KR102617954B1 - Control method to improve security of remote control service and computer program for performing the method - Google Patents
Control method to improve security of remote control service and computer program for performing the method Download PDFInfo
- Publication number
- KR102617954B1 KR102617954B1 KR1020220158037A KR20220158037A KR102617954B1 KR 102617954 B1 KR102617954 B1 KR 102617954B1 KR 1020220158037 A KR1020220158037 A KR 1020220158037A KR 20220158037 A KR20220158037 A KR 20220158037A KR 102617954 B1 KR102617954 B1 KR 102617954B1
- Authority
- KR
- South Korea
- Prior art keywords
- terminal
- remote control
- remote
- information
- control service
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000004590 computer program Methods 0.000 title claims description 4
- 230000004913 activation Effects 0.000 claims abstract description 13
- 238000004891 communication Methods 0.000 claims description 26
- 230000004044 response Effects 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 11
- 230000009849 deactivation Effects 0.000 claims description 6
- 230000003213 activating effect Effects 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 208000025721 COVID-19 Diseases 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000015541 sensory perception of touch Effects 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/12—Arrangements for remote connection or disconnection of substations or of equipment thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
본 개시의 기술적 사상에 의한 일 양태에 따른 원격 제어 서비스의 보안성 향상을 위한 제어 방법은, 클라이언트 단말기 및 원격 단말기와 각각 연결되는 보안 정책 서버가, 원격 제어 서비스 제공 요청이 수신된 상기 클라이언트 단말기로부터 식별 정보를 수신하는 단계; 수신된 식별 정보에 기초하여 상기 클라이언트 단말기에 매칭되는 상기 원격 단말기를 식별하는 단계 - 상기 원격 단말기는 원격 제어 서비스가 비활성화된 상태임; 상기 클라이언트 단말기를 상기 식별된 원격 단말기로 접속시키기 위한 포트 정보를 생성하는 단계; 생성된 포트 정보 및 원격 제어 서비스 활성화 명령을 상기 식별된 원격 단말기로 전송하는 단계; 상기 포트 정보를 포함하는 원격 단말기 접속 정보를 상기 클라이언트 단말기로 전송하는 단계; 및 상기 클라이언트 단말기와 상기 원격 단말기의 접속에 기초하여 원격 제어 서비스가 제공되는 단계를 포함한다.A control method for improving the security of a remote control service according to an aspect according to the technical idea of the present disclosure includes a security policy server connected to a client terminal and a remote terminal, respectively, receiving a remote control service provision request from the client terminal. receiving identifying information; identifying the remote terminal matching the client terminal based on received identification information, wherein the remote terminal has a remote control service disabled; generating port information for connecting the client terminal to the identified remote terminal; transmitting the generated port information and remote control service activation command to the identified remote terminal; transmitting remote terminal access information including the port information to the client terminal; and providing a remote control service based on the connection between the client terminal and the remote terminal.
Description
본 개시(disclosure)의 기술적 사상은 원격 제어 서비스의 보안성을 향상하기 위한 제어 방법 및 이를 수행하기 위한 컴퓨터 프로그램에 관한 것이다.The technical idea of the present disclosure relates to a control method for improving the security of a remote control service and a computer program for performing the same.
5G 등과 같은 통신 기술과 클라우드 컴퓨팅 기술의 발전에 따라, 업무의 장소에 대한 제약이 사라지고 있다. 특히 최근 코로나19로 인한 언택트(untact) 사회와 같은 환경의 변화에 의해, 업무 장소가 사내로 국한되지 않고 다양한 장소에서 이루어지는 형태, 즉 원격 업무(원격지 업무)의 비율이 급격히 증가하고 있다. With the development of communication technologies such as 5G and cloud computing technologies, restrictions on work locations are disappearing. In particular, due to recent changes in the environment such as the untact society caused by COVID-19, the rate of remote work (remote work), which is a form of work that is not limited to the company but is performed in various locations, is rapidly increasing.
사용자(근무자)는 원격지(가정 등)에 존재하는 PC나 노트북, 스마트폰 등의 단말기를 이용하여 근무지 등에 존재하는 타 단말기에 접속함으로써 원격 업무를 수행할 수 있으며, 이러한 형태의 서비스를 원격 제어 서비스로 정의할 수 있다. 다르게 정의하면, 원격 제어 서비스는 원격 제어 응용 프로그램의 실행에 따라 제공되는 원격 제어 프로토콜을 통해, 단말기가 타 단말기에 접속하여 원격 업무를 수행 가능하도록 하는 서비스를 의미할 수 있다. 이러한 원격 제어 서비스는 다양한 서비스 제공자들에 의해 제공될 수 있으며, 일례로 MS사는 원격 데스크톱 프로토콜(RDP, Remote Desktop Protocol) 및 원격 데스크톱 응용 프로그램을 통해 원격 제어 서비스를 제공한다.Users (workers) can perform remote work by using a terminal such as a PC, laptop, or smartphone located in a remote location (home, etc.) to connect to another terminal located at the workplace, etc. This type of service is provided as a remote control service. It can be defined as: Defined differently, a remote control service may mean a service that allows a terminal to connect to another terminal and perform remote work through a remote control protocol provided upon execution of a remote control application. These remote control services can be provided by various service providers. For example, Microsoft provides remote control services through Remote Desktop Protocol (RDP) and remote desktop applications.
원격 제어 프로토콜은, 네트워크가 연결되어 있는 타 단말기에 대해 사용자가 제어권을 가질 수 있게 인터페이스를 제공하는 프로토콜이다. 사용자는 단말기에서 원격 제어 응용 프로그램이 실행됨에 따라, 원격 제어 프로토콜을 통해 근무지(사내망 등)의 타 단말기에 접속하여, 타 단말기의 화면에 출력되는 그래픽 데이터를 단말기에서 확인할 수 있으며, 상기 단말기를 통해 원격 컴퓨터에 대한 사용자 입력 동작을 수행할 수 있다.The remote control protocol is a protocol that provides an interface so that a user can have control over another terminal connected to a network. As the remote control application is executed on the terminal, the user can connect to another terminal at the workplace (company network, etc.) through the remote control protocol, check the graphic data displayed on the screen of the other terminal on the terminal, and connect the terminal to the terminal. You can perform user input operations on a remote computer.
그러나, 이러한 원격 제어 응용 프로그램에는 보안 취약점이 존재할 수 있고, 보안 취약점이 존재하는 프로그램을 통해 사내망 등에 대한 사이버 공격이 시도될 위험이 존재한다.However, these remote control applications may have security vulnerabilities, and there is a risk that cyber attacks may be attempted against internal networks through programs with security vulnerabilities.
실제로 원격 제어 응용 프로그램에 여러가지 취약점(CVE-2019-0708 등)이 발견된 바 있고, 이러한 취약점으로 인해 금융보안원 등에서 제시되는 보안 가이드라인에서는 보안이 취약한 원격 제어 응용 프로그램은 사용하지 않는 것을 권고하고 있다 (2022년 금융보안원 발간 "금융회사 재택근무 보안 안내서").In fact, various vulnerabilities (CVE-2019-0708, etc.) have been discovered in remote control applications, and due to these vulnerabilities, security guidelines presented by the Financial Security Institute recommend not using remote control applications with weak security. (“Financial Company Telework Security Guide” published by the Financial Security Institute in 2022).
따라서, 원격 제어 서비스를 통한 효과적인 원격 업무가 가능하면서도, 동시에 보안이 취약한 원격 제어 응용 프로그램으로 인해 야기되는 보안 위협을 방지할 수 있는 방법이 요구될 수 있다. Therefore, there may be a need for a method that enables effective remote work through a remote control service and at the same time prevents security threats caused by remote control applications with weak security.
본 발명이 해결하고자 하는 기술적 과제는, 보안이 취약한 원격 제어 서비스의 보안성을 강화할 수 있는 방법을 제공하는 것이다.The technical problem to be solved by the present invention is to provide a method to strengthen the security of remote control services with weak security.
상기와 같은 목적을 달성하기 위하여, 본 개시의 기술적 사상에 의한 일 양태(aspect)에 따른 원격 제어 서비스의 보안성 향상을 위한 제어 방법은, 클라이언트 단말기 및 원격 단말기와 각각 연결되는 보안 정책 서버가, 원격 제어 서비스 제공 요청이 수신된 상기 클라이언트 단말기로부터 식별 정보를 수신하는 단계; 수신된 식별 정보에 기초하여 상기 클라이언트 단말기에 매칭되는 상기 원격 단말기를 식별하는 단계 - 상기 원격 단말기는 원격 제어 서비스가 비활성화된 상태임; 상기 클라이언트 단말기를 상기 식별된 원격 단말기로 접속시키기 위한 포트 정보를 생성하는 단계; 생성된 포트 정보 및 원격 제어 서비스 활성화 명령을 상기 식별된 원격 단말기로 전송하는 단계; 상기 포트 정보를 포함하는 원격 단말기 접속 정보를 상기 클라이언트 단말기로 전송하는 단계; 및 상기 클라이언트 단말기와 상기 원격 단말기의 접속에 기초하여 원격 제어 서비스가 제공되는 단계를 포함한다.In order to achieve the above object, a control method for improving the security of a remote control service according to an aspect according to the technical idea of the present disclosure includes a security policy server connected to a client terminal and a remote terminal, respectively, Receiving identification information from the client terminal on which a remote control service provision request has been received; identifying the remote terminal matching the client terminal based on received identification information, wherein the remote terminal has a remote control service disabled; generating port information for connecting the client terminal to the identified remote terminal; transmitting the generated port information and remote control service activation command to the identified remote terminal; transmitting remote terminal access information including the port information to the client terminal; and providing a remote control service based on the connection between the client terminal and the remote terminal.
일 실시 예에 따라, 상기 식별 정보는 상기 클라이언트 단말기 또는 사용자와 관련된 적어도 하나의 고유 정보를 포함할 수 있다.According to one embodiment, the identification information may include at least one unique information related to the client terminal or the user.
일 실시 예에 따라, 상기 클라이언트 단말기에 매칭되는 원격 단말기를 식별하는 단계는, 복수의 원격 단말기 각각에 대해 저장된 서비스 인증 정보 중, 상기 클라이언트 단말기로부터 수신된 식별 정보 내의 고유 정보와 일치 또는 매칭되는 정보를 갖는 원격 단말기를, 상기 클라이언트 단말기에 매칭되는 원격 단말기로 식별하는 단계를 포함할 수 있다.According to one embodiment, the step of identifying a remote terminal matching the client terminal may include selecting information that matches or matches unique information in the identification information received from the client terminal among the service authentication information stored for each of the plurality of remote terminals. It may include identifying a remote terminal having a as a remote terminal matching the client terminal.
일 실시 예에 따라, 상기 포트 정보를 생성하는 단계는, 상기 원격 단말기에서 사용되고 있지 않은 포트 번호들 중 어느 하나를 랜덤 선택하는 단계; 및 랜덤 선택된 어느 하나의 포트 번호를 포함하는 상기 포트 번호를 생성하는 단계를 포함할 수 있다.According to one embodiment, generating the port information includes randomly selecting one of port numbers that are not being used in the remote terminal; and generating the port number including one randomly selected port number.
일 실시 예에 따라, 상기 방법은 상기 포트 정보 및 원격 제어 서비스 활성화 명령에 응답하여 상기 원격 단말기의 원격 제어 서비스를 활성화하는 단계를 더 포함하고, 상기 활성화하는 단계는, 상기 원격 단말기가, 상기 포트 정보에 대응하는 포트 번호를 통해 상기 클라이언트 단말기의 접속이 가능하도록 레지스트리 정보 또는 포트 설정 정보를 수정하는 단계; 및 상기 포트 번호로의 원격 제어 서비스와 관련된 통신을 허용하도록 방화벽(firewall)의 정책을 설정하는 단계를 포함할 수 있다.According to one embodiment, the method further includes activating a remote control service of the remote terminal in response to the port information and a remote control service activation command, wherein the activating step includes: the remote terminal, the port Modifying registry information or port setting information to enable connection of the client terminal through a port number corresponding to the information; and setting a policy of a firewall to allow communication related to a remote control service to the port number.
일 실시 예에 따라, 상기 방법은 상기 원격 단말기 접속 정보에 기초하여 상기 클라이언트 단말기가 상기 원격 단말기로 접속하는 단계를 더 포함하고, 상기 접속하는 단계는, 상기 클라이언트 단말기가, 상기 원격 단말기 접속 정보에 포함된 상기 포트 정보에 기초하여, 설치된 원격 제어 응용 프로그램을 구동시키는 단계를 포함할 수 있다.According to one embodiment, the method further includes the step of the client terminal connecting to the remote terminal based on the remote terminal connection information, wherein the connecting step includes the client terminal connecting to the remote terminal connection information. It may include running an installed remote control application based on the included port information.
일 실시 예에 따라, 생성된 포트 정보 및 원격 제어 서비스 활성화 명령을 상기 식별된 원격 단말기로 전송하는 단계는, 상기 포트 정보, 원격 제어 서비스 활성화 명령, 및 상기 클라이언트 단말기의 IP 주소 정보를 상기 원격 단말기로 전송하는 단계를 포함하고, 상기 클라이언트 단말기가 상기 원격 단말기로 접속하는 단계는, 상기 원격 단말기의 원격 제어 응용 프로그램에 의해 상기 클라이언트 단말기의 IP 주소와 상기 수신한 IP 주소 정보가 일치함이 확인되는 경우, 상기 클라이언트 단말기가 상기 원격 단말기와 접속하는 단계를 포함할 수 있다.According to one embodiment, the step of transmitting the generated port information and remote control service activation command to the identified remote terminal includes sending the port information, remote control service activation command, and IP address information of the client terminal to the remote terminal. A step of transmitting to the client terminal, wherein the step of connecting the client terminal to the remote terminal confirms that the IP address of the client terminal matches the received IP address information by a remote control application of the remote terminal. In this case, it may include the step of the client terminal connecting to the remote terminal.
일 실시 예에 따라, 상기 방법은 상기 원격 제어 서비스의 종료를 감지하는 단계; 및 감지 결과에 기초한 접속 종료 정보를 보안 정책 서버로 전송하는 단계를 더 포함하고, 상기 원격 제어 서비스의 종료를 감지하는 단계는, 상기 원격 제어 서비스와 관련된 원격 제어 응용 프로그램의 종료를 감지하는 단계; 또는 상기 포트 정보에 해당하는 포트의 통신 종료를 감지하는 단계를 포함할 수 있다.According to one embodiment, the method includes detecting termination of the remote control service; and transmitting connection termination information based on the detection result to a security policy server, wherein detecting termination of the remote control service includes: detecting termination of a remote control application associated with the remote control service; Alternatively, it may include detecting termination of communication of the port corresponding to the port information.
일 실시 예에 따라, 상기 방법은 상기 보안 정책 서버가, 수신된 접속 종료 정보에 응답하여 원격 제어 서비스 비활성화 명령을 상기 원격 단말기로 전송하는 단계; 및 상기 원격 단말기가, 수신된 원격 제어 서비스 비활성화 명령에 응답하여 상기 원격 제어 서비스를 비활성화하는 단계를 더 포함할 수 있다.According to one embodiment, the method includes: transmitting, by the security policy server, a remote control service deactivation command to the remote terminal in response to received connection termination information; and deactivating, by the remote terminal, the remote control service in response to a received remote control service deactivation command.
일 실시 예에 따라, 상기 원격 제어 서비스를 비활성화하는 단계는, 상기 포트 정보에 대응하는 포트의 통신 허용을 해제하도록 레지스트리 정보 또는 포트 설정 정보를 수정하는 단계; 상기 포트 번호로의 원격 제어 서비스와 관련된 통신을 허용하도록 설정된 방화벽의 정책을 삭제하는 단계; 및 상기 원격 제어 서비스와 관련된 응용 프로그램 프로세스의 실행을 차단하는 단계 중 적어도 하나를 포함할 수 있다.According to one embodiment, the step of deactivating the remote control service includes: modifying registry information or port setting information to disable communication of a port corresponding to the port information; deleting a policy of a firewall configured to allow communication related to a remote control service to the port number; and blocking execution of an application process related to the remote control service.
본 개시의 기술적 사상에 의한 일 양태에 따르면, 하드웨어인 컴퓨터와 결합되어, 본 개시의 실시 예들에 따른 원격 제어 서비스의 보안성 향상을 위한 제어 방법을 수행할 수 있도록 컴퓨터에서 독출 가능한 기록매체에 저장된 컴퓨터 프로그램이 제공된다.According to an aspect according to the technical idea of the present disclosure, a device is combined with a computer, which is hardware, and stored in a computer-readable recording medium to perform a control method for improving the security of a remote control service according to embodiments of the present disclosure. A computer program is provided.
본 개시의 기술적 사상에 따르면, 원격 단말기는 기본적으로 원격 제어 서비스를 비활성화하고 원격 제어 프로토콜에서 사용되는 기본 포트를 비활성화함으로써 허가되지 않은 타 단말기의 접속 및 원격 제어 응용 프로그램의 보안 취약점을 통한 보안 위협을 효과적으로 차단할 수 있고, 허가된 사용자의 클라이언트 단말기(원격 제어 응용 프로그램 실행 요청이 수신된 단말기)가 접속하고자 할 때에만 원격 제어 서비스를 활성화할 수 있다. 그리고 원격 단말기는 원격 제어 응용 프로그램에서 사용되는 네트워크 통신을 허가된 사용자의 클라이언트 단말기에서 확인된 정보(IP, 포트)에 한해서 제한적으로 허용함으로써 원격 제어 응용 프로그램을 원활하게 사용할 수 있다. 따라서, 허가받지 않은 사용자나 단말기가 원격 제어 응용 프로그램을 통해 원격 단말기에 무단으로 접속하는 것이 효과적으로 차단되어, 보안성이 향상된 원격 제어 서비스를 제공할 수 있다. According to the technical idea of the present disclosure, the remote terminal basically disables the remote control service and disables the basic port used in the remote control protocol to prevent security threats through unauthorized access by other terminals and security vulnerabilities in the remote control application. It can be effectively blocked, and the remote control service can be activated only when an authorized user's client terminal (the terminal on which a remote control application execution request has been received) attempts to connect. And the remote terminal can use the remote control application smoothly by restricting the network communication used in the remote control application to only the information (IP, port) confirmed on the authorized user's client terminal. Accordingly, unauthorized users or terminals are effectively blocked from accessing the remote terminal through the remote control application, thereby providing a remote control service with improved security.
본 개시의 기술적 사상에 따른 원격 제어 서비스의 보안성 향상을 위한 제어 방법이 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects that can be obtained by the control method for improving the security of a remote control service according to the technical idea of the present disclosure are not limited to the effects mentioned above, and other effects not mentioned can be understood from the description below. It will be clearly understandable to those with ordinary knowledge in the technical field.
본 개시에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 개시의 실시 예에 따른 보안성이 향상된 원격 제어 서비스 제공 시스템을 개략적으로 나타낸 도면이다.
도 2는 도 1에 도시된 시스템에 포함된 장치의 제어 구성을 나타낸 블록도이다.
도 3 및 도 4는 본 개시의 예시적 실시 예에 따른 원격 제어 서비스의 보안성 향상을 위한 제어 방법을 설명하기 위한 래더 다이어그램이다.
도 5는 본 개시의 실시 예에 따른 원격 제어 서비스의 보안성 향상을 위한 제어 방법이 구현된 시스템의 예로서, 가상 사설망을 이용한 원격 업무 시스템을 나타낸 도면이다.In order to more fully understand the drawings cited in this disclosure, a brief description of each drawing is provided.
1 is a diagram schematically showing a remote control service providing system with improved security according to an embodiment of the present disclosure.
FIG. 2 is a block diagram showing the control configuration of a device included in the system shown in FIG. 1.
3 and 4 are ladder diagrams for explaining a control method for improving security of a remote control service according to an exemplary embodiment of the present disclosure.
Figure 5 is a diagram showing a remote work system using a virtual private network as an example of a system in which a control method for improving security of a remote control service according to an embodiment of the present disclosure is implemented.
본 개시의 기술적 사상에 따른 예시적인 실시 예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 개시의 기술적 사상을 더욱 완전하게 설명하기 위하여 제공되는 것으로, 아래의 실시 예들은 여러 가지 다른 형태로 변형될 수 있으며, 본 개시의 기술적 사상의 범위가 아래의 실시 예들로 한정되는 것은 아니다. 오히려, 이들 실시 예들은 본 개시를 더욱 충실하고 완전하게 하며 당업자에게 본 발명의 기술적 사상을 완전하게 전달하기 위하여 제공되는 것이다.Illustrative embodiments according to the technical idea of the present disclosure are provided to more completely explain the technical idea of the present disclosure to those skilled in the art, and the examples below can be modified into various other forms. may be, and the scope of the technical idea of the present disclosure is not limited to the examples below. Rather, these embodiments are provided to make the present disclosure more faithful and complete and to completely convey the technical idea of the present invention to those skilled in the art.
본 개시에서 제1, 제2 등의 용어가 다양한 부재, 영역, 층들, 부위 및/또는 구성 요소들을 설명하기 위하여 사용되지만, 이들 부재, 부품, 영역, 층들, 부위 및/또는 구성 요소들은 이들 용어에 의해 한정되어서는 안 됨은 자명하다. 이들 용어는 특정 순서나 상하, 또는 우열을 의미하지 않으며, 하나의 부재, 영역, 부위, 또는 구성 요소를 다른 부재, 영역, 부위 또는 구성 요소와 구별하기 위하여만 사용된다. 따라서, 이하 상술할 제1 부재, 영역, 부위 또는 구성 요소는 본 개시의 기술적 사상의 가르침으로부터 벗어나지 않고서도 제2 부재, 영역, 부위 또는 구성 요소를 지칭할 수 있다. 예를 들면, 본 개시의 권리 범위로부터 이탈되지 않은 채 제1 구성 요소는 제2 구성 요소로 명명될 수 있고, 유사하게 제2 구성 요소도 제1 구성 요소로 명명될 수 있다.Although the terms first, second, etc. are used in this disclosure to describe various members, regions, layers, portions, and/or components, these members, parts, regions, layers, portions, and/or components are referred to by these terms. It is obvious that it should not be limited by . These terms do not imply any particular order, superiority, inferiority, or superiority or inferiority, and are used only to distinguish one member, region, region, or component from another member, region, region, or component. Accordingly, the first member, region, portion, or component to be described in detail below may refer to the second member, region, portion, or component without departing from the teachings of the technical idea of the present disclosure. For example, a first component may be referred to as a second component without departing from the scope of the present disclosure, and similarly, the second component may also be referred to as a first component.
달리 정의되지 않는 한, 여기에 사용되는 모든 용어들은 기술 용어와 과학 용어를 포함하여 본 개시의 개념이 속하는 기술 분야에서 통상의 지식을 가진 자가 공통적으로 이해하고 있는 바와 동일한 의미를 지닌다. 또한, 통상적으로 사용되는, 사전에 정의된 바와 같은 용어들은 관련되는 기술의 맥락에서 이들이 의미하는 바와 일관되는 의미를 갖는 것으로 해석되어야 하며, 여기에 명시적으로 정의하지 않는 한 과도하게 형식적인 의미로 해석되어서는 아니 될 것이다.Unless otherwise defined, all terms used herein, including technical terms and scientific terms, have the same meaning as commonly understood by those skilled in the art in the technical field to which the concept of the present disclosure pertains. Additionally, commonly used terms, as defined in dictionaries, should be interpreted to have meanings consistent with what they mean in the context of the relevant technology, and should not be used in an overly formal sense unless explicitly defined herein. It should not be interpreted.
어떤 실시 예가 달리 구현 가능한 경우에 특정한 공정 순서 또는 과정 순서는 설명되는 순서와 다르게 수행될 수도 있다. 예를 들면, 연속하여 설명되는 두 공정 또는 과정이 실질적으로 동시에 수행될 수도 있고, 설명되는 순서와 반대의 순서로 수행될 수도 있다.In cases where an embodiment can be implemented differently, a specific process sequence or process sequence may be performed differently from the described sequence. For example, two processes or processes described in succession may be performed substantially simultaneously, or may be performed in an order opposite to the order in which they are described.
또한, 본 명세서에 기재된 "~부", "~기", "~자", "~모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 프로세서(Processor), 마이크로 프로세서(Micro Processer), 마이크로 컨트롤러(Micro Controller), CPU(Central Processing Unit), GPU(Graphics Processing Unit), APU(Accelerate Processor Unit), DSP(Drive Signal Processor), ASIC(Application Specific Integrated Circuit), FPGA(Field Programmable Gate Array) 등과 같은 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있으며, 적어도 하나의 기능이나 동작의 처리에 필요한 데이터를 저장하는 메모리(memory)와 결합되는 형태로 구현될 수도 있다.In addition, terms such as “unit”, “unit”, “unit”, and “module” used in this specification refer to a unit that processes at least one function or operation, which refers to a processor, micro Processor (Micro Processer), Micro Controller, CPU (Central Processing Unit), GPU (Graphics Processing Unit), APU (Accelerate Processor Unit), DSP (Drive Signal Processor), ASIC (Application Specific Integrated Circuit), FPGA It may be implemented as hardware or software, such as a Field Programmable Gate Array, or a combination of hardware and software, and may also be implemented in a form combined with a memory that stores data necessary for processing at least one function or operation. .
그리고, 본 명세서에서의 구성부들에 대한 구분은 각 구성부가 담당하는 주기능별로 구분한 것에 불과함을 명확히 하고자 한다. 즉, 이하에서 설명할 2개 이상의 구성부가 하나의 구성부로 합쳐지거나 또는 하나의 구성부가 보다 세분화된 기능별로 2개 이상으로 분화되어 구비될 수도 있다. 그리고 이하에서 설명할 구성부 각각은 자신이 담당하는 주기능 이외에도 다른 구성부가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성부 각각이 담당하는 주기능 중 일부 기능이 다른 구성부에 의해 전담되어 수행될 수도 있음은 물론이다.Additionally, we would like to clarify that the division of components in this specification is merely a division according to the main function each component is responsible for. That is, two or more components, which will be described below, may be combined into one component, or one component may be divided into two or more components for more detailed functions. In addition to the main functions it is responsible for, each of the components described below may additionally perform some or all of the functions handled by other components, and some of the main functions handled by each component may be performed by other components. Of course, it can also be carried out exclusively by .
여기에서 사용된 '및/또는' 용어는 언급된 부재들의 각각 및 하나 이상의 모든 조합을 포함한다.As used herein, the term 'and/or' includes each and every combination of one or more of the mentioned elements.
이하에서는 첨부한 도면들을 참조하여 본 개시의 기술적 사상에 의한 실시 예들에 대해 상세히 설명한다.Hereinafter, embodiments based on the technical idea of the present disclosure will be described in detail with reference to the attached drawings.
도 1은 본 개시의 실시 예에 따른 보안성이 향상된 원격 제어 서비스 제공 시스템을 개략적으로 나타낸 도면이다.1 is a diagram schematically showing a remote control service providing system with improved security according to an embodiment of the present disclosure.
본 명세서에서, 원격 제어 서비스는 원격 제어 응용 프로그램의 실행에 따라 제공되는 원격 제어 프로토콜을 통해, 단말기가 원거리에 위치한 타 단말기의 동작을 제어할 수 있도록 하는 서비스를 의미한다. 이러한 원격 제어 서비스는 다양한 사업자(서비스 제공자)들에 의해 제공될 수 있으며, 대표적으로 MS사의 원격 데스크톱 응용 프로그램 및 원격 데스크톱 프로토콜(RDP, Remote Desktop Protocol)이 존재하나, 본 개시의 실시 예가 MS사의 서비스에만 한정 적용되는 것은 아니다.In this specification, the remote control service refers to a service that allows a terminal to control the operation of another terminal located at a distance through a remote control protocol provided upon execution of a remote control application program. These remote control services may be provided by various operators (service providers), and representative examples include MS's remote desktop application and Remote Desktop Protocol (RDP), but the embodiment of the present disclosure is MS's service. It is not limited to application only.
도 1을 참조하면, 본 개시의 실시 예에 따른 원격 제어 서비스 제공 시스템은 제1 단말기(10), 제2 단말기(20), 및 보안 정책 서버(30)를 포함할 수 있다. 도 1에서는 각각 하나의 제1 단말기(10), 제2 단말기(20), 및 보안 정책 서버(30)가 도시되어 있으나, 상기 구성들은 복수 개일 수 있다.Referring to FIG. 1, a remote control service providing system according to an embodiment of the present disclosure may include a first terminal 10, a second terminal 20, and a security policy server 30. Although FIG. 1 shows one first terminal 10, a second terminal 20, and a security policy server 30, there may be a plurality of the configurations.
제1 단말기(10)는 제2 단말기(20)의 원격 제어를 위한 연결을 요청하는 클라이언트 단말기로서, 원격 제어 서비스를 통해 제2 단말기(20)의 동작을 원격으로 제어하고, 제2 단말기(20)에 출력되는 화면이나 음향을 제공받아 출력하는 장치에 해당할 수 있다. 그리고 제2 단말기(20)는 원격 제어 서비스를 통해 제1 단말기(10)에 원격 제어 권한을 제공하고, 출력되는 화면이나 음향을 제1 단말기(10)로 제공하는 원격 단말기에 해당할 수 있다. 제1 단말기(10) 및 제2 단말기(20) 각각은 PC, 노트북, 스마트폰, 태블릿 PC, 워크스테이션 등의 각종 고정형/이동형 단말기를 포함할 수 있다.The first terminal 10 is a client terminal that requests a connection for remote control of the second terminal 20, and remotely controls the operation of the second terminal 20 through a remote control service, and the second terminal 20 ) may correspond to a device that receives and outputs the screen or sound output. In addition, the second terminal 20 may correspond to a remote terminal that provides remote control rights to the first terminal 10 through a remote control service and provides an output screen or sound to the first terminal 10. Each of the first terminal 10 and the second terminal 20 may include various fixed/mobile terminals such as a PC, laptop, smartphone, tablet PC, and workstation.
보안 정책 서버(30)는 제1 단말기(10)와 제2 단말기(20) 사이에 제공되는 원격 제어 서비스에 대한 보안성을 향상시키기 위한 일련의 동작을 수행하는 서버에 해당할 수 있다.The security policy server 30 may correspond to a server that performs a series of operations to improve the security of the remote control service provided between the first terminal 10 and the second terminal 20.
도 2는 도 1에 도시된 시스템에 포함된 장치의 제어 구성을 나타낸 블록도이다.FIG. 2 is a block diagram showing the control configuration of a device included in the system shown in FIG. 1.
도 2에 도시된 장치(200)는 도 1의 제1 단말기(10), 제2 단말기(20), 또는 보안 정책 서버(30)에 해당할 수 있다. 도 2에는 장치(200)의 제어 구성에 대한 일례로서 통신부(210), 입력부(220), 출력부(230), 제어부(240), 및 메모리(250)가 도시되어 있으나, 제1 단말기(10), 제2 단말기(20), 또는 보안 정책 서버(30) 각각은 도 2에 도시된 구성보다 많거나 적은 구성들을 포함할 수도 있다.The device 200 shown in FIG. 2 may correspond to the first terminal 10, the second terminal 20, or the security policy server 30 of FIG. 1. 2 shows a communication unit 210, an input unit 220, an output unit 230, a control unit 240, and a memory 250 as an example of the control configuration of the device 200, but the first terminal 10 ), the second terminal 20, or the security policy server 30 may each include more or less configurations than those shown in FIG. 2.
통신부(210)는 장치(200)를 네트워크에 연결함으로써 다른 장치, 단말기나 서버 등과의 통신을 가능하게 하는 하나 이상의 통신 모듈을 포함할 수 있다. 예컨대 상기 통신 모듈은 이동통신 모듈, 유선 또는 무선 인터넷 모듈, 근거리 무선통신 모듈 등 기 공지된 다양한 방식의 유/무선 통신을 지원하는 모듈을 포함할 수 있다.The communication unit 210 may include one or more communication modules that enable communication with other devices, terminals, servers, etc. by connecting the device 200 to a network. For example, the communication module may include a module that supports various known types of wired/wireless communication, such as a mobile communication module, a wired or wireless Internet module, and a short-range wireless communication module.
입력부(220)는 사용자로부터 입력되는 정보, 영상 정보, 오디오 정보, 데이터 등의 입력을 위한 것으로서, 각종 기계식/전자식 입력 수단, 카메라, 마이크로폰 등과 같은 다양한 입력 수단을 포함할 수 있다. 출력부(230)는 시각, 청각, 또는 촉각 등과 관련된 출력을 발생시켜 사용자 등에게 정보를 제공하기 위한 것으로서, 디스플레이, 스피커, 햅틱 모듈 등을 포함할 수 있다.The input unit 220 is for inputting information, image information, audio information, data, etc. input from the user, and may include various input means such as various mechanical/electronic input means, cameras, microphones, etc. The output unit 230 is used to provide information to users by generating output related to vision, hearing, or tactile senses, and may include a display, speaker, haptic module, etc.
제어부(240)는 장치(200)의 전반적인 동작을 제어할 수 있다. 제어부(240)는 상술한 구성요소들을 통해 입력 또는 출력되는 신호, 데이터, 정보 등을 처리하거나, 메모리(250)에 저장된 각종 어플리케이션(application)을 구동함으로써 소정의 정보나 기능을 제공할 수 있다. The control unit 240 may control the overall operation of the device 200. The control unit 240 may process signals, data, information, etc. input or output through the above-described components, or provide certain information or functions by running various applications stored in the memory 250.
예컨대, 제어부(240)는 원격 제어 응용 프로그램(254)을 통해 제1 단말기(10)와 제2 단말기(20) 간의 원격 연결을 제공할 수 있다. 특히, 제어부(240)는 원격 데스크톱 연결 시, 보안 제어 어플리케이션(252)을 통해 보안성이 향상된 원격 제어 서비스를 제공할 수 있다. 본 개시의 실시 예에 따른 원격 제어 서비스의 보안성 향상을 위한 동작에 대해서는 추후 도 3 내지 도 4를 통해 구체적으로 설명한다.For example, the control unit 240 may provide a remote connection between the first terminal 10 and the second terminal 20 through the remote control application 254. In particular, the control unit 240 can provide a remote control service with improved security through the security control application 252 when connecting to a remote desktop. Operations for improving the security of a remote control service according to an embodiment of the present disclosure will be described in detail later with reference to FIGS. 3 and 4.
이러한 제어부(240)는 적어도 하나의 프로세서를 포함할 수 있고, 상기 프로세서는 CPU, AP(application processor), 집적 회로, 마이크로컴퓨터, ASIC(application specific integrated circuit), FPGA(field programmable gate array), 및/또는 NPU(neural processing unit) 등의 하드웨어로 구현될 수 있다.The control unit 240 may include at least one processor, which may include a CPU, an application processor (AP), an integrated circuit, a microcomputer, an application specific integrated circuit (ASIC), a field programmable gate array (FPGA), and /Or it may be implemented with hardware such as a neural processing unit (NPU).
메모리(250)는 장치(200)의 동작에 필요한 프로그램 및 데이터를 저장할 수 있다. 또한, 메모리(250)는 제어부(240)를 통해 생성되거나 획득된 데이터를 저장할 수 있다. 일례로, 메모리(250)에는 보안 제어 어플리케이션(252), 원격 제어 응용 프로그램(254) 등 다양한 어플리케이션 및 데이터가 저장될 수 있다. The memory 250 can store programs and data necessary for the operation of the device 200. Additionally, the memory 250 may store data generated or acquired through the control unit 240. For example, the memory 250 may store various applications and data, such as a security control application 252 and a remote control application 254.
메모리(250)는 롬(ROM), 램(RAM), 플래시 메모리, SSD, HDD 등의 저장 매체 또는 저장 매체들의 조합으로 구성될 수 있다.The memory 250 may be composed of a storage medium such as ROM, RAM, flash memory, SSD, or HDD, or a combination of storage media.
도 3 및 도 4는 본 개시의 예시적 실시 예에 따른 원격 제어 서비스의 보안성 향상을 위한 제어 방법을 설명하기 위한 래더 다이어그램이다.3 and 4 are ladder diagrams for explaining a control method for improving security of a remote control service according to an exemplary embodiment of the present disclosure.
본 개시의 실시 예에 따른 보안 제어 어플리케이션(252)은, 장치(200)의 제어부(240)에 의해 로드되어 실행됨으로써 소정의 동작을 수행하는 어플리케이션이다. 즉, 보안 제어 어플리케이션(252)은 하드웨어인 컴퓨터(단말기 또는 서버)와 결합되어, 본 개시의 실시 예들에 따른 제1 단말기(10), 제2 단말기(20), 또는 보안 정책 서버(30)의 원격 제어 서비스의 보안성 향상을 위한 제어 동작을 수행할 수 있다. 그리고, 장치(10, 20, 30) 각각에서, 보안 제어 어플리케이션(252)의 구체적인 동작은 상이할 수 있다. 이하 명세서에서는 본 개시의 실시 예에 따른 원격 제어 서비스의 보안성 향상을 위한 제어 동작들의 주체가 제1 단말기(10), 제2 단말기(20), 또는 보안 정책 서버(30)인 것으로 기재하였으나, 이러한 제어 동작들은 각각의 장치가 보안 제어 어플리케이션(252)을 실행함으로써 수행될 수 있다.The security control application 252 according to an embodiment of the present disclosure is an application that is loaded and executed by the control unit 240 of the device 200 to perform a predetermined operation. In other words, the security control application 252 is combined with a computer (terminal or server) as hardware, and operates as the first terminal 10, the second terminal 20, or the security policy server 30 according to embodiments of the present disclosure. Control operations can be performed to improve the security of remote control services. And, in each of the devices 10, 20, and 30, the specific operation of the security control application 252 may be different. In the following specification, the subject of control operations for improving the security of the remote control service according to the embodiment of the present disclosure is described as the first terminal 10, the second terminal 20, or the security policy server 30. These control operations can be performed by each device executing the security control application 252.
이에 기초하여 도 3 내지 도 4를 참조하면, 제2 단말기(20)는 원격 제어 서비스를 비활성화하고(S300), 사용자가 다른 단말기를 통해 제2 단말기(20)의 원격 제어 서비스를 활성화하기 위한 서비스 인증 정보를 보안 정책 서버(300)로 전송할 수 있다(S305).Based on this, referring to FIGS. 3 and 4, the second terminal 20 deactivates the remote control service (S300), and the user activates the remote control service of the second terminal 20 through another terminal. Authentication information may be transmitted to the security policy server 300 (S305).
원격 제어 응용 프로그램(254)은 제2 단말기(20)가 다른 단말기로 제2 단말기(20)의 제어 권한을 제공하고, 제2 단말기(20)에 출력되는 화면이나 음향을 다른 단말기로 제공하는 서비스인 바, 보안의 확보가 매우 중요할 수 있다. 그러나, 원격 제어 프로토콜을 제공하는 원격 제어 응용 프로그램(254)에 보안 취약점이 존재할 경우, 원격 제어 프로토콜의 보안성이 저하되며 제2 단말기(20)에 저장된 중요 정보가 유출되는 등의 문제가 발생할 수 있다.The remote control application 254 is a service in which the second terminal 20 provides control rights of the second terminal 20 to another terminal and provides the screen or sound output from the second terminal 20 to the other terminal. In fact, ensuring security can be very important. However, if a security vulnerability exists in the remote control application 254 that provides the remote control protocol, the security of the remote control protocol may deteriorate and problems such as leakage of important information stored in the second terminal 20 may occur. there is.
따라서, 제2 단말기(20)는 기본적으로 원격 제어 서비스를 비활성화하여, 허가되지 않은 사용자 등이 원격 제어 서비스를 통해 제2 단말기(20)로 접속하는 것을 차단할 수 있다. 예컨대, 제2 단말기(20)는 원격 제어 프로토콜을 구동하기 위한 서비스를 중단하거나, 원격 제어 프로토콜에 대한 통신 포트를 차단하도록 방화벽(firewall)의 정책을 설정할 수 있다. 또는, 제2 단말기(20)는 원격 제어 응용 프로그램(254) 프로세스(예컨대 mstsc.exe 등)의 실행을 차단할 수도 있다.Accordingly, the second terminal 20 can basically disable the remote control service to block unauthorized users from accessing the second terminal 20 through the remote control service. For example, the second terminal 20 may stop a service for running a remote control protocol or set a firewall policy to block a communication port for the remote control protocol. Alternatively, the second terminal 20 may block execution of the remote control application 254 process (eg, mstsc.exe, etc.).
다만, 제2 단말기(20)의 사용자는, 상기 사용자 또는 허가된 다른 사용자의 다른 단말기를 통해서는 제2 단말기(20)와의 원격 제어 서비스를 이용하고자 할 수 있다. 이에 따라, 제2 단말기(20)는 허가된 사용자로 하여금 비활성화된 원격 제어 서비스를 활성화할 수 있도록 하는 서비스 인증 정보를 보안 정책 서버(30)로 전송할 수 있다. 도 1에서는 S305 단계가 S300 단계 이후에 수행되는 것으로 도시되어 있으나, S305 단계는 보안 제어 어플리케이션(252)의 최초 실행 시 수행될 수도 있고, 사용자의 설정 동작 등에 응답하여 수행되는 등 다양한 시점이나 상황에서 수행될 수 있다.However, the user of the second terminal 20 may wish to use the remote control service with the second terminal 20 through another terminal of the user or another authorized user. Accordingly, the second terminal 20 may transmit service authentication information that allows an authorized user to activate a deactivated remote control service to the security policy server 30. In Figure 1, step S305 is shown as being performed after step S300, but step S305 may be performed when the security control application 252 is first run, or may be performed at various times or situations, such as in response to a user's setting operation, etc. It can be done.
상기 서비스 인증 정보는 사용자 및/또는 단말기 식별을 위한 고유 정보로서, 상기 사용자의 ID, 사번, 및/또는 성명이나 제2 단말기(20)의 ID 등을 포함할 수 있다. 보안 정책 서버(30)는 제2 단말기(20)로부터 전송된 상기 서비스 인증 정보를 저장부(250) 또는 DB 등에 저장할 수 있다.The service authentication information is unique information for user and/or terminal identification, and may include the user's ID, employee number, and/or name, or the ID of the second terminal 20. The security policy server 30 may store the service authentication information transmitted from the second terminal 20 in the storage unit 250 or a DB.
한편, 제1 단말기(10)는 원격 제어 서비스 제공 요청을 수신하고(S310), 원격 제어 서비스를 이용하기 위한 식별 정보를 보안 정책 서버(30)로 전송할 수 있다(S315).Meanwhile, the first terminal 10 may receive a remote control service provision request (S310) and transmit identification information for using the remote control service to the security policy server 30 (S315).
제1 단말기(10)의 사용자는 원격 제어 응용 프로그램(254)을 실행하고, 제2 단말기(20)로의 원격 접속을 위한 사용자 입력 동작을 수행할 수 있다. 제1 단말기(10)는 상기 일련의 사용자 입력 동작에 따른 원격 제어 서비스 제공 요청을 수신하고, 원격 제어 서비스의 이용을 위한 식별 정보를 보안 정책 서버(30)로 전송할 수 있다. 예컨대 상기 식별 정보는 사용자의 고유 정보(ID, 사번, 성명 등) 및 제1 단말기(10)의 IP 주소, ID 등을 포함할 수 있다.The user of the first terminal 10 may run the remote control application 254 and perform a user input operation for remote access to the second terminal 20. The first terminal 10 may receive a remote control service provision request according to the series of user input operations and transmit identification information for use of the remote control service to the security policy server 30. For example, the identification information may include the user's unique information (ID, employee number, name, etc.) and the IP address and ID of the first terminal 10.
보안 정책 서버(30)는 수신된 식별 정보에 기초하여, 제1 단말기(10)에 매칭되는 제2 단말기(20)를 식별할 수 있다(S320).The security policy server 30 may identify the second terminal 20 matching the first terminal 10 based on the received identification information (S320).
보안 정책 서버(30)는 수신된 식별 정보에 기초하여, 제1 단말기(10)가 원격 접속할 수 있도록 매칭된 제2 단말기(20)를 식별할 수 있다. 구체적으로, 보안 정책 서버(30)는 메모리(250) 또는 DB에 저장된 원격 단말기별 서비스 인증 정보(S315 단계에 따라 수신되어 저장됨) 중, 제1 단말기(10)로부터 수신된 식별 정보와 일치 또는 매칭되는 정보를 갖는 원격 단말기(제2 단말기(20))를 상기 매칭되는 단말기로서 식별할 수 있다. 예컨대, 보안 정책 서버(30)는 메모리(250) 또는 DB에 저장된 원격 단말기별 사용자의 ID 중, 제1 단말기(10)로부터 수신된 식별 정보에 포함된 사용자의 ID와 일치하는 ID를 갖는 제2 단말기(20)를 상기 매칭되는 단말기로서 식별할 수 있다.Based on the received identification information, the security policy server 30 may identify the matched second terminal 20 so that the first terminal 10 can remotely access it. Specifically, the security policy server 30 matches the identification information received from the first terminal 10 among the service authentication information for each remote terminal (received and stored in step S315) stored in the memory 250 or the DB. A remote terminal (second terminal 20) with matching information can be identified as the matching terminal. For example, the security policy server 30 may select a second user ID that matches the user ID included in the identification information received from the first terminal 10 among the user IDs for each remote terminal stored in the memory 250 or the DB. The terminal 20 may be identified as the matching terminal.
한편, 매칭된 단말기가 식별되지 않는 경우, 보안 정책 서버(30)는 제1 단말기(10)로 식별 정보의 재전송을 요청하거나, 원격 제어 서비스의 이용을 허가하지 않을 수 있다. Meanwhile, if the matched terminal is not identified, the security policy server 30 may request retransmission of identification information to the first terminal 10 or may not permit use of the remote control service.
보안 정책 서버(30)는 식별된 제2 단말기(20)로 제1 단말기(10)가 접속할 수 있도록 하기 위한 포트 정보를 생성하고(S325), 생성된 포트 정보 및 원격 제어 서비스 활성화 명령을 제2 단말기(20)로 전송할 수 있다(S330).The security policy server 30 generates port information to enable the first terminal 10 to access the identified second terminal 20 (S325), and sends the generated port information and remote control service activation command to the second terminal 20. It can be transmitted to the terminal 20 (S330).
TCP/UDP 통신에서는 포트 번호를 이용하여 단말기 내의 어떤 프로그램에게 데이터를 전달할지를 식별할 수 있다. 제2 단말기(20)의 포트 번호들 중 일부는 다른 프로그램들에 의해 사용되고 있으나, 나머지 일부는 사용되고 있지 않은 상태일 수 있다.In TCP/UDP communication, the port number can be used to identify which program in the terminal data will be delivered to. Some of the port numbers of the second terminal 20 may be used by other programs, while others may be unused.
보안 정책 서버(30)는 제2 단말기(20)에서 사용되고 있지 않은 포트 번호들 중 어느 하나의 포트 번호에 대응하는 포트 정보를 생성할 수 있다. 이를 위해, 제2 단말기(20)는 보안 정책 서버(30)로 현재 사용되고 있지 않은 포트 번호들에 대한 정보를 제공할 수도 있다. 예컨대 상기 어느 하나의 포트 번호는 랜덤으로 선택될 수 있으나, 이에 한정되는 것은 아니고 다양한 방식에 따라 선택될 수 있다. 보안 정책 서버(30)는 생성된 포트 정보 및 원격 제어 서비스 활성화 명령을 제2 단말기(20)로 전송할 수 있다.The security policy server 30 may generate port information corresponding to one of the port numbers that are not being used in the second terminal 20. To this end, the second terminal 20 may provide information about port numbers that are not currently in use to the security policy server 30. For example, any one of the port numbers may be selected at random, but the port number is not limited to this and may be selected according to various methods. The security policy server 30 may transmit the generated port information and remote control service activation command to the second terminal 20.
실시 예에 따라, 보안 정책 서버(30)는 상기 포트 정보 및 원격 제어 서비스 활성화 명령 외에, 제1 단말기(10)의 IP 주소 정보를 제2 단말기(20)로 더 전송할 수 있다. 이는 제2 단말기(20)로 하여금 제1 단말기(10)만이 상기 포트 정보에 대응하는 포트 번호로 접속할 수 있도록 하기 위함이다.Depending on the embodiment, the security policy server 30 may further transmit IP address information of the first terminal 10 to the second terminal 20 in addition to the port information and remote control service activation command. This is to allow the second terminal 20 to connect only the first terminal 10 to the port number corresponding to the port information.
제2 단말기(20)는 수신된 포트 정보 및 원격 제어 서비스 활성화 명령에 기초하여, 비활성화된 원격 제어 서비스를 활성화할 수 있다(S335).The second terminal 20 may activate the deactivated remote control service based on the received port information and the remote control service activation command (S335).
예컨대, 제2 단말기(20)는 수신된 포트 정보에 대응하는 포트 번호로 원격 제어 프로토콜 접속이 이루어지도록 레지스트리 정보 또는 포트 설정 정보를 수정할 수 있다. 또한, 제2 단말기(20)는 제1 단말기(10)의 IP 주소 및 상기 포트 번호로의 원격 제어 서비스와 관련된 통신을 허용하도록 방화벽의 원격 제어 서비스 관련 정책을 설정할 수 있다. 이 후, 제2 단말기(20)의 원격 제어 서비스(원격 데스크톱 서비스(remote desktop service) 등)가 실행됨으로써, 제2 단말기(20)의 원격 제어 서비스가 활성화될 수 있다.For example, the second terminal 20 may modify registry information or port setting information so that a remote control protocol connection is established using a port number corresponding to the received port information. Additionally, the second terminal 20 may set a remote control service-related policy of the firewall to allow communication related to the remote control service to the IP address and port number of the first terminal 10. Afterwards, the remote control service (remote desktop service, etc.) of the second terminal 20 is executed, so that the remote control service of the second terminal 20 may be activated.
한편, 보안 정책 서버(30)는 생성된 포트 정보를 포함하는 제2 단말기 접속 정보를 제1 단말기(10)로 전송할 수 있다(S340).Meanwhile, the security policy server 30 may transmit the second terminal connection information including the generated port information to the first terminal 10 (S340).
제1 단말기(10)는 수신된 제2 단말기 접속 정보에 기초하여 제2 단말기(20)로 접속하고(S345), 접속 성공 시 제1 단말기(10)와 제2 단말기(20) 간의 원격 제어 서비스가 제공될 수 있다(S350).The first terminal 10 connects to the second terminal 20 based on the received second terminal connection information (S345), and when the connection is successful, a remote control service is provided between the first terminal 10 and the second terminal 20. may be provided (S350).
예컨대, 상기 제2 단말기 접속 정보는 상기 생성된 포트 정보, 및 제2 단말기(20)의 IP 주소 정보를 포함할 수 있다.For example, the second terminal connection information may include the created port information and IP address information of the second terminal 20.
제1 단말기(10)는 수신된 제2 단말기 접속 정보에 기초하여, 제2 단말기(20)로 상기 포트 정보에 해당하는 포트 번호로의 접속 요청을 전송할 수 있다. 제2 단말기(20)는 상기 포트 번호를 통해 제1 단말기(10)의 접속 요청이 수신되는 경우 접속을 허가할 수 있다. 실시 예에 따라, 제2 단말기(20)는 상기 접속 요청이 수신되는 경우 상기 제1 단말기(10)의 IP 주소를 확인한 후 접속을 허가할 수도 있다.The first terminal 10 may transmit a connection request to the port number corresponding to the port information to the second terminal 20 based on the received second terminal connection information. The second terminal 20 may permit a connection when a connection request from the first terminal 10 is received through the port number. Depending on the embodiment, when the connection request is received, the second terminal 20 may allow the connection after checking the IP address of the first terminal 10.
제1 단말기(10)가 제2 단말기(20)에 접속함에 따라 원격 제어 서비스가 제공되고, 제1 단말기(10)는 제2 단말기(20)의 출력부(230)를 통해 출력되는 화면 및/또는 음향에 해당하는 데이터를 수신하여 출력하고, 제1 단말기(10)의 입력부(220)를 통해 수신되는 사용자 입력을 제2 단말기(20)로 전송할 수 있다.As the first terminal 10 connects to the second terminal 20, a remote control service is provided, and the first terminal 10 displays a screen and/or output through the output unit 230 of the second terminal 20. Alternatively, data corresponding to sound may be received and output, and user input received through the input unit 220 of the first terminal 10 may be transmitted to the second terminal 20.
한편 도 4를 참조하면, 제1 단말기(10)는 원격 제어 서비스 종료 요청을 수신하고(S400), 수신된 요청에 응답하여 제2 단말기(20)로의 접속을 종료할 수 있다(S410).Meanwhile, referring to FIG. 4, the first terminal 10 may receive a remote control service termination request (S400) and terminate the connection to the second terminal 20 in response to the received request (S410).
제1 단말기(10)의 사용자는 원격 제어 서비스의 이용 완료 후, 입력부(220) 등을 통해 원격 제어 응용 프로그램(254)의 실행 종료 요청, 또는 제2 단말기(20)와의 접속 종료 요청을 입력할 수 있다. 즉, 제1 단말기(10)는 상기 실행 종료 요청 또는 접속 종료 요청에 해당하는 원격 제어 서비스 종료 요청을 입력부(220) 등을 통해 수신할 수 있다.After completing use of the remote control service, the user of the first terminal 10 may input a request to terminate execution of the remote control application 254 or a request to terminate connection with the second terminal 20 through the input unit 220. You can. That is, the first terminal 10 may receive a remote control service termination request corresponding to the execution termination request or connection termination request through the input unit 220, etc.
제1 단말기(10)는 수신된 원격 제어 서비스 종료 요청에 응답하여 제2 단말기(20)로의 접속을 종료할 수 있다. 예컨대, 제1 단말기(10)의 보안 제어 어플리케이션(252)은 원격 제어 응용 프로그램(254)의 종료를 감지하거나, 원격 제어 서비스의 제공 중 사용되는 포트의 통신을 모니터링하여 통신 종료를 감지함으로써, 원격 제어 서비스의 종료를 감지할 수 있다. 제1 단말기(10)는 원격 제어 서비스의 종료를 감지함에 따라, 접속 종료 정보를 보안 정책 서버(30)로 전송할 수 있다. 상기 접속 종료 정보는 원격 단말기인 제2 단말기(20)의 정보를 포함할 수 있다.The first terminal 10 may terminate the connection to the second terminal 20 in response to the received remote control service termination request. For example, the security control application 252 of the first terminal 10 detects termination of the remote control application 254 or detects termination of communication by monitoring communication of the port used while providing the remote control service, thereby The termination of the control service can be detected. As the first terminal 10 detects termination of the remote control service, it may transmit connection termination information to the security policy server 30. The connection termination information may include information about the second terminal 20, which is a remote terminal.
실시 예에 따라, 상기 원격 제어 서비스 종료 요청은 제2 단말기(20)로 수신될 수 있고, 제2 단말기(20)는 상술한 제1 단말기(10)의 동작과 유사하게, 접속 종료 정보를 보안 정책 서버(30)로 전송할 수 있다.Depending on the embodiment, the remote control service termination request may be received by the second terminal 20, and the second terminal 20 secures the connection termination information, similar to the operation of the first terminal 10 described above. It can be transmitted to the policy server 30.
제1 단말기(10)(또는 제2 단말기(20))는 상기 원격 제어 서비스 종료 요청에 따라 접속이 종료되면, 접속 종료를 알리는 정보(접속 종료 정보)를 보안 정책 서버(30)로 전송할 수 있다(S420). 보안 정책 서버(30)는 수신된 접속 종료 정보에 응답하여 원격 제어 서비스 비활성화 명령을 제2 단말기(20)로 전송하고(S430), 제2 단말기(20)는 수신된 명령에 응답하여 원격 제어 서비스를 비활성화할 수 있다(S440).When the connection is terminated according to the remote control service termination request, the first terminal 10 (or the second terminal 20) may transmit information notifying the termination of the connection (connection termination information) to the security policy server 30. (S420). The security policy server 30 transmits a remote control service deactivation command to the second terminal 20 in response to the received connection termination information (S430), and the second terminal 20 activates the remote control service in response to the received command. can be disabled (S440).
제2 단말기(20)는 수신된 명령에 응답하여, 도 3의 실시 예에서 원격 제어 서비스의 제공 시 사용되었던 포트에 대한 통신 허용을 해제하도록 레지스트리 정보 또는 포트 설정 정보를 수정하고, 원격 제어 프로토콜을 구동하기 위한 서비스를 중단할 수 있다. 또는, 제2 단말기(20)는 원격 제어 서비스와 관련된 통신을 허용하도록 설정되었던 방화벽의 정책을 삭제할 수 있다. 또는, 제2 단말기(20)는 원격 제어 응용 프로그램 프로세스(예컨대 mstsc.exe 등)의 실행을 다시 차단할 수 있다. 상술한 동작들 중 적어도 하나를 통해, 제2 단말기(20)는 원격 제어 서비스를 비활성화할 수 있다.In response to the received command, the second terminal 20 modifies the registry information or port setting information to disable communication permission for the port used when providing the remote control service in the embodiment of FIG. 3, and configures the remote control protocol. Services to run can be stopped. Alternatively, the second terminal 20 may delete the firewall policy that was set to allow communication related to the remote control service. Alternatively, the second terminal 20 may again block execution of the remote control application process (eg, mstsc.exe, etc.). Through at least one of the above-described operations, the second terminal 20 may deactivate the remote control service.
도 3 내지 도 4에 도시된 실시 예에 따르면, 제2 단말기(20)(원격 단말기)는 기본적으로 원격 제어 서비스를 비활성화함으로써 타 단말기의 접속을 효과적으로 차단할 수 있고, 허가된 사용자의 제1 단말기(10)(클라이언트 단말기)가 접속하고자 할 때는 원격 제어 서비스를 활성화함으로써 원활한 원격 제어 서비스를 제공할 수 있다. 따라서, 허가받지 않은 사용자나 단말기가 원격 제어 응용 프로그램 및 원격 제어 프로토콜을 통해 원격 단말기에 무단으로 접속하는 것이 효과적으로 차단되어, 보안성이 향상된 원격 제어 서비스가 제공될 수 있다.According to the embodiment shown in FIGS. 3 and 4, the second terminal 20 (remote terminal) can effectively block access to other terminals by basically disabling the remote control service, and the first terminal ( 10) When (client terminal) wants to connect, a smooth remote control service can be provided by activating the remote control service. Accordingly, unauthorized users or terminals are effectively blocked from accessing the remote terminal through the remote control application and remote control protocol, and a remote control service with improved security can be provided.
도 5는 본 개시의 실시 예에 따른 원격 제어 서비스의 보안성 향상을 위한 방법이 구현된 시스템의 예로서, 가상 사설망을 이용한 원격 업무 시스템을 나타낸 도면이다.Figure 5 is a diagram illustrating a remote work system using a virtual private network as an example of a system in which a method for improving security of a remote control service according to an embodiment of the present disclosure is implemented.
최근 통신 및 클라우드 컴퓨팅 기술의 발전과 코로나19로 인한 언택트(untact)와 같은 사회적 환경에 의해, 업무 장소가 사내로 국한되지 않고 다양한 장소에서 이루어지는 업무 형태, 즉 원격 업무(원격지 업무)의 비율이 증가하고 있다. 이러한 원격 업무 시스템은 근무자 등이 사내에 위치하지 않을 때 사내망(600)에 존재하는 단말기(630)의 사용이 불가능하므로, 원격지(가정 등)의 PC나 노트북 등과 같은 단말기(500)를 이용하여 사내망(600)의 데이터 관리 시스템(620) 등에 접속하여 업무를 수행할 수 있는 시스템을 의미할 수 있다.Due to recent developments in communication and cloud computing technology and the social environment such as untact due to COVID-19, the workplace is not limited to the company and is a form of work performed in various locations, that is, the proportion of remote work (remote work) has increased. It is increasing. In this remote work system, it is impossible to use the terminal 630 existing in the company network 600 when workers, etc. are not located in the company, so using a terminal 500 such as a PC or laptop in a remote location (home, etc.) It may refer to a system that can perform work by accessing the data management system 620 of the internal network 600.
사내망(600)에는 허가된 사용자의 단말기(500)만이 접속가능하여야 한다. 이를 위해, 외부의 단말기는 VPN(virtual private network)(800)이나 전용 사설망을 통해 사내망(600)에 접속할 수 있다. 전용 사설망의 경우 비용 등의 측면에서 비효율적인 바, 원격 업무 시스템은 대부분 사내망(600)에 VPN 장비(예컨대 VPN 게이트웨이(610) 등)를 구비함으로써 VPN을 통한 접속 방식을 채택하고 있다. 허가된 사용자의 단말기(500)는 사내망(600)의 VPN 게이트웨이(610)로의 접속을 위한 VPN 어플리케이션이 설치된 VPN 클라이언트에 해당한다. 단말기(500)는 VPN 어플리케이션의 실행에 따라 할당되는 IP 주소를 이용하여 사내망(600)으로의 접속을 요청하고, 사내망(600)의 VPN 게이트웨이(610)는 접속 요청에 포함된 IP 주소에 기초하여 접속을 허가하거나 불가할 수 있다. Only authorized users' terminals 500 must be able to access the internal network 600. To this end, an external terminal can access the internal network 600 through a virtual private network (VPN) 800 or a dedicated private network. Since dedicated private networks are inefficient in terms of cost, etc., most remote work systems adopt a VPN connection method by equipping the internal network 600 with VPN equipment (e.g., VPN gateway 610, etc.). The authorized user's terminal 500 corresponds to a VPN client installed with a VPN application for connection to the VPN gateway 610 of the internal network 600. The terminal 500 requests connection to the internal network 600 using the IP address assigned according to the execution of the VPN application, and the VPN gateway 610 of the internal network 600 responds to the IP address included in the connection request. Based on this, access may be permitted or denied.
한편, 일반적으로 사내망(600)에는 데이터의 유출이나 해킹 등 각종 보안 위협을 방지하기 위한 높은 수준의 보안 관리 솔루션(DLP(data loss prevention), DRM(digital rights management) 등)이 구축되어 있을 수 있다. 반면, 외부의 단말기(500), 예컨대 가정의 개인용 PC 등에 대한 보안 관리 수준은 사내망(600)에 비해 상대적으로 낮을 수 있다. 따라서, 공격자는 이러한 단말기(500)의 보안 취약점을 이용하여 단말기(500) 및 VPN(800)을 통해 사내망(600)에 대한 사이버 공격을 시도할 수 있다. 또한, 단말기(500)가 원격 제어 서비스를 통해 사내망(600)의 단말기(630)에 접속하는 경우, 원격 제어 응용 프로그램의 보안 취약점으로 인해 사내망(600)의 보안 문제가 발생할 수도 있다.Meanwhile, in general, the internal network 600 may be equipped with a high-level security management solution (data loss prevention (DLP), digital rights management (DRM), etc.) to prevent various security threats such as data leakage or hacking. there is. On the other hand, the security management level for external terminals 500, such as personal PCs at home, may be relatively low compared to the internal network 600. Accordingly, an attacker may attempt a cyber attack on the corporate network 600 through the terminal 500 and VPN 800 by exploiting the security vulnerability of the terminal 500. Additionally, when the terminal 500 connects to the terminal 630 of the internal network 600 through a remote control service, security problems in the internal network 600 may occur due to security vulnerabilities in the remote control application.
이에 따라, 단말기(500), 사내망(600)의 단말기(630), 및 보안 정책 서버(700)는 도 3 내지 도 4에서 상술한 바와 같은 보안성이 향상된 원격 제어 서비스를 제공함으로써, 사내망(600)에 대한 보안성을 효과적으로 향상시킬 수 있다. Accordingly, the terminal 500, the terminal 630 of the internal network 600, and the security policy server 700 provide a remote control service with improved security as described above in FIGS. 3 and 4, thereby The security of (600) can be effectively improved.
전술한 본 발명은, 프로그램이 기록된 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는, 컴퓨터 시스템에 의하여 읽힐 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등을 포함한다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.The above-described present invention can be implemented as computer-readable code on a recording medium on which a program is recorded. Computer-readable recording media include all types of recording devices that store data that can be read by a computer system. Examples of computer-readable media include HDD (Hard Disk Drive), SSD (Solid State Disk), SDD (Silicon Disk Drive), ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage device, etc. Includes. Accordingly, the above detailed description should not be construed as restrictive in all respects and should be considered illustrative. The scope of the present invention should be determined by reasonable interpretation of the appended claims, and all changes within the equivalent scope of the present invention are included in the scope of the present invention.
Claims (11)
클라이언트 단말기 및 원격 단말기와 각각 연결되는 보안 정책 서버가, 원격 제어 서비스 제공 요청이 수신된 상기 클라이언트 단말기로부터 식별 정보를 수신하는 단계;
수신된 식별 정보에 기초하여 상기 클라이언트 단말기에 매칭되는 상기 원격 단말기를 식별하는 단계 - 상기 원격 단말기는 원격 제어 서비스가 비활성화된 상태이고, 상기 원격 제어 서비스의 비활성화는 상기 원격 단말기에 의해 수행되며, 상기 원격 제어 서비스의 비활성화는 원격 제어 프로토콜을 구동하기 위한 서비스를 중단하고, 원격 제어 프로토콜에 대한 통신 포트를 차단하도록 방화벽(firewall)의 정책을 설정하고, 원격 제어 응용프로그램 프로세스의 실행을 차단함으로써 수행됨;
상기 클라이언트 단말기를 상기 식별된 원격 단말기로 접속시기 위한 포트 정보를 생성하는 단계;
생성된 포트 정보 및 원격 제어 서비스 활성화 명령을 상기 식별된 원격 단말기로 전송하는 단계;
상기 포트 정보를 포함하는 원격 단말기 접속 정보를 상기 클라이언트 단말기로 전송하는 단계; 및
상기 클라이언트 단말기와 상기 원격 단말기의 접속에 기초하여 원격 제어 서비스가 제공되는 단계를 포함하는,
방법.
In a control method for improving the security of remote control services,
A security policy server connected to a client terminal and a remote terminal, respectively, receiving identification information from the client terminal that has received a remote control service provision request;
Identifying the remote terminal matching the client terminal based on received identification information, wherein the remote terminal is in a state in which the remote control service is deactivated, and deactivation of the remote control service is performed by the remote terminal, Disabling the remote control service is accomplished by stopping the service for running the remote control protocol, setting a policy on the firewall to block the communication port for the remote control protocol, and blocking the execution of the remote control application process;
generating port information for connecting the client terminal to the identified remote terminal;
transmitting the generated port information and remote control service activation command to the identified remote terminal;
transmitting remote terminal access information including the port information to the client terminal; and
Comprising the step of providing a remote control service based on the connection between the client terminal and the remote terminal,
method.
상기 식별 정보는 상기 클라이언트 단말기 또는 사용자와 관련된 적어도 하나의 고유 정보를 포함하는,
방법.
According to paragraph 1,
The identification information includes at least one unique information related to the client terminal or user,
method.
상기 클라이언트 단말기에 매칭되는 원격 단말기를 식별하는 단계는,
복수의 원격 단말기 각각에 대해 저장된 서비스 인증 정보 중, 상기 클라이언트 단말기로부터 수신된 식별 정보 내의 고유 정보와 일치 또는 매칭되는 정보를 갖는 원격 단말기를, 상기 클라이언트 단말기에 매칭되는 원격 단말기로 식별하는 단계를 포함하는,
방법.
According to paragraph 2,
The step of identifying a remote terminal matching the client terminal,
Among the service authentication information stored for each of a plurality of remote terminals, identifying a remote terminal having information that matches or matches unique information in the identification information received from the client terminal as a remote terminal matching the client terminal. doing,
method.
상기 포트 정보를 생성하는 단계는,
상기 원격 단말기에서 사용되고 있지 않은 포트 번호들 중 어느 하나를 랜덤 선택하는 단계; 및
랜덤 선택된 어느 하나의 포트 번호를 포함하는 상기 포트 번호를 생성하는 단계를 포함하는,
방법.
According to paragraph 1,
The step of generating the port information is,
randomly selecting one of port numbers that are not being used in the remote terminal; and
Comprising the step of generating the port number including any one randomly selected port number,
method.
상기 포트 정보 및 원격 제어 서비스 활성화 명령에 응답하여 상기 원격 단말기의 원격 제어 서비스를 활성화하는 단계를 더 포함하고,
상기 활성화하는 단계는,
상기 원격 단말기가, 상기 포트 정보에 대응하는 포트 번호를 통해 상기 클라이언트 단말기의 접속이 가능하도록 레지스트리 정보 또는 포트 설정 정보를 수정하는 단계; 및
상기 포트 번호로의 원격 제어 서비스와 관련된 통신을 허용하도록 방화벽(firewall)의 정책을 설정하는 단계를 포함하는,
방법.
According to paragraph 1,
Activating a remote control service of the remote terminal in response to the port information and a remote control service activation command,
The activating step is,
Modifying, by the remote terminal, registry information or port setting information to enable connection to the client terminal through a port number corresponding to the port information; and
Including setting a policy on a firewall to allow communication related to a remote control service to the port number,
method.
상기 원격 단말기 접속 정보에 기초하여 상기 클라이언트 단말기가 상기 원격 단말기로 접속하는 단계를 더 포함하고,
상기 접속하는 단계는,
상기 클라이언트 단말기가, 상기 원격 단말기 접속 정보에 포함된 상기 포트 정보에 기초하여, 설치된 원격 제어 응용 프로그램을 구동시키는 단계를 포함하는,
방법.
According to clause 5,
Further comprising the step of the client terminal connecting to the remote terminal based on the remote terminal connection information,
The connection step is,
Comprising the step of, by the client terminal, running an installed remote control application program based on the port information included in the remote terminal connection information.
method.
생성된 포트 정보 및 원격 제어 서비스 활성화 명령을 상기 식별된 원격 단말기로 전송하는 단계는,
상기 포트 정보, 원격 제어 서비스 활성화 명령, 및 상기 클라이언트 단말기의 IP 주소 정보 및 상기 포트 정보에 해당하는 포트 번호로의 접속 요청을 상기 원격 단말기로 전송하는 단계를 포함하고,
상기 클라이언트 단말기가 상기 원격 단말기로 접속하는 단계는,
상기 접속 요청에 응답하여, 상기 원격 단말기의 원격 제어 응용 프로그램에 의해 상기 클라이언트 단말기의 IP 주소와 상기 수신한 IP 주소 정보가 일치함이 확인되는 경우, 상기 클라이언트 단말기가 상기 원격 단말기와 접속하는 단계를 포함하는,
방법.
According to clause 6,
The step of transmitting the generated port information and remote control service activation command to the identified remote terminal,
Transmitting the port information, a remote control service activation command, and a connection request to the port number corresponding to the IP address information and the port information of the client terminal to the remote terminal,
The step of the client terminal connecting to the remote terminal is,
In response to the connection request, when the remote control application of the remote terminal confirms that the IP address of the client terminal matches the received IP address information, the client terminal connects to the remote terminal. containing,
method.
상기 원격 제어 서비스의 종료를 감지하는 단계; 및
감지 결과에 기초한 접속 종료 정보를 보안 정책 서버로 전송하는 단계를 더 포함하고,
상기 원격 제어 서비스의 종료를 감지하는 단계는,
상기 원격 제어 서비스와 관련된 원격 제어 응용 프로그램의 종료를 감지하는 단계; 또는
상기 포트 정보에 해당하는 포트의 통신 종료를 감지하는 단계를 포함하는,
방법.
According to paragraph 1,
detecting termination of the remote control service; and
Further comprising transmitting connection termination information based on the detection result to the security policy server,
The step of detecting termination of the remote control service includes:
detecting termination of a remote control application associated with the remote control service; or
Including detecting termination of communication of the port corresponding to the port information,
method.
상기 보안 정책 서버가, 수신된 접속 종료 정보에 응답하여 원격 제어 서비스 비활성화 명령을 상기 원격 단말기로 전송하는 단계; 및
상기 원격 단말기가, 수신된 원격 제어 서비스 비활성화 명령에 응답하여 상기 원격 제어 서비스를 비활성화하는 단계를 더 포함하는,
방법.
According to clause 8,
transmitting, by the security policy server, a remote control service deactivation command to the remote terminal in response to received connection termination information; and
Further comprising, by the remote terminal, deactivating the remote control service in response to a received remote control service deactivation command,
method.
상기 원격 제어 서비스를 비활성화하는 단계는,
상기 포트 정보에 대응하는 포트의 통신 허용을 해제하도록 레지스트리 정보 또는 포트 설정 정보를 수정하는 단계;
상기 포트 정보에 대응하는 포트 번호로의 원격 제어 서비스와 관련된 통신을 허용하도록 설정된 방화벽의 정책을 삭제하는 단계; 및
상기 원격 제어 서비스와 관련된 응용 프로그램 프로세스의 실행을 차단하는 단계 중 적어도 하나를 포함하는,
방법.
According to clause 9,
The step of disabling the remote control service is:
Modifying registry information or port setting information to disable communication of the port corresponding to the port information;
deleting a policy of a firewall set to allow communication related to a remote control service to a port number corresponding to the port information; and
At least one of blocking execution of an application process associated with the remote control service,
method.
A computer program combined with a computer as hardware and stored in a computer-readable recording medium so as to perform the method of claim 1.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220158037A KR102617954B1 (en) | 2022-11-23 | 2022-11-23 | Control method to improve security of remote control service and computer program for performing the method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220158037A KR102617954B1 (en) | 2022-11-23 | 2022-11-23 | Control method to improve security of remote control service and computer program for performing the method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102617954B1 true KR102617954B1 (en) | 2023-12-27 |
Family
ID=89377791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220158037A KR102617954B1 (en) | 2022-11-23 | 2022-11-23 | Control method to improve security of remote control service and computer program for performing the method |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102617954B1 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060101800A (en) * | 2005-03-21 | 2006-09-26 | 김영숙 | Communication service system and method for managing security of a service server and communication equipment |
| KR20080053299A (en) * | 2005-09-12 | 2008-06-12 | 마이크로소프트 코포레이션 | Sharing a port with multiple processes |
| KR20140046122A (en) * | 2012-10-10 | 2014-04-18 | 에스케이플래닛 주식회사 | System and method for controlling remote device |
-
2022
- 2022-11-23 KR KR1020220158037A patent/KR102617954B1/en active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060101800A (en) * | 2005-03-21 | 2006-09-26 | 김영숙 | Communication service system and method for managing security of a service server and communication equipment |
| KR20080053299A (en) * | 2005-09-12 | 2008-06-12 | 마이크로소프트 코포레이션 | Sharing a port with multiple processes |
| KR20140046122A (en) * | 2012-10-10 | 2014-04-18 | 에스케이플래닛 주식회사 | System and method for controlling remote device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11722521B2 (en) | Application firewall | |
| US10652273B2 (en) | Mitigation of anti-sandbox malware techniques | |
| US10009381B2 (en) | System and method for threat-driven security policy controls | |
| US20170206351A1 (en) | Mobile device security monitoring and notification | |
| US9015789B2 (en) | Computer security lock down methods | |
| US8079030B1 (en) | Detecting stealth network communications | |
| JP2018501694A (en) | System and method for protecting against unauthorized network intrusion | |
| GB2549546A (en) | Boot security | |
| US11368361B2 (en) | Tamper-resistant service management for enterprise systems | |
| US20220255926A1 (en) | Event-triggered reauthentication of at-risk and compromised systems and accounts | |
| US9356932B2 (en) | Dynamically applying a control policy to a network | |
| AU2021352426A1 (en) | Systems and methods for threat response | |
| US11595372B1 (en) | Data source driven expected network policy control | |
| EP3239886B1 (en) | System and method of counteracting unauthorized access to microphone data | |
| KR102617954B1 (en) | Control method to improve security of remote control service and computer program for performing the method | |
| Gupta et al. | A risk-driven model to minimize the effects of human factors on smart devices | |
| GB2543602A (en) | Mitigation of anti-sandbox malware techniques | |
| US10552626B2 (en) | System and method for selecting a data entry mechanism for an application based on security requirements | |
| CN114730338A (en) | System and method for discovering application tampering | |
| US20220200996A1 (en) | Systems and methods for protecting web conferences from intruders | |
| US11671422B1 (en) | Systems and methods for securing authentication procedures | |
| US11386231B2 (en) | Methods of context-based mobile device feature control and mobile devices employing the same | |
| US20230214533A1 (en) | Computer-implemented systems and methods for application identification and authentication | |
| US20230297698A1 (en) | Technical environment protection for privacy and compliance using client server technology | |
| US20220207134A1 (en) | Systems and methods for securing cloud meetings using containers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |