 자체적으로 실행시키는 대신에 또는 추가적으로, 그와 연관된 적어도 일부 기능을 다른 장치(예: 전자 장치(102, 104), 또는 서버(106))에게 요청할 수 있다. 다른 전자 장치(예: 전자 장치(102, 104), 또는 서버(106))는 요청된 기능 또는 추가 기능을 실행하고, 그 결과를 전자 장치(101)로 전달할 수 있다. 전자 장치(101)는 수신된 결과를 그대로 또는 추가적으로 처리하여 요청된 기능이나 서비스를 제공할 수 있다. 이를 위하여, 예를 들면, 클라우드 컴퓨팅, 분산 컴퓨팅, 또는 클라이언트-서버 컴퓨팅 기술이 이용될 수 있다.
본 문서에서 기술된 구성요소들 각각은 하나 또는 그 이상의 부품(component)으로 구성될 수 있으며, 해당 구성 요소의 명칭은 전자 장치의 종류에 따라서 달라질 수 있다. 다양한 실시 예에서, 전자 장치는 본 문서에서 기술된 구성요소 중 적어도 하나를 포함하여 구성될 수 있으며, 일부 구성요소가 생략되거나 또는 추가적인 다른 구성요소를 더 포함할 수 있다. 또한, 다양한 실시 예에 따른 전자 장치의 구성 요소들 중 일부가 결합되어 하나의 개체(entity)로 구성됨으로써, 결합되기 이전의 해당 구성 요소들의 기능을 동일하게 수행할 수 있다.
도 2은 일 실시 예에 따른 프로그램 모듈의 블록도이다.
한 실시 예에 따르면, 프로그램 모듈(210)(예: 프로그램(140))은 전자 장치(예: 전자 장치(101))에 관련된 자원을 제어하는 운영 체제(OS) 및/또는 운영 체제 상에서 구동되는 다양한 어플리케이션(예: 어플리케이션 프로그램(147))을 포함할 수 있다. 운영 체제는, 예를 들면, 안드로이드(android), iOS, 윈도우즈(windows), 심비안(symbian), 타이젠(tizen), 또는 바다(bada) 등이 될 수 있다.
프로그램 모듈(210)은 커널(220), 미들웨어(230), API(260), 및/또는 어플리케이션(270)을 포함할 수 있다. 프로그램 모듈(210)의 적어도 일부는 전자 장치 상에 프리로드(preload) 되거나, 외부 전자 장치(예: 전자 장치(102, 104), 서버(106) 등)로부터 다운로드 가능하다.
커널(220)(예: 커널(141))은, 예를 들면, 시스템 리소스 매니저(221), 디바이스 드라이버(223), 및 위변조 여부 탐지 모듈(225)을 포함할 수 있다. 시스템 리소스 매니저(221)는 시스템 리소스의 제어, 할당, 또는 회수 등을 수행할 수 있다. 한 실시 예에 따르면, 시스템 리소스 매니저(221)는 프로세스 관리부, 메모리 관리부, 또는 파일 시스템 관리부 등을 포함할 수 있다.
디바이스 드라이버(223)는, 예를 들면, 디스플레이 드라이버, 카메라 드라이버, 블루투스 드라이버, 공유 메모리 드라이버, USB 드라이버, 키패드 드라이버, Wi-Fi 드라이버, 오디오 드라이버, 또는 IPC(inter-process communication) 드라이버를 포함할 수 있다.
위변조 여부 탐지 모듈(225)은 어플리케이션(270) 코드의 위변조 여부를 탐지할 수 있다. 위변조 여부 탐지 모듈(225)은 어플리케이션(270)의 코드를 복수 개의 세그먼트들로 분할할 수 있다. 또는, 위변조 여부 탐지 모듈(225)은 세그먼트들을 적어도 하나의 페이지로 분할할 수도 있다. 또한, 위변조 여부 탐지 모듈(225)은 분할된 세그먼트 또는 페이지에 대한 고유 정보를 생성할 수 있다. 예를 들어, 위변조 여부 탐지 모듈(225)은 분할된 세그먼트 또는 페이지에 대한 해시값, 암호문, 및 연산값 중 적어도 하나를 생성할 수 있다. 위변조 여부 탐지 모듈(225)은 생성된 고유 정보를 메모리(예: 메모리(130))에 저장된 어플리케이션 고유 정보(예: 어플리케이션 고유 정보(149))와 비교하고, 비교 결과에 기초하여 어플리케이션(270) 코드의 위변조 여부를 판단할 수 있다.
다양한 실시 예에 따르면, 위변조 여부 탐지 모듈(225)은 미들웨어(230)에 포함될 수도 있다. 또한, 위변조 여부 탐지 모듈(225)은 메모리(예: 메모리(130))에 포함되는 대신에 보안 영역(예: 보안 영역(180))에 포함될 수도 있다.
미들웨어(230)는, 예를 들면, 어플리케이션(270)이 공통적으로 필요로 하는 기능을 제공하거나, 어플리케이션(270)이 전자 장치 내부의 제한된 시스템 자원을 효율적으로 사용할 수 있도록 API(260)를 통해 다양한 기능들을 어플리케이션(270)으로 제공할 수 있다. 한 실시 예에 따르면, 미들웨어(230)(예: 미들웨어(143))는 런타임 라이브러리(235), 어플리케이션 매니저(application manager)(241), 윈도우 매니저(window manager)(242), 멀티미디어 매니저(multimedia manager)(243), 리소스 매니저(resource manager)(244), 파워 매니저(power manager)(245), 데이터베이스 매니저(database manager)(246), 패키지 매니저(package manager)(247), 연결 매니저(connectivity manager)(248), 통지 매니저(notification manager)(249), 위치 매니저(location manager)(250), 그래픽 매니저(graphic manager)(251), 또는 보안 매니저(security manager)(252) 중 적어도 하나를 포함할 수 있다.
런타임 라이브러리(235)는, 예를 들면, 어플리케이션(270)이 실행되는 동안에 프로그래밍 언어를 통해 새로운 기능을 추가하기 위해 컴파일러가 사용하는 라이브러리 모듈을 포함할 수 있다. 런타임 라이브러리(235)는 입출력 관리, 메모리 관리, 또는 산술 함수에 대한 기능 등을 수행할 수 있다.
어플리케이션 매니저(241)는, 예를 들면, 어플리케이션(270) 중 적어도 하나의 어플리케이션의 생명 주기(life cycle)를 관리할 수 있다. 윈도우 매니저(242)는 화면에서 사용하는 GUI 자원을 관리할 수 있다. 멀티미디어 매니저(243)는 다양한 미디어 파일들의 재생에 필요한 포맷을 파악하고, 해당 포맷에 맞는 코덱(codec)을 이용하여 미디어 파일의 인코딩(encoding) 또는 디코딩(decoding)을 수행할 수 있다. 리소스 매니저(244)는 어플리케이션(270) 중 적어도 어느 하나의 어플리케이션의 소스 코드, 메모리 또는 저장 공간 등의 자원을 관리할 수 있다.
파워 매니저(245)는, 예를 들면, 바이오스(BIOS: basic input/output system) 등과 함께 동작하여 배터리 또는 전원을 관리하고, 전자 장치의 동작에 필요한 전력 정보 등을 제공할 수 있다. 데이터베이스 매니저(246)는 어플리케이션(270) 중 적어도 하나의 어플리케이션에서 사용할 데이터베이스를 생성, 검색, 또는 변경할 수 있다. 패키지 매니저(247)는 패키지 파일의 형태로 배포되는 어플리케이션의 설치 또는 업데이트를 관리할 수 있다.
연결 매니저(248)는, 예를 들면, Wi-Fi 또는 블루투스 등의 무선 연결을 관리할 수 있다. 통지 매니저(249)는 도착 메시지, 약속, 근접성 알림 등의 사건(event)을 사용자에게 방해되지 않는 방식으로 표시 또는 통지할 수 있다. 위치 매니저(250)는 전자 장치의 위치 정보를 관리할 수 있다. 그래픽 매니저(251)는 사용자에게 제공될 그래픽 효과 또는 이와 관련된 사용자 인터페이스를 관리할 수 있다. 보안 매니저(252)는 시스템 보안 또는 사용자 인증 등에 필요한 제반 보안 기능을 제공할 수 있다. 한 실시 예에 따르면, 전자 장치(예: 전자 장치(101))가 전화 기능을 포함한 경우, 미들웨어(230)는 전자 장치의 음성 또는 영상 통화 기능을 관리하기 위한 통화 매니저(telephony manager)를 더 포함할 수 있다.
미들웨어(230)는 전술한 구성요소들의 다양한 기능의 조합을 형성하는 미들웨어 모듈을 포함할 수 있다. 미들웨어(230)는 차별화된 기능을 제공하기 위해 운영 체제의 종류 별로 특화된 모듈을 제공할 수 있다. 또한, 미들웨어(230)는 동적으로 기존의 구성요소를 일부 삭제하거나 새로운 구성요소들을 추가할 수 있다.
API(260)(예: API(145))는, 예를 들면, API 프로그래밍 함수들의 집합으로, 운영 체제에 따라 다른 구성으로 제공될 수 있다. 예를 들면, 안드로이드 또는 iOS의 경우, 플랫폼 별로 하나의 API 셋을 제공할 수 있으며, 타이젠(tizen)의 경우, 플랫폼 별로 두 개 이상의 API 셋을 제공할 수 있다.
어플리케이션(270)(예: 어플리케이션 프로그램(147))은, 예를 들면, 홈(271), 다이얼러(272), SMS/MMS(273), IM(instant message)(274), 브라우저(275), 카메라(276), 알람(277), 컨택트(278), 음성 다이얼(279), 이메일(280), 달력(281), 미디어 플레이어(282), 앨범(283), 시계(284), 건강 관리(health care)(예: 운동량 또는 혈당 등을 측정), 또는 환경 정보 제공(예: 기압, 습도, 또는 온도 정보 등을 제공) 등의 기능을 수행할 수 있는 하나 이상의 어플리케이션을 포함할 수 있다.
한 실시 예에 따르면, 어플리케이션(270)은 전자 장치(예: 전자 장치(101))와 외부 전자 장치(예: 전자 장치(102, 104)) 사이의 정보 교환을 지원하는 어플리케이션(이하, 설명의 편의상, "정보 교환 어플리케이션")을 포함할 수 있다. 정보 교환 어플리케이션은, 예를 들면, 외부 전자 장치에 특정 정보를 전달하기 위한 알림 전달(notification relay) 어플리케이션, 또는 외부 전자 장치를 관리하기 위한 장치 관리(device management) 어플리케이션을 포함할 수 있다.
예를 들면, 알림 전달 어플리케이션은 전자 장치의 다른 어플리케이션(예: SMS/MMS 어플리케이션, 이메일 어플리케이션, 건강 관리 어플리케이션, 또는 환경 정보 어플리케이션 등)에서 발생된 알림 정보를 외부 전자 장치(예: 전자 장치(102, 104))로 전달하는 기능을 포함할 수 있다. 또한, 알림 전달 어플리케이션은, 예를 들면, 외부 전자 장치로부터 알림 정보를 수신하여 사용자에게 제공할 수 있다.
장치 관리 어플리케이션은, 예를 들면, 전자 장치와 통신하는 외부 전자 장치(예: 전자 장치(102, 104))의 적어도 하나의 기능(예: 외부 전자 장치 자체(또는 일부 구성 부품)의 턴-온/턴-오프 또는 디스플레이의 밝기(또는 해상도) 조절), 외부 전자 장치에서 동작하는 어플리케이션 또는 외부 전자 장치에서 제공되는 서비스(예: 통화 서비스 또는 메시지 서비스 등)를 관리(예: 설치, 삭제, 또는 업데이트)할 수 있다.
한 실시 예에 따르면, 어플리케이션(270)은 외부 전자 장치(예: 전자 장치(102, 104))의 속성에 따라 지정된 어플리케이션(예: 모바일 의료 기기의 건강 관리 어플리케이션)을 포함할 수 있다. 한 실시 예에 따르면, 어플리케이션(270)은 외부 전자 장치(예: 서버(106) 또는 전자 장치(102, 104))로부터 수신된 어플리케이션을 포함할 수 있다. 한 실시 예에 따르면, 어플리케이션(270)은 프리로드 어플리케이션(preloaded application) 또는 서버로부터 다운로드 가능한 제3자 어플리케이션(third party application)을 포함할 수 있다. 도시된 실시 예에 따른 프로그램 모듈(210)의 구성요소들의 명칭은 운영 체제의 종류에 따라서 달라질 수 있다.
다양한 실시 예에 따르면, 프로그램 모듈(210)의 적어도 일부는 소프트웨어, 펌웨어, 하드웨어, 또는 이들 중 적어도 둘 이상의 조합으로 구현될 수 있다. 프로그램 모듈(210)의 적어도 일부는, 예를 들면, 프로세서(예: 프로세서(88810))에 의해 구현(implement)(예: 실행)될 수 있다. 프로그램 모듈(210)의 적어도 일부는 하나 이상의 기능을 수행하기 위한, 예를 들면, 모듈, 프로그램, 루틴, 명령어 세트(sets of instructions) 또는 프로세스 등을 포함할 수 있다.
도 3은 일 실시 예에 따른 어플리케이션 코드의 고유 정보를 이용한 위변조 여부 탐지 방법을 설명하기 위한 도면이다.
다양한 실시 예에 따르면, 어플리케이션(300)의 코드는 복수 개의 세그먼트들로 분할될 수 있다. 또는, 도 3에서와 같이, 세그먼트들이 복수 개의 페이지들로 분할될 수도 있다. 세그먼트로 분할된 경우도 페이지로 분할된 경우와 동일 또는 유사하게 처리되는 것이 자명하기 때문에, 설명의 편의를 위해 이하의 설명에서는 도 3에 도시된 바와 같이, 페이지로 분할된 경우에 대해 설명하도록 한다. 도시된 도면에서는, 어플리케이션(300)의 코드가 제1 페이지(301), 제2 페이지(302), 제3 페이지(303), 제4 페이지(304), 제5 페이지(305), 제6 페이지(306), 제7 페이지(307), 및 제8 페이지(308)로 분할된 상태를 나타낸다. 그러나, 분할되는 페이지의 개수는 이에 한정되는 것은 아니다.
프로세서(예: 프로세서(120))는 분할된 페이지들 중 일부를 선택할 수 있다. 한 실시 예에 따르면, 프로세서는 어플리케이션(300)의 보안 수준, 전자 장치(예: 전자 장치(101))의 성능, 및 어플리케이션(300)의 코드 전체 크기 중 적어도 하나에 따라서 선택되는 페이지의 개수를 다르게 지정할 수 있다. 또한, 프로세서는 분할된 페이지들 중 필수적으로 인증되어야 하는 페이지들을 우선적으로 선택하고, 나머지 페이지들은 랜덤하게 선택할 수도 있다. 또 다른 예로, 프로세서는 분할된 페이지들 중 어플리케이션(300) 코드의 내용에 따라 중요한 코드 예컨대, 보안과 관련된 코드에 대응되는 페이지를 우선적으로 선택할 수도 있다.
다양한 실시 예에 따르면, 프로세서는 페이지를 선택할 시에 분할된 페이지들 중 어플리케이션(300)의 코드 상에서(예: 페이지들을 각 리프 노드(leaf node)로 하는 바이너리 트리(binary tree) 상에서) 서로 인접한 페이지들을 그룹으로 선택할 수 있다. 한 예로, 프로세서는 서로 관련된 코드에 대응되는 페이지들을 그룹으로 선택할 수 있다. 도시된 도면에서는, 프로세서가 서로 인접한 제1 페이지(301)와 제2 페이지(302)를 제1 그룹으로 선택하고, 제5 페이지(305)와 제6 페이지(306)를 제2 그룹으로 선택한 상태를 나타낸다.
프로세서는 선택된 페이지에 대한 고유 정보를 생성할 수 있다. 고유 정보는 예를 들어, 해시 함수를 이용하여 추출된 각 페이지의 해시값, 암호 알고리즘을 이용하여 추출된 각 페이지의 암호문, 및 비트 연산을 이용하여 추출된 각 페이지의 연산값 중 적어도 하나를 포함할 수 있다. 이하의 설명에서는 고유 정보로 해시값이 추출된 경우에 대해 설명하도록 한다. 도시된 도면에서는, 프로세서가 제1 페이지(301)에 대한 제1 해시값(311), 제2 페이지(302)에 대한 제2 해시값(312), 제5 페이지(305)에 대한 제5 해시값(313), 및 제6 페이지(306)에 대한 제6 해시값(314)이 추출된 상태를 나타낸다.
다양한 실시 예에 따르면, 프로세서는 추출된 해시값과 메모리(예: 메모리(130))에 기저장된 해시값(예: 어플리케이션 고유 정보(149))을 비교할 수 있다. 프로세서는 추출된 해시값과 기저장된 해시값이 다른 경우, 어플리케이션(300)의 코드가 위변조되었다고 판단할 수 있다.
다양한 실시 예에 따르면, 프로세서는 어플리케이션(300)의 코드 전체에 대한 고유 정보를 생성할 수도 있다. 한 예로, 도 3에 도시된 바와 같이, 프로세서는 선택된 페이지들에 대한 해시값들 및 메모리(예: 메모리(130))에 기저장된 나머지 페이지들에 대한 해시값들(예: 어플리케이션 고유 정보(149))을 이용하여 어플리케이션(300)의 코드 전체에 대한 최종 해시값(341)을 생성할 수도 있다. 도 3에 도시된 바와 같이, 프로세서는 바이너리 트리 상에서 인접한 하위 노드에 해당하는 해시값을 입력값으로 사용하여 상위 노드에 해당하는 해시값을 생성하는 방식으로 최종 해시값(341)을 생성할 수 있다. 예를 들어, 프로세서는 제1 그룹으로 선택된 제1 페이지(301)에 대한 제1 해시값(311)과 제2 페이지(302)에 대한 제2 해시값(312)을 이용하여 제9 해시값(321)을 생성하고, 제2 그룹으로 선택된 제5 페이지(305)에 대한 제5 해시값(313)과 제6 페이지(306)에 대한 제6 해시값(314)을 이용하여 제11 해시값(323)을 생성할 수 있다. 또한, 프로세서는 제9 해시값(321)과 메모리에 기저장된 제10 해시값(322)를 이용하여 제13 해시값(331)을 생성하고, 제11 해시값(323)과 메모리에 기저장된 제12 해시값(324)을 이용하여 제14 해시값(332)을 생성할 수 있다. 프로세서는 제13 해시값(331)과 제14 해시값(332)을 이용하여 최종 해시값(341)을 생성할 수 있다.
이 후, 프로세서는 최종 해시값(341)을 메모리에 기저장된 최종 해시값(예: 어플리케이션 고유 정보(149))과 비교하여, 서로 다른 경우 어플리케이션(300)의 코드가 위변조되었는지를 판단할 수 있다. 어떤 실시 예에서, 프로세서는 최종 해시값(341)을 기반으로 메모리에 기저장된 전자 서명값(350)을 검증하여 어플리케이션(300) 코드의 위변조 여부를 판단할 수도 있다.
상술한 바와 같이, 프로세서가 선택되지 않은 제3 페이지(303), 제4 페이지(304), 제7 페이지(307), 및 제8 페이지(308)에 대한 고유 정보(예: 제3 해시값, 제4 해시값, 제7 해시값, 및 제8 해시값)를 생성하지 않고 메모리에 기저장된 고유 정보를 사용함으로써, 프로세싱 시간을 단축하고 프로세싱에 관여하는 시스템 자원의 부하가 증가되는 것 방지할 수 있다.
도 4는 일 실시 예에 따른 인증 비율에 따른 페이지 선택 방법을 설명하기 위한 도면이다.
다양한 실시 예에 따르면, 프로세서(예: 프로세서(120))는 인증 비율에 따라 페이지를 다르게 선택할 수도 있다. 인증 비율은 분할된 페이지들의 개수에 대한 선택된 페이지들의 개수의 비를 나타낸다. 예를 들어, 도 3 및 도 4에서는 분할된 페이지들의 개수는 8이고 선택된 페이지들의 개수가 4이므로 인증 비율은 50%에 해당한다. 인증 비율은 어플리케이션(400)의 보안 수준, 전자 장치(예: 전자 장치(101))의 성능, 및 어플리케이션(400)의 코드 전체 크기 중 적어도 하나를 기반으로 지정될 수 있다.
프로세서는 어플리케이션(400) 별로 지정된 인증 비율에 따라 선택되는 페이지의 개수를 다르게 지정할 수 있다. 한 예로, 어플리케이션(400) 코드의 페이지들의 개수가 n개이고 인증 비율이 m%인 경우, 프로세서는 (n*m/100)개의 페이지를 선택할 수 있다.
다양한 실시 예에 따르면, 프로세서는 어플리케이션(400) 별로 지정된 최소 인증 비율에 따라 메모리(예: 메모리(130))에 기저장되는 페이지들에 대한 고유 정보의 개수를 다르게 지정할 수 있다. 최소 인증 비율은 분할된 페이지들의 개수에 대한 선택된 페이지들 중 인접한 페이지들의 개수의 비를 나타낸다. 예를 들어, 도 3에서는 분할된 페이지들의 개수는 8이고 선택된 페이지들 중 인접한 페이지들의 개수가 2이므로 최소 인증 비율은 25%에 해당한다. 또한, 도 4에서는 분할된 페이지들의 개수는 8이고 선택된 페이지들 중 인접한 페이지들의 개수가 4이므로 최소 인증 비율은 50%에 해당한다. 프로세서는 최소 인증 비율이 높을수록 페이지들에 대한 고유 정보를 메모리에 적게 저장해둘 수 있다. 한 예로, 도 3에서는 최소 인증 비율이 25%이고 메모리에 기저장되는 해시값의 개수가 2개이며, 도 4에서는 최소 인증 비율이 50%이고 메모리에 기저장되는 해시값이 개수가 1개이다.
도 4에서와 같이, 프로세서는 서로 인접한 제1 페이지(401), 제2 페이지(402), 제3 페이지(403), 및 제4 페이지(404)를 그룹으로 묶어 선택한 상태를 나타낸다. 프로세서는 제1 페이지(401)에 대한 제1 해시값(411), 제2 페이지(402)에 대한 제2 해시값(412), 제3 페이지(403)에 대한 제3 해시값(413), 및 제4 페이지(404)에 대한 제4 해시값(414)을 생성할 수 있다. 또한, 프로세서는 제1 해시값(411)과 제2 해시값(412)을 이용하여 제9 해시값(421)을 생성하고, 제3 해시값(413)과 제4 해시값(414)을 이용하여 제10 해시값(422)을 생상하고, 제9 해시값(421)과 제10 해시값(422)을 이용하여 제13 해시값(431)을 생성할 수 있다. 마지막으로 프로세서는 제13 해시값(431)과 메모리에 기저장된 제14 해시값(432)을 이용하여 최종 해시값(441)을 생성할 수 있다. 또한, 프로세서는 최종 해시값(441)을 기반으로 메모리에 기저장된 전자 서명값(450)을 검증하여 어플리케이션(400) 코드의 위변조 여부를 판단할 수도 있다.
상술한 바와 같이, 프로세서가 인접한 페이지들 중 50%에 해당하는 인접한 페이지들을 선택함으로써, 선택되지 않은 나머지 50%에 해당하는 페이지들(예: 제5 페이지(405), 제6 페이지(406), 제7 페이지(407), 및 제8 페이지(406))에 대한 고유 정보(예: 제5 해시값, 제6 해시값, 제7 해시값, 및 제8 해시값)를 생성하지 않을 수 있으며, 상위 노드에 해당하는 고유 정보(예: 제11 해시값 및 제12 해시값)도 생성하지 않을 수 있다.
상술한 바와 같이, 다양한 실시 예에 따르면, 전자 장치(예: 전자 장치(101))는 어플리케이션(예: 어플리케이션 프로그램(147)) 및 상기 어플리케이션의 고유 정보(예: 어플리케이션 고유 정보(149))를 저장하기 위한 메모리(예: 메모리(130)), 및 상기 메모리와 기능적으로 연결된 프로세서(예: 프로세서(120))를 포함하고, 상기 프로세서는 상기 어플리케이션의 코드를 복수 개의 세그먼트들로 분할하고, 상기 세그먼트들 중 적어도 하나의 세그먼트를 선택하고, 상기 적어도 하나의 세그먼트에 대한 고유 정보를 생성하고, 상기 적어도 하나의 세그먼트에 대한 고유 정보와 상기 메모리에 저장된 상기 어플리케이션의 고유 정보를 비교하고, 비교한 결과에 기초하여 상기 어플리케이션의 코드의 위변조 여부를 판단하도록 설정될 수 있다.
다양한 실시 예에 따르면, 상기 어플리케이션의 고유 정보는 상기 전자 장치의 공정 단계에서 생성된 상기 적어도 하나의 세그먼트에 대한 고유 정보 및 상기 어플리케이션의 설치 시 생성된 상기 적어도 하나의 세그먼트에 대한 고유 정보 중 적어도 하나를 포함할 수 있다.
다양한 실시 예에 따르면, 상기 어플리케이션의 고유 정보는 해시 함수를 이용하여 추출된 상기 적어도 하나의 세그먼트의 해시값, 암호 알고리즘을 이용하여 추출된 상기 적어도 하나의 세그먼트의 암호문, 및 비트 연산을 이용하여 추출된 상기 적어도 하나의 세그먼트의 연산값 중 적어도 하나를 포함할 수 있다.
다양한 실시 예에 따르면, 상기 프로세서는 상기 어플리케이션의 코드를 지정된 크기를 갖는 상기 세그먼트들로 분할하거나, 분할되는 상기 세그먼트들의 개수를 지정하고 상기 지정된 개수에 맞춰 상기 어플리케이션의 코드를 상기 세그먼트들로 분할하거나, 상기 어플리케이션의 코드를 랜덤하게 상기 세그먼트들로 분할할 수 있다.
다양한 실시 예에 따르면, 상기 프로세서는 상기 어플리케이션의 보안 수준, 상기 전자 장치의 성능, 및 상기 어플리케이션의 코드의 전체 크기 중 적어도 하나를 기반으로 상기 적어도 하나의 세그먼트를 선택하도록 설정될 수 있다.
다양한 실시 예에 따르면, 전자 장치는 어플리케이션 및 상기 어플리케이션의 고유 정보를 저장하기 위한 메모리, 및 상기 메모리와 기능적으로 연결된 프로세서를 포함하고, 상기 프로세서는 상기 어플리케이션의 코드를 복수 개의 세그먼트들로 분할하고, 상기 세그먼트들 중 적어도 하나의 제1 세그먼트를 선택하고, 상기 적어도 하나의 제1 세그먼트에 대한 고유 정보를 생성하고, 상기 메모리에 저장되고 상기 세그먼트들 중 상기 적어도 하나의 제1 세그먼트와 다른 적어도 하나의 제2 세그먼트에 대한 고유 정보 및 상기 적어도 하나의 제1 세그먼트에 대한 고유 정보를 이용하여 상기 어플리케이션의 코드 전체에 대한 고유 정보를 생성하고, 상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 상기 메모리에 저장된 상기 어플리케이션의 고유 정보를 검증하고, 검증된 결과에 기초하여 상기 어플리케이션의 코드의 위변조 여부를 판단하도록 설정될 수 있다.
다양한 실시 예에 따르면, 상기 어플리케이션의 고유 정보는 상기 전자 장치의 공정 단계에서 상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 생성된 변조 방지 코드 및 상기 어플리케이션의 설치 시 상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 생성된 변조 방지 코드 중 적어도 하나를 포함할 수 있다.
다양한 실시 예에 따르면, 상기 변조 방지 코드는 전자 서명값 및 HMAC(Hash-based Message Authentication Code) 중 적어도 하나를 포함할 수 있다.
다양한 실시 예에 따르면, 상기 적어도 하나의 제1 세그먼트에 대한 고유 정보, 상기 적어도 하나의 제2 세그먼트에 대한 고유 정보, 및 상기 어플리케이션의 코드 전체에 대한 고유 정보는 해시 함수를 이용하여 추출된 해시값, 암호 알고리즘을 이용하여 추출된 암호문, 및 비트 연산을 이용하여 추출된 연산값 중 적어도 하나를 포함할 수 있다.
다양한 실시 예에 따르면, 상기 프로세서는 상기 어플리케이션의 보안 수준, 상기 전자 장치의 성능, 및 상기 어플리케이션의 코드의 전체 크기 중 적어도 하나를 기반으로 선택되는 상기 적어도 하나의 제1 세그먼트의 개수를 지정하도록 설정될 수 있다.
다양한 실시 예에 따르면, 상기 프로세서는 상기 적어도 하나의 제1 세그먼트를 선택할 시 상기 어플리케이션의 코드 상에서 서로 인접한 세그먼트들 중 일부를 적어도 하나의 그룹으로 선택하도록 설정될 수 있다.
다양한 실시 예에 따르면, 상기 프로세서는 상기 적어도 하나의 제1 세그먼트를 선택할 시 상기 세그먼트들 중 상기 어플리케이션의 코드의 내용에 따라 중요한 코드에 대응되는 적어도 하나의 세그먼트를 우선적으로 선택하고, 상기 세그먼트들 중 상기 적어도 하나의 세그먼트와 다른 적어도 하나의 세그먼트를 랜덤하게 선택하도록 설정될 수 있다.
도 5는 일 실시 예에 따른 어플리케이션 코드의 고유 정보의 획득과 관련한 전자 장치의 운용 방법을 나타낸 도면이다.
도 5를 참조하면, 전자 장치(예: 전자 장치(101))는 동작 510에서, 어플리케이션(예: 어플리케이션 프로그램(147))의 코드를 복수 개의 세그먼트로 분할할 수 있다. 또는, 전자 장치는 세그먼트들을 적어도 하나의 페이지로 분할할 수도 있다.
한 실시 예에 따르면, 전자 장치는 지정된 크기의 세그먼트(또는 페이지)로 어플리케이션의 코드를 분할할 수 있다. 어떤 실시 예에서, 전자 장치는 분할되는 세그먼트(또는 페이지)의 개수를 지정하고, 지정된 개수에 맞춰 어플리케이션의 코드를 분할할 수 있다. 또는, 전자 장치는 어플리케이션의 코드를 랜덤하게 분할할 수도 있다.
동작 530에서, 전자 장치는 분할된 세그먼트(또는 페이지)에 대한 고유 정보(예: 어플리케이션 고유 정보(149))를 생성할 수 있다. 고유 정보는 예를 들어, 해시 함수를 이용하여 추출된 각 세그먼트(또는 페이지)의 해시값, 암호 알고리즘을 이용하여 추출된 각 세그먼트(또는 페이지)의 암호문, 및 비트 연산을 이용하여 추출된 각 세그먼트(또는 페이지)의 연산값 중 적어도 하나를 포함할 수 있다.
동작 550에서, 전자 장치는 분할된 세그먼트(또는 페이지)의 정보 및 생성된 고유 정보를 메모리(예: 메모리(130))에 저장할 수 있다. 한 실시 예에 따르면, 전자 장치는 분할된 세그먼트(또는 페이지)의 개수, 분할된 세그먼트(또는 페이지)를 각 리프 노드로 하는 바이너리 트리 상에서의 세그먼트(또는 페이지)의 노드 넘버 등과 함께 각 세그먼트(또는 페이지)에 대한 고유 정보를 메모리에 저장할 수 있다. 어떤 실시 예에서, 전자 장치는 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 생성된 변조 방지 코드(예: 전자 서명값 또는 HMAC 등)를 메모리에 더 저장할 수 있다.
한 실시 예에 따르면, 전자 장치는 프리로드 어플리케이션에 대해서 동작 510 내지 동작 530을 전자 장치의 공정 단계에서 수행할 수 있다. 또 다른 예에서, 전자 장치는 제3자 어플리케이션에 대해서 동작 510 내지 동작 530을 해당 어플리케이션의 설치 시에 수생할 수 있다.
도 6은 일 실시 예에 따른 어플리케이션 코드의 위변조 여부 탐지와 관련한 전자 장치의 운용 방법을 나타낸 도면이다.
도 6을 참조하면, 전자 장치(예: 전자 장치(101))는 동작 610에서, 어플리케이션(예: 어플리케이션 프로그램(147)) 코드의 세그먼트들(또는 페이지들) 중 일부를 선택할 수 있다. 한 실시 예에 따르면, 전자 장치는 어플리케이션의 인증 비율에 따라 선택되는 세그먼트(또는 페이지)의 개수를 다르게 지정할 수 있다. 어플리케이션의 인증 비율은 어플리케이션의 보안 수준, 전자 장치의 성능, 및 어플리케이션의 코드 전체 크기 중 적어도 하나를 기반으로 지정될 수 있다.
동작 630에서, 전자 장치는 선택된 세그먼트(또는 페이지)에 대한 고유 정보를 생성할 수 있다. 고유 정보는 예를 들어, 해시 함수를 이용하여 추출된 각 세그먼트(또는 페이지)의 해시값, 암호 알고리즘을 이용하여 추출된 각 세그먼트(또는 페이지)의 암호문, 및 비트 연산을 이용하여 추출된 각 세그먼트(또는 페이지)의 연산값 중 적어도 하나를 포함할 수 있다.
다양한 실시 예에 따르면, 전자 장치는 어플리케이션의 코드 전체에 대한 고유 정보를 생성할 수도 있다. 한 예로, 전자 장치는 선택된 세그먼트(또는 페이지)에 대한 고유 정보 및 메모리(예: 메모리(130))에 기저장된 나머지 세그먼트(또는 페이지)에 대한 고유 정보(예: 어플리케이션 고유 정보(149))를 이용하여 어플리케이션의 코드 전체에 대한 최종 고유 정보를 생성할 수도 있다. 예를 들어, 전자 장치는 분할된 세그먼트(또는 페이지)를 각 리프 노드로 하는 바이너리 트리 상에서 인접한 하위 노드에 해당하는 고유 정보를 입력값으로 사용하여 상위 노드에 해당하는 고유 정보를 생성하는 방식으로 최종 고유 정보를 생성할 수 있다.
동작 650에서, 전자 장치는 생성된 고유 정보가 메모리에 기저장된 고유 정보와 동일한지를 판단할 수 있다. 한 실시 예에 따르면, 전자 장치는 생성된 고유 정보와 메모리에 기저장된 선택된 세그먼트(또는 페이지)에 대한 고유 정보를 비교하여 서로 동일한지를 판단할 수 있다. 또 다른 실시 예에 따르면, 전자 장치는 생성된 최종 고유 정보와 메모리에 기저장된 어플리케이션의 코드 전체에 대한 최종 고유 정보를 비교하여 서로 동일한지를 판단할 수 있다. 어떤 실시 예에서, 전자 장치는 생성된 최종 고유 정보를 기반으로 메모리에 기저장된 전자 서명값을 검증함으로써 동작 650을 대체할 수도 있다.
다양한 실시 예에 따르면, 생성된 고유 정보가 메모리에 기저장된 고유 정보와 동일한 경우, 동작 670에서 전자 장치는 어플리케이션의 코드가 위변조되지 않았다고 판단하여 정상 기능을 수행할 수 있다. 한 예로, 전자 장치는 어플리케이션을 실행시킬 수 있다. 또한, 전자 장치는 어플리케이션이 보안 영역(예: 보안 영역(180))에 데이터를 쓰거나 읽을 수 있도록 허용할 수 있다.
다양한 실시 예에 따르면, 생성된 고유 정보가 메모리에 기저장된 고유 정보와 다른 경우, 동작 690에서 전자 장치는 어플리케이션의 코드가 위변조되었다고 판단하여 위변조 처리 기능을 수행할 수 있다. 한 예로, 전자 장치는 어플리케이션을 실행시키지 않을 수 있다. 또는, 전자 장치는 어플리케이션이 보안 영역에 데이터를 쓰거나 읽을 수 없도록 제한할 수 있다. 어떤 실시 예에서, 전자 장치는 어플리케이션의 코드가 위변조되었음을 알리는 표시 객체(예: 팝업)를 디스플레이(예: 디스플레이(160))에 출력할 수 있다. 또한, 전자 장치는 어플리케이션의 코드가 위변조되었음을 알리는 음성 정보를 입출력 인터페이스(예: 입출력 인터페이스(150))에 포함된 음성 출력 장치를 통해 출력할 수도 있다.
상술한 바와 같이, 다양한 실시 예에 따르면, 어플리케이션의 코드의 위변조 여부 탐지 방법은 상기 어플리케이션의 코드를 복수 개의 세그먼트들로 분할하는 동작, 상기 세그먼트들 중 적어도 하나의 제1 세그먼트를 선택하는 동작, 상기 적어도 하나의 제1 세그먼트에 대한 고유 정보를 생성하는 동작, 메모리에 저장되고 상기 세그먼트들 중 상기 적어도 하나의 제1 세그먼트와 다른 적어도 하나의 제2 세그먼트에 대한 고유 정보 및 상기 적어도 하나의 제1 세그먼트에 대한 고유 정보를 이용하여 상기 어플리케이션의 코드 전체에 대한 고유 정보를 생성하는 동작, 상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 상기 메모리에 저장된 어플리케이션의 고유 정보를 검증하는 동작, 및 검증된 결과에 기초하여 상기 어플리케이션의 코드의 위변조 여부를 판단하는 동작을 포함할 수 있다.
다양한 실시 예에 따르면, 상기 위변조 여부 탐지 방법은 상기 전자 장치의 공정 단계에서 상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 생성된 변조 방지 코드 및 상기 어플리케이션의 설치 시 상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 생성된 변조 방지 코드 중 적어도 하나를 포함하는 상기 어플리케이션의 고유 정보를 상기 메모리에 저장하는 동작을 더 포함할 수 있다.
다양한 실시 예에 따르면, 상기 변조 방지 코드는 전자 서명값 및 HMAC(Hash-based Message Authentication code) 중 적어도 하나를 포함할 수 있다.
다양한 실시 예에 따르면, 상기 어플리케이션의 코드를 복수 개의 세그먼트들로 분할하는 동작은 상기 어플리케이션의 코드를 지정된 크기를 갖는 상기 세그먼트들로 분할하는 동작, 분할되는 상기 세그먼트들의 개수를 지정하고 상기 지정된 개수에 맞춰 상기 어플리케이션의 코드를 상기 세그먼트들로 분할하는 동작, 또는 상기 어플리케이션의 코드를 랜덤하게 상기 세그먼트들로 분할하는 동작을 더 포함할 수 있다.
다양한 실시 예에 따르면, 상기 적어도 하나의 제1 세그먼트를 선택하는 동작은 상기 어플리케이션의 보안 수준, 상기 전자 장치의 성능, 및 상기 어플리케이션의 코드의 전체 크기 중 적어도 하나를 기반으로 선택되는 상기 적어도 하나의 제1 세그먼트의 개수를 지정하는 동작을 더 포함할 수 있다.
다양한 실시 예에 따르면, 상기 적어도 하나의 제1 세그먼트를 선택하는 동작은 상기 어플리케이션의 코드 상에서 서로 인접한 세그먼트들 중 일부를 적어도 하나의 그룹으로 선택하는 동작을 더 포함할 수 있다.
다양한 실시 예에 따르면, 상기 적어도 하나의 제1 세그먼트를 선택하는 동작은 상기 세그먼트들 중 상기 어플리케이션의 코드의 내용에 따라 중요한 코드에 대응되는 적어도 하나의 세그먼트를 우선적으로 선택하는 동작, 및 상기 세그먼트들 중 상기 적어도 하나의 세그먼트와 다른 적어도 하나의 세그먼트를 랜덤하게 선택하는 동작을 더 포함할 수 있다.
다양한 실시 예에 따르면, 상기 적어도 하나의 제1 세그먼트에 대한 고유 정보, 상기 적어도 하나의 제2 세그먼트에 대한 고유 정보, 및 상기 어플리케이션의 코드 전체에 대한 고유 정보는 해시 함수를 이용하여 추출된 해시값, 암호 알고리즘을 이용하여 추출된 암호문, 및 비트 연산을 이용하여 추출된 연산값 중 적어도 하나를 포함할 수 있다.
도 7은 일 실시 예에 따른 어플리케이션 코드의 위변조에 따른 사용자 인터페이스 제공을 설명하기 위한 도면이다.
다양한 실시 예에 따르면, 전자 장치(700)는 어플리케이션(예: 어플리케이션 프로그램(147))의 코드가 위변조된 경우, 이에 대한 알림을 사용자 인터페이스를 통해 제공할 수 있다. 도 7을 참조하면, 전자 장치(700)는 디스플레이(710)에 어플리케이션의 코드가 위변조되었음을 알리는 표시 객체(730)(예: 팝업)를 출력할 수 있다.
한 실시 예에 따르면, 표시 객체(730)는 어플리케이션의 코드가 위변조되었음을 알리는 텍스트 객체(731)를 포함할 수 있다. 또 다른 예로, 표시 객체(730)는 표시 객체(730)의 출력을 종료하도록 설정된 버튼 객체(733)를 포함할 수도 있다. 이에 따라, 전자 장치(700)는 버튼 객체(733)가 선택되면, 표시 객체(730)의 출력을 종료시킬 수 있다. 또는, 전자 장치(700)는 표시 객체(730)의 출력 후 지정된 시간이 경과하면, 표시 객체(730)의 출력을 종료시킬 수도 있다.
본 문서에서 사용된 용어 "모듈"은, 예를 들면, 하드웨어, 소프트웨어 또는 펌웨어(firmware) 중 하나 또는 둘 이상의 조합을 포함하는 단위(unit)를 의미할 수 있다. "모듈"은, 예를 들면, 유닛(unit), 로직(logic), 논리 블록(logical block), 부품(component), 또는 회로(circuit) 등의 용어와 바꾸어 사용(interchangeably use)될 수 있다. "모듈"은, 일체로 구성된 부품의 최소 단위 또는 그 일부가 될 수 있다. "모듈"은 하나 또는 그 이상의 기능을 수행하는 최소 단위 또는 그 일부가 될 수도 있다. "모듈"은 기계적으로 또는 전자적으로 구현될 수 있다. 예를 들면, "모듈"은, 알려졌거나 앞으로 개발될, 어떤 동작들을 수행하는 ASIC(application-specific integrated circuit) 칩, FPGAs(field-programmable gate arrays) 또는 프로그램 가능 논리 장치(programmable-logic device) 중 적어도 하나를 포함할 수 있다.
다양한 실시 예에 따른 장치(예: 모듈들 또는 그 기능들) 또는 방법(예: 동작들)의 적어도 일부는, 예컨대, 프로그램 모듈의 형태로 컴퓨터로 읽을 수 있는 저장매체(computer-readable storage media)에 저장된 명령어로 구현될 수 있다. 상기 명령어가 프로세서(예: 프로세서(120))에 의해 실행될 경우, 상기 하나 이상의 프로세서가 상기 명령어에 해당하는 기능을 수행할 수 있다. 컴퓨터로 읽을 수 있는 저장매체는, 예를 들면, 메모리(130)가 될 수 있다.
컴퓨터로 판독 가능한 기록 매체는, 하드디스크, 플로피디스크, 마그네틱 매체(magnetic media)(예: 자기테이프), 광기록 매체(optical media)(예: CD-ROM, DVD(Digital Versatile Disc), 자기-광 매체(magneto-optical media)(예: 플롭티컬 디스크(floptical disk)), 하드웨어 장치(예: ROM, RAM, 또는 플래시 메모리 등) 등을 포함할 수 있다. 또한, 프로그램 명령에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 상술한 하드웨어 장치는 다양한 실시 예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지다.
다양한 실시 예에 따른 모듈 또는 프로그램 모듈은 전술한 구성요소들 중 적어도 하나 이상을 포함하거나, 일부가 생략되거나, 또는 추가적인 다른 구성요소를 더 포함할 수 있다. 다양한 실시 예에 따른 모듈, 프로그램 모듈 또는 다른 구성요소에 의해 수행되는 동작들은 순차적, 병렬적, 반복적 또는 휴리스틱(heuristic)한 방법으로 실행될 수 있다. 또한, 일부 동작은 다른 순서로 실행되거나, 생략되거나, 또는 다른 동작이 추가될 수 있다.
그리고 본 문서에 개시된 실시 예는 개시된, 기술 내용의 설명 및 이해를 위해 제시된 것이며, 본 발명의 범위를 한정하는 것은 아니다. 따라서, 본 문서의 범위는, 본 발명의 기술적 사상에 근거한 모든 변경 또는 다양한 다른 실시 예를 포함하는 것으로 해석되어야 한다.
Claims (20)
- 전자 장치에 있어서,
어플리케이션 및 상기 어플리케이션의 고유 정보를 저장하기 위한 메모리; 및
프로세서를 포함하고,
상기 프로세서는,
상기 어플리케이션의 코드를 복수 개의 세그먼트들로 분할하고,
상기 어플리케이션의 보안 수준, 상기 전자 장치의 성능, 및 상기 어플리케이션의 코드의 전체 크기 중 적어도 하나를 기반으로 상기 세그먼트들 중 적어도 하나의 세그먼트를 선택하고,
상기 적어도 하나의 세그먼트에 대한 고유 정보를 생성하고,
상기 적어도 하나의 세그먼트에 대한 고유 정보와 상기 메모리에 저장된 상기 어플리케이션의 고유 정보를 비교하고,
비교한 결과에 기초하여 상기 어플리케이션의 코드의 위변조 여부를 판단하도록 설정된 것을 특징으로 하는 전자 장치. - 청구항 1에 있어서,
상기 어플리케이션의 고유 정보는,
상기 전자 장치의 공정 단계에서 생성된 상기 적어도 하나의 세그먼트에 대한 고유 정보 및 상기 어플리케이션의 설치 시 생성된 상기 적어도 하나의 세그먼트에 대한 고유 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 전자 장치. - 청구항 1에 있어서,
상기 어플리케이션의 고유 정보는,
해시 함수를 이용하여 추출된 상기 적어도 하나의 세그먼트의 해시값, 암호 알고리즘을 이용하여 추출된 상기 적어도 하나의 세그먼트의 암호문, 및 비트 연산을 이용하여 추출된 상기 적어도 하나의 세그먼트의 연산값 중 적어도 하나를 포함하는 것을 특징으로 하는 전자 장치. - 청구항 1에 있어서,
상기 프로세서는,
상기 어플리케이션의 코드를 지정된 크기를 갖는 상기 세그먼트들로 분할하거나,
분할되는 상기 세그먼트들의 개수를 지정하고 상기 지정된 개수에 맞춰 상기 어플리케이션의 코드를 상기 세그먼트들로 분할하거나,
상기 어플리케이션의 코드를 랜덤하게 상기 세그먼트들로 분할하는 것을 특징으로 하는 전자 장치. - 삭제
- 전자 장치에 있어서,
어플리케이션 및 상기 어플리케이션의 고유 정보를 저장하기 위한 메모리; 및
프로세서를 포함하고,
상기 프로세서는,
상기 어플리케이션의 코드를 복수 개의 세그먼트들로 분할하고,
상기 어플리케이션의 보안 수준, 상기 전자 장치의 성능, 및 상기 어플리케이션의 코드의 전체 크기 중 적어도 하나를 기반으로 상기 세그먼트들 중 적어도 하나의 제1 세그먼트를 선택하고,
상기 적어도 하나의 제1 세그먼트에 대한 고유 정보를 생성하고,
상기 메모리에 저장되고 상기 세그먼트들 중 상기 적어도 하나의 제1 세그먼트와 다른 적어도 하나의 제2 세그먼트에 대한 고유 정보 및 상기 적어도 하나의 제1 세그먼트에 대한 고유 정보를 이용하여 상기 어플리케이션의 코드 전체에 대한 고유 정보를 생성하고,
상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 상기 메모리에 저장된 상기 어플리케이션의 고유 정보를 검증하고,
검증된 결과에 기초하여 상기 어플리케이션의 코드의 위변조 여부를 판단하도록 설정된 것을 특징으로 하는 전자 장치. - 청구항 6에 있어서,
상기 어플리케이션의 고유 정보는,
상기 전자 장치의 공정 단계에서 상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 생성된 변조 방지 코드 및 상기 어플리케이션의 설치 시 상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 생성된 변조 방지 코드 중 적어도 하나를 포함하는 것을 특징으로 하는 전자 장치. - 청구항 7에 있어서,
상기 변조 방지 코드는,
전자 서명값 및 HMAC(Hash-based Message Authentication Code) 중 적어도 하나를 포함하는 것을 특징으로 하는 전자 장치. - 청구항 6에 있어서,
상기 적어도 하나의 제1 세그먼트에 대한 고유 정보, 상기 적어도 하나의 제2 세그먼트에 대한 고유 정보, 및 상기 어플리케이션의 코드 전체에 대한 고유 정보는,
해시 함수를 이용하여 추출된 해시값, 암호 알고리즘을 이용하여 추출된 암호문, 및 비트 연산을 이용하여 추출된 연산값 중 적어도 하나를 포함하는 것을 특징으로 하는 전자 장치. - 삭제
- 청구항 6에 있어서,
상기 프로세서는,
상기 적어도 하나의 제1 세그먼트를 선택할 시 상기 어플리케이션의 코드 상에서 서로 인접한 세그먼트들 중 일부를 적어도 하나의 그룹으로 선택하도록 설정된 것을 특징으로 하는 전자 장치. - 청구항 6에 있어서,
상기 프로세서는,
상기 적어도 하나의 제1 세그먼트를 선택할 시 상기 세그먼트들 중 상기 어플리케이션의 코드의 내용에 따라 중요한 코드에 대응되는 적어도 하나의 세그먼트를 우선적으로 선택하고, 상기 세그먼트들 중 상기 적어도 하나의 세그먼트와 다른 적어도 하나의 세그먼트를 랜덤하게 선택하도록 설정된 것을 특징으로 하는 전자 장치. - ◈청구항 13은(는) 설정등록료 납부시 포기되었습니다.◈전자 장치의 어플리케이션의 코드의 위변조 여부 탐지 방법에 있어서,
상기 어플리케이션의 코드를 복수 개의 세그먼트들로 분할하는 동작;
상기 어플리케이션의 보안 수준, 상기 전자 장치의 성능, 및 상기 어플리케이션의 코드의 전체 크기 중 적어도 하나를 기반으로 상기 세그먼트들 중 적어도 하나의 제1 세그먼트를 선택하는 동작;
상기 적어도 하나의 제1 세그먼트에 대한 고유 정보를 생성하는 동작;
메모리에 저장되고 상기 세그먼트들 중 상기 적어도 하나의 제1 세그먼트와 다른 적어도 하나의 제2 세그먼트에 대한 고유 정보 및 상기 적어도 하나의 제1 세그먼트에 대한 고유 정보를 이용하여 상기 어플리케이션의 코드 전체에 대한 고유 정보를 생성하는 동작;
상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 상기 메모리에 저장된 어플리케이션의 고유 정보를 검증하는 동작; 및
검증된 결과에 기초하여 상기 어플리케이션의 코드의 위변조 여부를 판단하는 동작을 포함하는 것을 특징으로 하는 어플리케이션의 코드의 위변조 여부 탐지 방법. - ◈청구항 14은(는) 설정등록료 납부시 포기되었습니다.◈청구항 13에 있어서,
상기 전자 장치의 공정 단계에서 상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 생성된 변조 방지 코드 및 상기 어플리케이션의 설치 시 상기 어플리케이션의 코드 전체에 대한 고유 정보를 기반으로 생성된 변조 방지 코드 중 적어도 하나를 포함하는 상기 어플리케이션의 고유 정보를 상기 메모리에 저장하는 동작을 더 포함하는 것을 특징으로 하는 어플리케이션의 코드의 위변조 여부 탐지 방법. - ◈청구항 15은(는) 설정등록료 납부시 포기되었습니다.◈청구항 14에 있어서,
상기 변조 방지 코드는,
전자 서명값 및 HMAC(Hash-based Message Authentication code) 중 적어도 하나를 포함하는 것을 특징으로 하는 어플리케이션의 코드의 위변조 여부 탐지 방법. - ◈청구항 16은(는) 설정등록료 납부시 포기되었습니다.◈청구항 13에 있어서,
상기 어플리케이션의 코드를 복수 개의 세그먼트들로 분할하는 동작은,
상기 어플리케이션의 코드를 지정된 크기를 갖는 상기 세그먼트들로 분할하는 동작;
분할되는 상기 세그먼트들의 개수를 지정하고 상기 지정된 개수에 맞춰 상기 어플리케이션의 코드를 상기 세그먼트들로 분할하는 동작; 또는
상기 어플리케이션의 코드를 랜덤하게 상기 세그먼트들로 분할하는 동작을 더 포함하는 것을 특징으로 하는 어플리케이션의 코드의 위변조 여부 탐지 방법. - 삭제
- ◈청구항 18은(는) 설정등록료 납부시 포기되었습니다.◈청구항 13에 있어서,
상기 적어도 하나의 제1 세그먼트를 선택하는 동작은,
상기 어플리케이션의 코드 상에서 서로 인접한 세그먼트들 중 일부를 적어도 하나의 그룹으로 선택하는 동작을 더 포함하는 것을 특징으로 하는 어플리케이션의 코드의 위변조 여부 탐지 방법. - ◈청구항 19은(는) 설정등록료 납부시 포기되었습니다.◈청구항 13에 있어서,
상기 적어도 하나의 제1 세그먼트를 선택하는 동작은,
상기 세그먼트들 중 상기 어플리케이션의 코드의 내용에 따라 중요한 코드에 대응되는 적어도 하나의 세그먼트를 우선적으로 선택하는 동작; 및
상기 세그먼트들 중 상기 적어도 하나의 세그먼트와 다른 적어도 하나의 세그먼트를 랜덤하게 선택하는 동작을 더 포함하는 것을 특징으로 하는 어플리케이션의 코드의 위변조 여부 탐지 방법. - ◈청구항 20은(는) 설정등록료 납부시 포기되었습니다.◈청구항 13에 있어서,
상기 적어도 하나의 제1 세그먼트에 대한 고유 정보, 상기 적어도 하나의 제2 세그먼트에 대한 고유 정보, 및 상기 어플리케이션의 코드 전체에 대한 고유 정보는,
해시 함수를 이용하여 추출된 해시값, 암호 알고리즘을 이용하여 추출된 암호문, 및 비트 연산을 이용하여 추출된 연산값 중 적어도 하나를 포함하는 것을 특징으로 하는 어플리케이션의 코드의 위변조 여부 탐지 방법.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160080925A KR102509594B1 (ko) | 2016-06-28 | 2016-06-28 | 어플리케이션 코드의 위변조 여부 탐지 방법 및 이를 지원하는 전자 장치 |
US15/613,746 US10546126B2 (en) | 2016-06-28 | 2017-06-05 | Method for detecting the tampering of application code and electronic device supporting the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160080925A KR102509594B1 (ko) | 2016-06-28 | 2016-06-28 | 어플리케이션 코드의 위변조 여부 탐지 방법 및 이를 지원하는 전자 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20180001878A KR20180001878A (ko) | 2018-01-05 |
KR102509594B1 true KR102509594B1 (ko) | 2023-03-14 |
Family
ID=60677687
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160080925A KR102509594B1 (ko) | 2016-06-28 | 2016-06-28 | 어플리케이션 코드의 위변조 여부 탐지 방법 및 이를 지원하는 전자 장치 |
Country Status (2)
Country | Link |
---|---|
US (1) | US10546126B2 (ko) |
KR (1) | KR102509594B1 (ko) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6949416B2 (ja) * | 2017-07-13 | 2021-10-13 | 株式会社デンソー | 電子制御装置、プログラム改ざん検知方法 |
US11075946B2 (en) * | 2017-12-19 | 2021-07-27 | T-Mobile Usa, Inc. | Honeypot adaptive security system |
KR101899774B1 (ko) * | 2018-03-16 | 2018-09-19 | 주식회사 시큐브 | 랜섬웨어 대응을 위한 데이터 처리 방법, 이를 실행시키는 프로그램 및 상기 프로그램을 기록한 컴퓨터 판독 가능한 기록매체 |
CN110321727A (zh) * | 2018-03-29 | 2019-10-11 | 阿里巴巴集团控股有限公司 | 应用程序信息的存储、处理方法及装置 |
CN109101429B (zh) * | 2018-08-21 | 2021-12-07 | 青岛海信宽带多媒体技术有限公司 | 一种机顶盒的浏览器页面调试的方法及装置 |
US11314899B2 (en) * | 2020-01-07 | 2022-04-26 | Supercell Oy | Method and system for detection of tampering in executable code |
KR102192394B1 (ko) * | 2020-03-13 | 2021-01-14 | 유니셈(주) | 인증 코드를 이용한 데이터 위변조 여부 판별 시스템 |
KR102434899B1 (ko) * | 2020-11-04 | 2022-08-23 | 영남대학교 산학협력단 | 악성코드 탐지모델 학습방법 및 악성코드 탐지방법 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110072266A1 (en) * | 2008-10-10 | 2011-03-24 | Hisashi Takayama | Information processing device, authentication system, authentication device, information processing method, information processing program, recording medium, and integrated circuit |
US20130067449A1 (en) * | 2011-09-12 | 2013-03-14 | Microsoft Corporation | Application packages using block maps |
KR101256462B1 (ko) * | 2012-08-06 | 2013-04-19 | 주식회사 안랩 | 모바일 애플리케이션의 위변조 탐지 장치, 시스템 및 방법 |
KR101518689B1 (ko) * | 2014-10-20 | 2015-05-12 | 숭실대학교산학협력단 | 핵심 코드를 이용하여 응용 프로그램의 위변조 여부를 탐지하는 사용자 단말기 및 그것을 이용한 위변조 탐지 방법 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001011843A1 (en) | 1999-08-06 | 2001-02-15 | Sudia Frank W | Blocked tree authorization and status systems |
US20060047955A1 (en) | 2004-08-30 | 2006-03-02 | Axalto Inc. | Application code integrity check during virtual machine runtime |
JP4939851B2 (ja) * | 2006-06-21 | 2012-05-30 | パナソニック株式会社 | 情報処理端末、セキュアデバイスおよび状態処理方法 |
US8453206B2 (en) * | 2006-11-09 | 2013-05-28 | Panasonic Corporation | Detecting unauthorized tampering of a program |
US8522015B2 (en) * | 2008-06-27 | 2013-08-27 | Microsoft Corporation | Authentication of binaries in memory with proxy code execution |
KR102180529B1 (ko) | 2013-03-13 | 2020-11-19 | 삼성전자주식회사 | 어플리케이션 접근 제어 방법 및 이를 구현하는 전자 장치 |
KR20150007034A (ko) * | 2013-07-10 | 2015-01-20 | 삼성전자주식회사 | 휴대형 전자장치의 어플리케이션 보안 방법 |
US10303887B2 (en) * | 2015-09-14 | 2019-05-28 | T0.Com, Inc. | Data verification methods and systems using a hash tree, such as a time-centric merkle hash tree |
WO2017071763A1 (en) * | 2015-10-29 | 2017-05-04 | Hewlett-Packard Development Company, L.P. | Checking a security value calculated for a part of a program code |
-
2016
- 2016-06-28 KR KR1020160080925A patent/KR102509594B1/ko active IP Right Grant
-
2017
- 2017-06-05 US US15/613,746 patent/US10546126B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110072266A1 (en) * | 2008-10-10 | 2011-03-24 | Hisashi Takayama | Information processing device, authentication system, authentication device, information processing method, information processing program, recording medium, and integrated circuit |
US20130067449A1 (en) * | 2011-09-12 | 2013-03-14 | Microsoft Corporation | Application packages using block maps |
KR101256462B1 (ko) * | 2012-08-06 | 2013-04-19 | 주식회사 안랩 | 모바일 애플리케이션의 위변조 탐지 장치, 시스템 및 방법 |
KR101518689B1 (ko) * | 2014-10-20 | 2015-05-12 | 숭실대학교산학협력단 | 핵심 코드를 이용하여 응용 프로그램의 위변조 여부를 탐지하는 사용자 단말기 및 그것을 이용한 위변조 탐지 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR20180001878A (ko) | 2018-01-05 |
US20170372067A1 (en) | 2017-12-28 |
US10546126B2 (en) | 2020-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102509594B1 (ko) | 어플리케이션 코드의 위변조 여부 탐지 방법 및 이를 지원하는 전자 장치 | |
US11256496B2 (en) | Apparatus and method for managing application | |
KR102294118B1 (ko) | 보안 연결 장치 및 방법 | |
KR102428461B1 (ko) | 선택적 암호화 방법 및 그를 이용한 전자 장치 | |
KR102250780B1 (ko) | 보안을 제어하기 위한 방법 및 그 전자 장치 | |
KR102646892B1 (ko) | 결제 수행 방법 및 이를 제공하는 전자 장치 | |
KR102568374B1 (ko) | 전자 장치 및 전자 장치의 관심 지점 정보 업데이트 방법 | |
KR20170084934A (ko) | 전자 장치 및 전자 장치의 식별 정보 인증 방법 | |
KR101834849B1 (ko) | 전자 장치 및 전자 장치의 사용자 인증 방법 | |
KR102445719B1 (ko) | 테마 패키지 설치 속도 개선 방법 및 전자장치 | |
KR102341162B1 (ko) | 전자 장치 및 전자 장치의 공동 사용을 위한 방법 | |
KR102416071B1 (ko) | 전자장치 및 전자장치의 어플리케이션 실행 방법 | |
KR20160033510A (ko) | 권한 설정 토큰을 이용하는 전자 장치 | |
KR20180046149A (ko) | 인증을 수행하기 위한 전자 장치 및 방법 | |
KR102319661B1 (ko) | 전자 장치 및 전자 장치의 보안 정보 저장 방법 | |
KR20170032715A (ko) | 어플리케이션 관리 방법 및 이를 지원하는 전자 장치 | |
KR102563897B1 (ko) | 식별 정보 관리 방법 및 이를 지원하는 전자 장치 | |
KR102580301B1 (ko) | 보안 로그인 서비스를 수행하는 전자 장치 및 방법 | |
US20180203941A1 (en) | Electronic device and method for creating shortcut to web page in electronic device | |
US10482237B2 (en) | Method for processing security of application and electronic device supporting the same | |
KR102610058B1 (ko) | 프로세스의 권한 상승을 검출하는 전자 장치 및 저장 매체 | |
KR102591683B1 (ko) | 보안 엘리먼트 관리 방법 및 이를 수행하는 전자 장치 | |
KR20170020012A (ko) | 콘텐츠 보안 처리 방법 및 이를 지원하는 전자 장치 | |
KR20170020137A (ko) | 전자 기기의 프로그램 관리 방법 및 장치 | |
EP3520016B1 (en) | Contents securing method and electronic device supporting the same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |