KR102630816B1 - 보안 설정 장치, 프로세스 단위의 보안 정책을 설정하는 보안 설정 방법 및 상기 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램 - Google Patents
보안 설정 장치, 프로세스 단위의 보안 정책을 설정하는 보안 설정 방법 및 상기 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램 Download PDFInfo
- Publication number
- KR102630816B1 KR102630816B1 KR1020210190412A KR20210190412A KR102630816B1 KR 102630816 B1 KR102630816 B1 KR 102630816B1 KR 1020210190412 A KR1020210190412 A KR 1020210190412A KR 20210190412 A KR20210190412 A KR 20210190412A KR 102630816 B1 KR102630816 B1 KR 102630816B1
- Authority
- KR
- South Korea
- Prior art keywords
- security
- program
- security policy
- thread
- setting unit
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 222
- 238000004590 computer program Methods 0.000 title claims description 10
- 230000008569 process Effects 0.000 claims abstract description 201
- 230000003068 static effect Effects 0.000 claims description 28
- 238000012545 processing Methods 0.000 description 30
- 238000012544 monitoring process Methods 0.000 description 26
- 230000006870 function Effects 0.000 description 17
- 230000004044 response Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 9
- 238000001514 detection method Methods 0.000 description 4
- 238000012806 monitoring device Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004886 process control Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 241001417494 Sciaenidae Species 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
본 발명은 전자 장치의 보안 설정부가 제1 프로그램을 정적 분석하여, 상기 제1 프로그램을 분할하는 단계; 상기 보안 설정부가 분할 결과에 따라서, 상기 제1 프로그램에 포함된 하나 이상의 프로세스를 추출하는 단계; 상기 보안 설정부가 상기 하나 이상의 프로세스 각각에 대해서 보안 정책을 각각 설정하고, 상기 보안 정책을 저장하는 단계; 상기 제1 프로그램의 실행 시, 상기 보안 설정부가 호출되는 프로세스 또는 스레드에 대한 정보를 획득하는 단계; 상기 보안 설정부가, 상기 호출되는 프로세스 또는 스레드에 대한 정보를 이용하여 상기 보안 정책의 위반 여부를 판단하는 단계; 상기 보안 설정부가 판단 결과, 보안 정책의 위반이 검출되는 경우, 상기 보안 정책의 위반에 대한 알림 메시지를 생성하여 기록하는 단계; 상기 보안 설정부가 상기 알림 메시지를 기 설정된 관리자의 주소로 전송하는 단계를 포함하는, 프로세스 단위의 보안 정책을 설정하는 보안 설정 방법을 제공한다.
Description
본 발명의 실시예들은 보안 설정 장치, 프로세스 단위의 보안 정책을 설정하는 방법 및 상기 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램에 관한 것으로서, 더 상세하게는 프로그램을 정적 분석하여 프로그램에 포함된 프로세스들에 대해서 보안 정책을 설정하고 보안 정책에 대한 위반 여부를 모니터링함으로써, 프로그램에 대한 외부의 공격으로부터 전자 장치를 보호하는 보안 설정 장치, 보안 설정 방법 및 상기 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램에 관한 것이다.
컴퓨터는 수식이나 논리적 언어로 표현된 일련의 산술 연산이나 논리 연산을 자동으로 수행하도록 지시하거나 데이터를 저장하고 처리할 수 있는 장치다. 최근에는 이러한 컴퓨터를 이용한 업무가 증가함에 따라서 다수의 컴퓨터를 활용하게 되어 바이러스의 공격이나 물리적인 비밀 누출 등의 여러가지 문제점들이 발생하고 있다.
바이러스 프로그램과 악성 스파이웨어 및 크로커 프로그램 등에 대한 보안 프로그램은 소프트웨어로 구현되어 악성 프로그램의 침입을 차단하고 감염된 경우에는 이를 삭제하거나 치료하는 것을 목적으로 한다.
악성 프로그램에 감염되면 컴퓨터의 속도가 느려져 컴퓨터 사용에 어려움을 느끼고 심한 경우에는 컴퓨터가 작동하지 않는 경우가 발생할 수 있어, 이러한 보안 프로그램들은 어느 컴퓨터 프로그램보다 우선적으로 실시간으로 작동하여 악성 프로그램 등을 감시하고 만약 침입한 경우 이에 대한 치료 및 삭제의 작업이 이루어져 컴퓨터 시스템의 속도가 느려진다.
기존의 보안 프로그램들은 하나의 프로그램 전체에 적용 가능한 한가지 보안 정책 또는 수동적인 분석을 통해서 프로그램 초기화 단계 또는, 프로그램 구동 단계를 식별하고, 프로그램의 초기화 또는 구동 단계로 나누어 적용할 수 있는데, 이러한 룰을 회피하는 바이러스 등이 발생되고 있다. 따라서, 좀더 세분화된 기술로 컴퓨터 등의 장치를 보호할 필요가 있다.
본 발명은 상기와 같은 문제점을 포함하여 여러 문제점들을 해결하기 위한 것으로서, 프로그램을 정적 분석하여 프로그램에 포함된 프로세스들에 대해서 보안 정책을 설정하고 보안 정책에 대한 위반 여부를 모니터링함으로써, 프로그램에 대한 외부의 공격으로부터 전자 장치를 보호하는 보안 설정 방법, 보안 설정 장치 및 상기 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램을 제공하는 것을 목적으로 한다. 그러나 이러한 과제는 예시적인 것으로, 이에 의해 본 발명의 범위가 한정되는 것은 아니다.
본 개시의 실시예들에 따른 보안 설정 방법은, 전자 장치의 보안 설정부가 제1 프로그램을 정적 분석하여, 상기 제1 프로그램을 분할하는 단계; 상기 보안 설정부가 분할 결과에 따라서, 상기 제1 프로그램에 포함된 하나 이상의 프로세스를 추출하는 단계; 상기 보안 설정부가 상기 하나 이상의 프로세스 각각에 대해서 보안 정책을 각각 설정하고, 상기 보안 정책을 저장하는 단계; 상기 제1 프로그램의 실행 시, 상기 보안 설정부가 호출되는 프로세스 또는 스레드에 대한 정보를 획득하는 단계; 상기 보안 설정부가, 상기 호출되는 프로세스 또는 스레드에 대한 정보를 이용하여 상기 보안 정책의 위반 여부를 판단하는 단계; 상기 보안 설정부가 판단 결과, 보안 정책의 위반이 검출되는 경우, 상기 보안 정책의 위반에 대한 알림 메시지를 생성하여 기록하는 단계; 및 상기 보안 설정부가 상기 알림 메시지를 기 설정된 관리자의 주소로 전송하는 단계를 포함할 수 있다.
상기 호출되는 프로세스 또는 스레드에 대한 정보는, 호출 시점에 대한 정보, 입력 값, 출력 값 중 적어도 하나를 포함할 수 있다.
상기 보안 정책의 위반 여부를 판단하는 단계는, 제1 프로세스의 사용 코드 구간 이외의 구간에서, 상기 제1 프로세스가 실행되는지 여부, 상기 제1 프로세스의 입력값이 정해진 입력 정상범위를 벗어나는지 여부, 상기 제1 프로세스의 출력값이 정해진 출력 정상범위를 벗어나는지 여부, 및 상기 제1 프로세스가 실행되는 동안의 사용 리소스가 정해진 리소스 정상범위를 벗어나는지 여부 중 적어도 하나로 판단할 수 있다.
상기 보안 정책을 저장하는 단계는, 상기 보안 설정부가 상기 전자 장치에 설치된 운영 체제의 보안 관련 테이블을 이용하여 상기 운영 체제에 따른 보안 정책을 설정할 수 있다.
상기 추출하는 단계는, 상기 보안 설정부가 상기 제1 프로그램의 프로세스들 또는 스레드들 중에서, 시스템 호출을 하는 프로세스 또는 스레드를 추출할 수 있다.
상기 획득하는 단계는, 상기 전자 장치에 포함된 모니터링부에 의해서 호출되는 프로세스 또는 스레드에 대한 정보를 획득할 수 있다.
본 개시의 실시예들에 따르면, 상기 보안 설정부가, 생성하여 기록하는 단계 이후에, 상기 제1 프로그램의 실행을 중지시키고, 상기 제1 프로그램의 실행 명령에도 상기 제1 프로그램의 실행하지 않는 단계를 더 포함할 수 있다.
본 발명의 관점에 따르면, 컴퓨터를 이용하여 상술한 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램이 제공된다.
전술한 것 외의 다른 측면, 특징, 이점은 이하의 발명을 실시하기 위한 구체적인 내용, 청구범위 및 도면으로부터 명확해질 것이다.
상기한 바와 같이 이루어진 본 발명의 실시예에 따르면, 프로그램을 정적 분석하여 프로그램에 포함된 프로세스들에 대해서 보안 정책을 설정하고 보안 정책에 대한 위반 여부를 모니터링함으로써, 프로그램에 대한 외부의 공격으로부터 전자 장치를 보호하는 보안 설정 방법, 보안 설정 장치 및 상기 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램을 구현할 수 있다. 물론 이러한 효과에 의해 본 발명의 범위가 한정되는 것은 아니다.
도 1는 본 발명의 실시예에 따른 보안 설정 장치의 구성 및 동작을 설명하기 위한 도면이고, 도 2는 본 발명의 실시예에 따른 메모리의 블록도이다. 도 3은 메모리에 포함된 보안 설정부의 블록도이다.
도 4는 본 발명의 실시예에 따른 보안 설정 방법을 보여주는 순서도이다.
도 5는 다른 실시예에 따른 메모리의 블록도이고, 도 6은 도 5의 메모리에 포함된 보안 설정부의 구조 및 동작을 설명하는 도면이다.
도 7은 보안 설정부의 동작을 설명하는 도면이다.
도 4는 본 발명의 실시예에 따른 보안 설정 방법을 보여주는 순서도이다.
도 5는 다른 실시예에 따른 메모리의 블록도이고, 도 6은 도 5의 메모리에 포함된 보안 설정부의 구조 및 동작을 설명하는 도면이다.
도 7은 보안 설정부의 동작을 설명하는 도면이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 본 발명의 효과 및 특징, 그리고 그것들을 달성하는 방법은 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 다양한 형태로 구현될 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명하기로 하며, 도면을 참조하여 설명할 때 동일하거나 대응하는 구성 요소는 동일한 도면부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
이하의 실시예에서, 제1 이나 제2 등의 용어는 한정적인 의미가 아니라, 일 구성 요소를 다른 구성 요소와 구별하는 목적으로 사용되었다. 그리고 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 또한, 포함하다 또는 가지다 등의 용어는 명세서 상에 기재된 특징 또는 구성요소가 존재함을 의미하는 것이고, 하나 이상의 다른 특징들 또는 구성요소가 부가될 가능성을 배제하는 것은 아니다.
도면에서는 설명의 편의를 위하여 구성 요소들이 그 크기가 과장 또는 축소될 수 있다. 예컨대, 도면에서 나타난 각 구성의 크기 및 두께는 설명의 편의를 위해 임의로 나타내었으므로, 본 발명이 반드시 도시된 바에 한정되지 않는다.
이하의 실시예에서, 영역, 구성 요소, 부, 블록 또는 모듈 등의 부분이 다른 부분 위에 또는 상에 있다고 할 때, 다른 부분의 바로 위에 있는 경우뿐만 아니라, 그 중간에 다른 영역, 구성 요소, 부, 블록 또는 모듈 등이 개재되어 있는 경우도 포함한다. 그리고 영역, 구성 요소, 부, 블록 또는 모듈 등이 연결되었다고 할 때, 영역, 구성 요소, 부, 블록 또는 모듈들이 직접적으로 연결된 경우뿐만 아니라 영역, 구성요소, 부, 블록 또는 모듈들 중간에 다른 영역, 구성 요소, 부, 블록 또는 모듈들이 개재되어 간접적으로 연결된 경우도 포함한다.
도 1는 본 발명의 실시예에 따른 보안 설정 장치의 구성 및 동작을 설명하기 위한 도면이고, 도 2는 본 발명의 실시예에 따른 메모리의 블록도이다. 도 3은 메모리에 포함된 보안 설정부의 블록도이다.
도 1에 도시된 바와 같이, 보안 설정 장치(100)는 프로세서(110), 메모리(120), 통신부(130), 입출력부(140)를 포함할 수 있다.
그러나, 도 1에 도시된 구성 요소가 모두 보안 설정 장치(100)의 필수 구성 요소인 것은 아니다. 도 1에 도시된 구성 요소 보다 많은 구성 요소에 의해 보안 설정 장치(100)가 구현될 수도 있고, 도 1에 도시된 구성 요소보다 적은 구성 요소에 의해 보안 설정 장치(100)가 구현될 수 있다. 보안 설정 장치(100)는 사용자 단말일 수도 있고, 서버 일수도 있고, 보안 설정 시스템일 수도 있고, 별도의 장치일 수도 있다.
본 개시의 일 실시예에 따르면, 프로세서(110)는 통상적으로, 보안 설정 장치(100)의 전반적인 동작을 제어한다. 예를 들어, 프로세서(110)는 보안 설정 장치(100)에 저장된 프로그램을 실행함으로써, 보안 설정 장치(100)가 포함하는 구성요소들을 전반적으로 제어할 수 있다.
프로세서(110)는 제1 프로그램을 정적 분석하여 제1 프로그램을 작은 단위로 분할 할 수 있다. 제1 프로그램은 프로세스 또는 스레드 등의 단위로 분할될 수 있으나, 이에 한정되지 않고 다양한 방식으로 분할될 수 있다. 스레드는 CPU를 이용하는 기본 단위를 말하며, 프로세스 내에서 실행되는 기본 단위를 말한다. 프로세스 내에서 코드 영역이 존재하는데 그 코드 영역 안에서 실행되는 하나의 주체라고 표현할 수 있다. 프로세스는 하나의 스레드를 가지고 있다. 예컨대, main 함수에 run 함수를 호출하면, main 스레드와 run 스레드 2개가 실행되게 된다.
여기서, 정적 분석(static analysis)이란, 프로그램을 실행시키지 않고 그 자체를 분석하는 것으로, 소스 코드의 버전 중 하나의 형태로 수행되며 또는 목적 파일 형태로 분석될 수 있다. 정적 분석을 위한 자동화 툴이 사용될 수 있다.
프로세서(110)는 정적 분석 결과에 따라서 제1 프로그램에 포함된 하나 이상의 프로세스를 추출할 수 있다. 프로세서(110)는 하나 이상의 프로세스 각각에 대해서 보안 정책을 각각 설정하고 보안 정책을 저장할 수 있다. 여기서, 보안 정책은, 각 프로세스 또는 스레드가 호출되거나 실행될 시에 대한 조건으로 구성될 수 있다. 보안 정책은 프로세스 또는 스레드가 호출되는 시점에 대한 조건, 프로세스 또는 스레드를 호출하는 대상에 대한 조건, 프로세서 또는 스레드가 호출하는 대상에 대한 조건, 프로세스 또는 스레드의 입력값에 대한 조건, 프로세스 또는 스레드의 출력값에 대한 조건 등을 포함할 수 있다.
프로세서(110)는 제1 프로그램의 실행 시 호출되는 프로세스 또는 스레드에 대한 정보를 획득할 수 있다. 프로세스 또는 스레드에 대한 정보는 각 프로세스 또는 스레드가 호출되거나 실행될 시에 대한 조건으로 구성될 수 있다. 보안 정책은 프로세스 또는 스레드가 호출되는 시점에 대한 조건, 프로세스 또는 스레드를 호출하는 대상에 대한 조건, 프로세서 또는 스레드가 호출하는 대상에 대한 조건, 프로세스 또는 스레드의 입력값에 대한 조건, 프로세스 또는 스레드의 출력값에 대한 조건 등을 포함할 수 있다.
프로세서(110)는 호출되는 프로세스 또는 스레드에 대한 정보를 이용하여 보안 정책의 위반 여부를 판단할 수 있다. 프로세서(110)는 보안 정책의 위반이 검출되는 경우, 보안 정책의 위반에 대한 알림 메시지를 생성하여 기록할 수 있다. 여기서, 알림 메시지는 보안 정책의 위반과 관련된 정보를 포함하며, 구체적으로는 보안 정책의 위반이 발생된 프로그램, 보안 정책의 위반이 발생되는 시점, 보안 정책의 위반 횟수 등을 포함할 수 있다.
프로세서(110)는 알림 메시지를 기 설정된 관리자로 전송할 수 있다. 프로세서(110)는 알림 메시지를 관리자와 대응되는, 관리자의 계정, 관리자의 장치, 관리자의 메일 주소 등으로 전송할 수 있다.
본 개시의 일 실시예에 따르면, 메모리(120)는 프로세서(110)의 처리 및 제어를 위한 프로그램을 저장할 수 있고, 보안 설정 장치(100)로 입력되거나 보안 설정 장치(100)로부터 출력되는 데이터를 저장할 수도 있다. 본 개시의 일 실시예에 따르면, 메모리(120)는 보안 설정에 필요한 구성요소를 저장할 수도 있고, 보안 정책에 대한 정보를 저장할 수도 있다. 메모리(120)는 보안 설정이 필요한 프로그램을 저장할 수 있고, 프로그램을 정적 분석하는 구성, 프로그램의 실행을 모니터링하는 구성 등을 저장할 수 있다. 메모리(120)는 상기의 정보들을 저장한 데이터베이스를 포함할 수 있다.
본 개시의 일 실시예에 따르면, 메모리(120)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(RAM, Random Access Memory) SRAM(Static Random Access Memory), 롬(ROM, Read-Only Memory), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다. 또한 본 개시의 일 실시예에 따르면, 메모리(120)에 저장된 프로그램들은 그 기능에 따라 복수 개의 모듈들로 분류할 수 있다.
본 개시의 일 실시예에 따르면, 통신부(130)는 프로세서(110)의 외부 장치와 통신을 수행할 수 있다. 예를 들어, 통신부(130)는 프로세서(110)의 제어에 의해 보안이 필요한 프로그램이 저장된 전자 장치와 통신을 수행할 수 있다. 또한, 통신부(130)는 외부 인터페이스와의 통신을 통해 보안이 필요한 프로그램이 저장된 전자 장치에 접근하여 프로그램을 분석하고 프로그램에 대한 보안 정책을 설정하도록 통신할 수 있다.
입출력부(140)는 입출력 장치와의 인터페이스를 위한 수단일 수 있다. 예를 들어, 입력 장치는 키보드 또는 마우스 등의 장치를, 그리고 출력 장치는 어플리케이션의 통신 세션을 표시하기 위한 디스플레이와 같은 장치를 포함할 수 있다. 다른 예로 입출력부(140)는 터치스크린과 같이 입력과 출력을 위한 기능이 하나로 통합된 장치와의 인터페이스를 위한 수단일 수도 있다. 보다 구체적인 예로, 보안 설정 장치(100)의 프로세서(110)는 메모리(120)에 로딩되거나, 저장된 컴퓨터 프로그램의 명령을 처리함에 있어서 서비스 화면이나 컨텐츠가 입출력부(140)를 통해 디스플레이에 표시될 수 있다.
또한, 다른 실시예들에서 보안 설정 장치(100)는 도 1의 구성요소들보다 더 많은 구성요소들을 포함할 수도 있다. 예를 들어, 상술한 입출력 장치 중 적어도 일부를 포함하도록 구현되거나 또는 내부 구성요소들에 전력을 공급하는 배터리 및 충전 장치, 각종 센서, 데이터베이스 등과 같은 다른 구성요소들을 더 포함할 수도 있다.
도 2에 도시된 바와 같이, 메모리(120)는 보안 설정부(121), 대상 프로그램(122)를 포함할 수 있다. 대상 프로그램은, 메모리(120)에 포함된 것으로 개시되어 있으나, 별도의 전자 장치에 저장된 것일 수 있다.
보안 설정부(121)는 내부에 저장된 대상 프로그램(122)를 정적 분석하여 대상 프로그램(122)를 작은 단위로 분할할 수 있다. 보안 설정부(121)는 대상 프로그램(122)에 포함된 하나 이상의 프로세스, 또는 스레드의 속성 정보를 기초로 각 프로세스 또는 스레드에 대한 보안 정책을 설정할 수 있다. 보안 설정부(121)는 설정한 보안 정책의 위반 여부를 검출할 수 있으며, 보안 정책이 위반된 것이 검출되면 보안 정책의 위반과 관련된 정보를 별도로 로그 데이터로 생성할 수 있다. 보안 설정부(121)는 보안 정책의 위반과 관련되어 생성한 로그 데이터를 기초로 알림 메시지를 생성할 수 있다. 보안 설정부(121)는 보안 정책의 위반과 관련된 알림 메시지를 정해진 계정, 장치, 이메일 주소 등으로 전송할 수 있다. 보안 설정부(121)는 도 3에 도시된 바와 같이 정적 분석부(1211), 프로세스 추출부(1212), 보안 정책 설립부(1213) 모니터링부(1214), 및 위반 처리부(1215)를 포함하여 상기의 동작 등을 수행할 수 있다.
정적 분석부(1211)는 제1 프로그램을 정적 분석하여 제1 프로그램을 작은 단위로 분할할 수 있다. 제1 프로그램은 프로세스 또는 스레드 등의 단위로 분할될 수 있으나, 이에 한정되지 않고 다양한 방식으로 분할될 수 있다.
여기서, 정적 분석(static analysis)이란, 프로그램을 실행시키지 않고 그 자체를 분석하는 것으로, 소스 코드의 버전 중 하나의 형태로 수행되며 또는 목적 파일 형태로 분석될 수 있다. 정적 분석을 위한 자동화 툴이 사용될 수 있다.
정적 분석부(1211)는 컴파일러를 이용하여 프로그램을 정적 분석할 수 있다.
프로세스 추출부(1212)는 정적 분석 결과에 따라서 제1 프로그램에 포함된 하나 이상의 프로세스(process) 또는 스레드(thread)를 추출할 수 있다.
보안 정책 설립부(1213)는 하나 이상의 프로세스 또는 스레드 각각에 대해서 보안 정책을 각각 설정하고 보안 정책을 저장할 수 있다. 여기서, 보안 정책은, 각 프로세스 또는 스레드가 호출되거나 실행될 시에 대한 조건으로 구성될 수 있다. 보안 정책은 프로세스 또는 스레드가 호출되는 시점에 대한 조건, 프로세스 또는 스레드를 호출하는 대상에 대한 조건, 프로세서 또는 스레드가 호출하는 대상에 대한 조건, 프로세스 또는 스레드의 입력값에 대한 조건, 프로세스 또는 스레드의 출력값에 대한 조건 등을 포함할 수 있다.
보안 정책 설립부(1213)는 정적 분석을 통해서 프로그램에서 시스템 콜 함수 등의 사용에 대한 정보를 확인하고 프로그램에 포함된 자식 프로세스, 자식 스레드 등의 사용 코드 구간을 예측함으로써, 각 프로세스 또는 각 스레드에 대한 보안 정책을 설립할 수 있다. 여기서, 시스템 콜 함수는 운영체제의 커널이 제공하는 서비스에 대해, 응용 프로그램의 요청에 따라 커널에 접근하기 위한 인터페이스로서, 예시로는 fork(), vfork(), pthread() 등이 있을 수 있다. 시스템 콜 함수의 예시는 장치의 운영 체제의 종류에 따라서 다를 수 있다. 시스템 콜은, 프로그래밍 언어에서 지원하지 않은 기능에 대하여 운영 체제의 루틴을 호출하여 이용하는 것을 말할 수 있다. 시스템 콜의 유형으로는, 프로세스 제어(process control), 파일 조작(file manipulation), 장치 관리(device management), 정보 유지(information maintenance), 통신(communication) 등이 있을 수 있다.
정적 분석부(1211)는 CFG 및/또는 Call graph 등을 활용하여 식별된 스레드 및/또는 프로세스 별로 필요한 권한 및/또는 필요한 자원 등을 파악할 수 있다. 보안 정책 설립부(1213)는 정적 분석부(1211)에서 확인된 권한 및/또는 자원을 기초로 각 프로세스 또는 각 스레드에 대한 보안 정책을 설립할 수 있다.
보안 정책 설립부(1213)는 제1 프로그램에 포함된 하나 이상의 프로세스 또는 스레드의 시작 주소를 기준으로 정리하여 각 프로세스 또는 각 스레드에 대한 보안 정책을 설립할 수 있다. 즉, 각 프로세스의 보안 정책은 시작 주소값, 필요 권한 값, 필요 자원 값 등으로 설립될 수 있다. 다른 실시예에서, 보안 정책 설립부(1213)는 프로세스 또는 스레드가 시작할 때마다 새로운 보안 정책이 적용되도록 보안 정책을 갱신할 수 있다.
보안 정책 설립부(1213)는 시스템 호출을 기준으로, 영역 1(Main, foo, 도 7 참조), 영역 2(fork, foo2, 도 7 참조), 영역 3(pthread, foo3, 도 7 참조), 영역 4(fork, foo4, 도 7 참조)로 구분하여, 각 영역에 대응하는 보안 정책을 설립할 수 있다.
모니터링부(1214)는 실행되는 프로그램에 대한 정보를 획득할 수 있다. 모니터링부(1214)는 보안 설정 장치(100) 내부에서 실행되는 프로그램들의 실행 정보를 획득할 수 있다. 모니터링부(1214)는 설정된 보안 정책과 관련된 프로세스 또는 스레드 등에 대한 정보 만을 획득하도록 구현될 수 있다. 모니터링부(1214)는 장치 내에 포함된 다른 모니터링 장치를 통해서 실행되는 프로그램들의 실행 정보를 획득하고 획득한 정보들 중에서 보안 정책을 위반한 프로세스 또는 스레드에 대한 정보를 결정할 수 있다.
모니터링 부(1214)는 설정된 보안 정책을 적용하기 위해서, 프로그램의 실행과 관련된 정보를 모니터링할 수 있다.
위반 처리부(1215)는 모니터링 부(1214)로부터 호출되는 프로세스 또는 스레드에 대한 정보를 획득하고, 프로세스 또는 스레드에 대한 정보를 기초로 보안 정책의 위반 여부를 판단할 수 있다. 위반 처리부(1215)는 각 프로세스 또는 스레드가 호출되는 시점이 부적절한지 여부, 각 프로세스 또는 스레드가 호출하는 대상이 부적절한지 여부, 각 프로세스 또는 스레드를 호출하는 대상이 부적절한지 여부, 각 프로세스 또는 스레드의 입력값이 부적절한지 여부, 프로세스 또는 스레드의 출력값이 부적절한지 여부 등을 기초로 프로세스 또는 스레드의 위반 여부를 검출할 수 있다.
위반 처리부(1215)는 설정된 위반 처리 내역에 따라서 프로세스의 위반을 처리할 수 있다. 예를 들어, 제1 프로세스의 보안 정책 위반 검출에 대응하여, 위반 처리부(1215)는 제1 프로세스의 보안 정책 위반과 관련된 정보를 로그 데이터로 저장할 수 있다. 제2 프로세스의 보안 정책 위반 검출에 대응하여, 위반 처리부(1215)는 제2 프로세스의 실행을 중지시킬 수 있다. 제3 프로세스의 보안 정책 위반 검출에 대응하여, 위반 처리부(1215)는 제3 프로세스의 보안 정책 위반과 관련된 정보를 포함하는 알림 메시지를 생성하여 알림 메시지를 관리자의 단말 또는 계정으로 전송할 수 있다. 제4 프로세스의 보안 정책 위반 검출에 대응하여, 위반 처리부(1215)는 제4 프로세스의 실행을 중지시키고 추가적인 지시를 기다렸다가 실행 또는 중지의 명령이 수신되면 그에 따라서 제4 프로세스의 실행을 처리할 수 있다. 실행 또는 중지의 명령은 제4 프로세스의 관리자로부터 획득할 수 있다. 여기서, 관리자는, 관리자의 장치, 관리자의 계정 등을 포함할 수 있다.
도 4는 본 발명의 실시예에 따른 보안 설정 방법을 보여주는 순서도이다.
도 4에 도시된 바와 같이, S110에서는, 보안 설정부(121)는 제1 프로그램을 정적 분석하여 제1 프로그램을 작은 단위로 분할할 수 있다. 제1 프로그램은 프로세스 또는 스레드 등의 단위로 분할될 수 있으나, 이에 한정되지 않고 다양한 방식으로 분할될 수 있다. 다른 실시예에서, 보안 설정부(121)는 CFG 및/또는 Call graph 등을 활용하여 식별된 스레드 및/또는 프로세스 별로 필요한 권한 및/또는 필요한 자원 등을 파악할 수 있다.
여기서, 정적 분석(static analysis)이란, 프로그램을 실행시키지 않고 그 자체를 분석하는 것으로, 소스 코드의 버전 중 하나의 형태로 수행되며 또는 목적 파일 형태로 분석될 수 있다. 정적 분석을 위한 자동화 툴이 사용될 수 있다. 보안 설정부(121)는 컴파일러를 이용하여 프로그램을 정적 분석할 수 있다.
S120에서는, 보안 설정부(121)는 정적 분석 결과에 따라서 제1 프로그램에 포함된 하나 이상의 프로세스(process) 또는 스레드(thread)를 추출할 수 있다.
보안 설정부(121)는 하나 이상의 프로세스 또는 스레드 각각에 대해서 보안 정책을 각각 설정하고 보안 정책을 저장할 수 있다. 여기서, 보안 정책은, 각 프로세스 또는 스레드가 호출되거나 실행될 시에 대한 조건으로 구성될 수 있다. 보안 정책은 프로세스 또는 스레드가 호출되는 시점에 대한 조건, 프로세스 또는 스레드를 호출하는 대상에 대한 조건, 프로세서 또는 스레드가 호출하는 대상에 대한 조건, 프로세스 또는 스레드의 입력값에 대한 조건, 프로세스 또는 스레드의 출력값에 대한 조건 등을 포함할 수 있다.
보안 설정부(121)는 정적 분석을 통해서 프로그램에서 시스템 콜 함수 등의 사용에 대한 정보를 확인하고 프로그램에 포함된 자식 프로세스, 자식 스레드 등의 사용 코드 구간을 예측함으로써, 각 프로세스 또는 각 스레드에 대한 보안 정책을 설립할 수 있다. 여기서, 시스템 콜 함수는 운영체제의 커널이 제공하는 서비스에 대해, 응용 프로그램의 요청에 따라 커널에 접근하기 위한 인터페이스로서, 예시로는 fork(), vfork(), pthread() 등이 있을 수 있다. 시스템 콜 함수의 예시는 장치의 운영 체제의 종류에 따라서 다를 수 있다. 시스템 콜은, 프로그래밍 언어에서 지원하지 않은 기능에 대하여 운영 체제의 루틴을 호출하여 이용하는 것을 말할 수 있다. 시스템 콜의 유형으로는, 프로세스 제어(process control), 파일 조작(file manipulation), 장치 관리(device management), 정보 유지(information maintenance), 통신(communication) 등이 있을 수 있다.
S130에서는, 보안 설정부(121)는 확인된 권한 및/또는 자원을 기초로 각 프로세스 또는 각 스레드에 대한 보안 정책을 설립할 수 있다.
보안 설정부(121)는 제1 프로그램에 포함된 하나 이상의 프로세스 또는 스레드의 시작 주소를 기준으로 정리하여 각 프로세스 또는 각 스레드에 대한 보안 정책을 설립할 수 있다. 즉, 각 프로세스의 보안 정책은 시작 주소값, 필요 권한 값, 필요 자원 값 등으로 설립될 수 있다. 다른 실시예에서, 보안 설정부(121)는 프로세스 또는 스레드가 시작할 때마다 새로운 보안 정책이 적용되도록 보안 정책을 갱신할 수 있다.
S140에서는, 보안 설정부(121)는 실행되는 프로그램에 대한 정보를 획득할 수 있다. 보안 설정부(121)는 보안 설정 장치(100) 내부에서 실행되는 프로그램들의 실행 정보를 획득할 수 있다. 보안 설정부(121)는 설정된 보안 정책과 관련된 프로세스 또는 스레드 등에 대한 정보 만을 획득하도록 구현될 수 있다. 보안 설정부(121)는 장치 내에 포함된 다른 모니터링 장치를 통해서 실행되는 프로그램들의 실행 정보를 획득하고 획득한 정보들 중에서 보안 정책을 위반한 프로세스 또는 스레드에 대한 정보를 결정할 수 있다.
보안 설정부(121)는 설정된 보안 정책을 적용하기 위해서, 프로그램의 실행과 관련된 정보를 모니터링할 수 있다.
S150에서는 보안 설정부(121)는 호출되는 프로세스 또는 스레드에 대한 정보를 획득하고, 프로세스 또는 스레드에 대한 정보를 기초로 보안 정책의 위반 여부를 판단할 수 있다. 보안 설정부(121)는 각 프로세스 또는 스레드가 호출되는 시점이 부적절한지 여부, 각 프로세스 또는 스레드가 호출하는 대상이 부적절한지 여부, 각 프로세스 또는 스레드를 호출하는 대상이 부적절한지 여부, 각 프로세스 또는 스레드의 입력값이 부적절한지 여부, 프로세스 또는 스레드의 출력값이 부적절한지 여부 등을 기초로 프로세스 또는 스레드의 위반 여부를 검출할 수 있다.
S160에서는, 보안 설정부(121)는 설정된 위반 처리 내역에 따라서 프로세스의 위반을 처리할 수 있다. 예를 들어, 제1 프로세스의 보안 정책 위반 검출에 대응하여, 보안 설정부(121)는 제1 프로세스의 보안 정책 위반과 관련된 정보를 로그 데이터로 저장할 수 있다. 제2 프로세스의 보안 정책 위반 검출에 대응하여, 보안 설정부(121)는 제2 프로세스의 실행을 중지시킬 수 있다. 제3 프로세스의 보안 정책 위반 검출에 대응하여, 보안 설정부(121)는 제3 프로세스의 보안 정책 위반과 관련된 정보를 포함하는 알림 메시지를 생성하여 알림 메시지를 관리자의 단말 또는 계정으로 전송할 수 있다. 제4 프로세스의 보안 정책 위반 검출에 대응하여, 보안 설정부(121)는 제4 프로세스의 실행을 중지시키고 추가적인 지시를 기다렸다가 실행 또는 중지의 명령이 수신되면 그에 따라서 제4 프로세스의 실행을 처리할 수 있다. 실행 또는 중지의 명령은 제4 프로세스의 관리자로부터 획득할 수 있다. 여기서, 관리자는, 관리자의 장치, 관리자의 계정 등을 포함할 수 있다.
도 5는 다른 실시예에 따른 메모리(120’)의 블록도이고, 도 6은 도 5의 메모리(120’)에 포함된 보안 설정부의 구조 및 동작을 설명하는 도면이다.
본 발명의 다른 실시예들에 따른 보안 설정 장치의 메모리(120’)는 보안 설정부(121’), 대상 프로그램(122’), 및 모니터링 부(123’)를 포함할 수 있다.
보안 설정부(121’)는 외부의 모니터링 부(123’)로부터 프로그램의 실행과 관련된 정보를 획득할 수 있다. 보안 설정부(121’)는 대상 프로그램의 실행과 관련된 정보를 모니터링 부(123’)로부터 획득할 수 있다.
모니터링 부(123’)는 실행되는 프로그램에 대한 정보를 획득할 수 있다. 모니터링 부(123’)는 보안 설정 장치(100) 내부에서 실행되는 프로그램들의 실행 정보를 획득할 수 있다. 모니터링 부(123’)는 설정된 보안 정책과 관련된 프로세스 또는 스레드 등에 대한 정보 만을 획득하도록 구현될 수 있다. 모니터링 부(123’)는 장치 내에 포함된 다른 모니터링 장치를 통해서 실행되는 프로그램들의 실행 정보를 획득하고 획득한 정보들 중에서 보안 정책을 위반한 프로세스 또는 스레드에 대한 정보를 결정할 수 있다.
보안 설정부(121’)는 모니터링 부(123’)로부터 호출되는 프로세스 또는 스레드에 대한 정보를 획득하고, 프로세스 또는 스레드에 대한 정보를 기초로 보안 정책의 위반 여부를 판단할 수 있다. 보안 설정부(121’)는 각 프로세스 또는 스레드가 호출되는 시점이 부적절한지 여부, 각 프로세스 또는 스레드가 호출하는 대상이 부적절한지 여부, 각 프로세스 또는 스레드를 호출하는 대상이 부적절한지 여부, 각 프로세스 또는 스레드의 입력값이 부적절한지 여부, 프로세스 또는 스레드의 출력값이 부적절한지 여부 등을 기초로 프로세스 또는 스레드의 위반 여부를 검출할 수 있다.
도 6에 도시된 바와 같이, 보안 설정부(121’)는 정적 분석부(1211’), 프로세스 추출부(1212’), 보안 정책 설립부(1213’), 및 위반 처리부(1214’)를 포함할 수 있다.
정적 분석부(1211’)는 제1 프로그램을 정적 분석하여 제1 프로그램을 작은 단위로 분할할 수 있다. 제1 프로그램은 프로세스 또는 스레드 등의 단위로 분할될 수 있으나, 이에 한정되지 않고 다양한 방식으로 분할될 수 있다.
여기서, 정적 분석(static analysis)이란, 프로그램을 실행시키지 않고 그 자체를 분석하는 것으로, 소스 코드의 버전 중 하나의 형태로 수행되며 또는 목적 파일 형태로 분석될 수 있다. 정적 분석을 위한 자동화 툴이 사용될 수 있다.
정적 분석부(1211’)는 컴파일러를 이용하여 프로그램을 정적 분석할 수 있다.
프로세스 추출부(1212’)는 정적 분석 결과에 따라서 제1 프로그램에 포함된 하나 이상의 프로세스(process) 또는 스레드(thread)를 추출할 수 있다.
보안 정책 설립부(1213’)는 하나 이상의 프로세스 또는 스레드 각각에 대해서 보안 정책을 각각 설정하고 보안 정책을 저장할 수 있다. 여기서, 보안 정책은, 각 프로세스 또는 스레드가 호출되거나 실행될 시에 대한 조건으로 구성될 수 있다. 보안 정책은 프로세스 또는 스레드가 호출되는 시점에 대한 조건, 프로세스 또는 스레드를 호출하는 대상에 대한 조건, 프로세서 또는 스레드가 호출하는 대상에 대한 조건, 프로세스 또는 스레드의 입력값에 대한 조건, 프로세스 또는 스레드의 출력값에 대한 조건 등을 포함할 수 있다.
보안 정책 설립부(1213’)는 정적 분석을 통해서 프로그램에서 시스템 콜 함수 등의 사용에 대한 정보를 확인하고 프로그램에 포함된 자식 프로세스, 자식 스레드 등의 사용 코드 구간을 예측함으로써, 각 프로세스 또는 각 스레드에 대한 보안 정책을 설립할 수 있다. 여기서, 시스템 콜 함수는 운영체제의 커널이 제공하는 서비스에 대해, 응용 프로그램의 요청에 따라 커널에 접근하기 위한 인터페이스로서, 예시로는 fork(), vfork(), pthread() 등이 있을 수 있다. 시스템 콜 함수의 예시는 장치의 운영 체제의 종류에 따라서 다를 수 있다. 시스템 콜은, 프로그래밍 언어에서 지원하지 않은 기능에 대하여 운영 체제의 루틴을 호출하여 이용하는 것을 말할 수 있다. 시스템 콜의 유형으로는, 프로세스 제어(process control), 파일 조작(file manipulation), 장치 관리(device management), 정보 유지(information maintenance), 통신(communication) 등이 있을 수 있다.
보안 정책 설립부(1213)는 시스템 호출을 기준으로, 영역 1(Main, foo, 도 7 참조), 영역 2(fork, foo2, 도 7 참조), 영역 3(pthread, foo3, 도 7 참조), 영역 4(fork, foo4, 도 7 참조)로 구분하여, 각 영역에 대응하는 보안 정책을 설립할 수 있다.
정적 분석부(1211’)는 CFG 및/또는 Call graph 등을 활용하여 식별된 스레드 및/또는 프로세스 별로 필요한 권한 및/또는 필요한 자원 등을 파악할 수 있다. 보안 정책 설립부(1213’)는 정적 분석부(1211’)에서 확인된 권한 및/또는 자원을 기초로 각 프로세스 또는 각 스레드에 대한 보안 정책을 설립할 수 있다.
보안 정책 설립부(1213’)는 제1 프로그램에 포함된 하나 이상의 프로세스 또는 스레드의 시작 주소를 기준으로 정리하여 각 프로세스 또는 각 스레드에 대한 보안 정책을 설립할 수 있다. 즉, 각 프로세스의 보안 정책은 시작 주소값, 필요 권한 값, 필요 자원 값 등으로 설립될 수 있다. 다른 실시예에서, 보안 정책 설립부(1213’)는 프로세스 또는 스레드가 시작할 때마다 새로운 보안 정책이 적용되도록 보안 정책을 갱신할 수 있다.
모니터링부(123’)는 실행되는 프로그램에 대한 정보를 획득할 수 있다. 모니터링부(123’)는 보안 설정 장치(100) 내부에서 실행되는 프로그램들의 실행 정보를 획득할 수 있다. 모니터링부(123’)는 설정된 보안 정책과 관련된 프로세스 또는 스레드 등에 대한 정보 만을 획득하도록 구현될 수 있다. 모니터링부(123’)는 장치 내에 포함된 다른 모니터링 장치를 통해서 실행되는 프로그램들의 실행 정보를 획득하고 획득한 정보들 중에서 보안 정책을 위반한 프로세스 또는 스레드에 대한 정보를 결정할 수 있다.
모니터링 부(123’)는 설정된 보안 정책을 적용하기 위해서, 프로그램의 실행과 관련된 정보를 모니터링할 수 있다.
위반 처리부(1214’)는 모니터링 부(123’)로부터 호출되는 프로세스 또는 스레드에 대한 정보를 획득하고, 프로세스 또는 스레드에 대한 정보를 기초로 보안 정책의 위반 여부를 판단할 수 있다. 위반 처리부(1214’)는 각 프로세스 또는 각 스레드의 시작 주소가 적절한지 여부, 각 프로세스 또는 각 스레드에서 호출되는 함수가 권한에 포함된 것인지 여부, 각 프로세스 또는 스레드가 호출되는 시점이 부적절한지 여부, 각 프로세스 또는 스레드가 호출하는 대상이 부적절한지 여부, 각 프로세스 또는 스레드를 호출하는 대상이 부적절한지 여부, 각 프로세스 또는 스레드의 입력값이 부적절한지 여부, 프로세스 또는 스레드의 출력값이 부적절한지 여부 등을 기초로 프로세스 또는 스레드의 위반 여부를 검출할 수 있다.
위반 처리부(1214’)는 설정된 위반 처리 내역에 따라서 프로세스의 위반을 처리할 수 있다. 예를 들어, 제1 프로세스의 보안 정책 위반 검출에 대응하여, 위반 처리부(1214’)는 제1 프로세스의 보안 정책 위반과 관련된 정보를 로그 데이터로 저장할 수 있다. 제2 프로세스의 보안 정책 위반 검출에 대응하여, 위반 처리부(1214’)는 제2 프로세스의 실행을 중지시킬 수 있다. 제3 프로세스의 보안 정책 위반 검출에 대응하여, 위반 처리부(1214’)는 제3 프로세스의 보안 정책 위반과 관련된 정보를 포함하는 알림 메시지를 생성하여 알림 메시지를 관리자의 단말 또는 계정으로 전송할 수 있다. 제4 프로세스의 보안 정책 위반 검출에 대응하여, 위반 처리부(1214’)는 제4 프로세스의 실행을 중지시키고 추가적인 지시를 기다렸다가 실행 또는 중지의 명령이 수신되면 그에 따라서 제4 프로세스의 실행을 처리할 수 있다. 실행 또는 중지의 명령은 제4 프로세스의 관리자로부터 획득할 수 있다. 여기서, 관리자는, 관리자의 장치, 관리자의 계정 등을 포함할 수 있다.
도 7은 보안 설정부의 동작을 설명하는 도면이다.
보안 설정부(121, 121’)는 테스트 프로그램을 정적 분석하여, 프로그램의 하나 이상의 프로세스 또는 하나 이상의 스레드로 분할할 수 있다. 도 7에 도시된 바와 같이, 테스트 프로그램은, Main -> foo -> fork -> foo2, 와 Main -> pthread -> foo3 -> fork -> foo4 등의 프로세스, 스레드의 호출 이력을 가질 수 있다. 즉, 보안 설정부(121, 121’)는 Main, foo, fork, foo2, pthread, foo3, fork, foo4 등의 프로세스들 또는 스레드들을 추출할 수 있다.
보안 설정부(121, 121’)는 정적 분석을 통한 자동 프로그램의 분할과, 분할된 영역별(프로세스 또는 스레드 별) 보안 정책을 자동으로 추출할 수 있다.
본 개시의 실시예들에 따르면, 보안 설정부(121, 121’)는 시스템 호출을 기준으로, 영역 1(Main, foo), 영역 2(fork, foo2), 영역 3(pthread, foo3), 영역 4(fork, foo4)로 구분하여, 각 영역에 대응하는 보안 정책을 설립할 수 있다.
이상에서 설명된 장치 및/또는 시스템은, 하드웨어 구성요소, 소프트웨어 구성요소 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction) 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이와 같이 본 발명은 도면에 도시된 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 당해 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 다른 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 청구범위의 기술적 사상에 의하여 정해져야 할 것이다.
Claims (15)
- 전자 장치의 보안 설정부가 컴파일러를 이용하여 상기 전자 장치에 저장된 제1 프로그램을 정적 분석하여, 상기 제1 프로그램을 분할하는 단계;
상기 보안 설정부가 분할 결과에 따라서, 상기 제1 프로그램에 포함된 시스템 호출을 하는, 하나 이상의 프로세스 또는 스레드를 추출하는 단계;
상기 보안 설정부가 CFG(control flow graph) 또는 Call graph를 이용하여 상기 하나 이상의 프로세스 또는 스레드 각각에 대한 필요한 권한 및 필요한 자원을 획득하고, 상기 필요한 권한 및 필요한 자원을 기초로 각 프로세스 또는 스레드가 호출되거나 실행될 시점에 대한 조건인 보안 정책을 각각 설정하고, 상기 보안 정책을 저장하는 단계;
상기 보안 설정부가 상기 제1 프로그램의 실행 시에 호출되는 프로세스 또는 스레드에 대한 정보를 획득하는 단계;
상기 보안 설정부가, 상기 호출되는 프로세스 또는 스레드에 대한 정보를 이용하여 제1 프로세스의 사용 코드 구간 이외의 구간에서, 상기 제1 프로세스가 실행되는지 여부, 상기 제1 프로세스의 입력값이 정해진 입력 정상범위를 벗어나는지 여부, 상기 제1 프로세스의 출력값이 정해진 출력 정상범위를 벗어나는지 여부 중 적어도 하나로 상기 보안 정책의 위반 여부를 판단하는 단계;
상기 보안 설정부가 판단 결과, 보안 정책의 위반이 검출되는 경우, 상기 보안 정책의 위반에 대한 알림 메시지를 생성하여 기록하는 단계;
상기 보안 설정부가 상기 알림 메시지를 기 설정된 관리자의 주소로 전송하는 단계를 포함하는, 프로세스 단위의 보안 정책을 설정하는 보안 설정 방법. - 삭제
- 삭제
- 제1항에 있어서,
상기 보안 정책을 저장하는 단계는,
상기 보안 설정부가 상기 전자 장치에 설치된 운영 체제의 보안 관련 테이블을 이용하여 상기 운영 체제에 따른 보안 정책을 설정하는, 프로세스 단위의 보안 정책을 설정하는 보안 설정 방법. - 삭제
- 삭제
- 제1항에 있어서,
상기 보안 설정부가, 생성하여 기록하는 단계 이후에, 상기 제1 프로그램의 실행을 중지시키고, 상기 제1 프로그램의 실행 명령에도 상기 제1 프로그램을 실행하지 않는 단계를 더 포함하는, 프로세스 단위의 보안 정책을 설정하는 보안 설정 방법. - 컴퓨터 판독 가능한 하나 이상의 명령어를 저장한 메모리 및 상기 메모리에 저장된 하나 이상의 명령어를 수행하는 프로세서를 포함하고,
상기 프로세서는
컴파일러를 이용하여 저장된 제1 프로그램을 정적 분석하여, 상기 제1 프로그램을 분할하고,
분할 결과에 따라서, 상기 제1 프로그램에 포함된 시스템 호출을 하는, 하나 이상의 프로세스 또는 스레드를 추출하며,
CFG(control flow graph) 또는 Call graph를 이용하여 상기 하나 이상의 프로세스 또는 스레드 각각에 대한 필요한 권한 및 필요한 자원을 획득하고, 상기 필요한 권한 및 필요한 자원을 기초로 각 프로세스 또는 스레드가 호출되거나 실행될 시점에 대한 조건인 보안 정책을 각각 설정하고, 상기 보안 정책을 저장하고, 상기 제1 프로그램의 실행 시에 호출되는 프로세스 또는 스레드에 대한 정보를 획득하며,
상기 호출되는 프로세스 또는 스레드에 대한 정보를 이용하여 제1 프로세스의 사용 코드 구간 이외의 구간에서, 상기 제1 프로세스가 실행되는지 여부, 상기 제1 프로세스의 입력값이 정해진 입력 정상범위를 벗어나는지 여부, 상기 제1 프로세스의 출력값이 정해진 출력 정상범위를 벗어나는지 여부 중 적어도 하나로 상기 보안 정책의 위반 여부를 판단하고,
판단 결과, 보안 정책의 위반이 검출되는 경우, 상기 보안 정책의 위반에 대한 알림 메시지를 생성하여 기록하며, 상기 알림 메시지를 기 설정된 관리자의 주소로 전송하는 명령어를 수행하는, 보안 설정 장치. - 삭제
- 삭제
- 제8항에 있어서,
상기 프로세서가,
설치된 운영 체제의 보안 관련 테이블을 이용하여 상기 운영 체제에 따른 보안 정책을 설정하는 명령어를 수행하는, 보안 설정 장치. - 삭제
- 삭제
- 제8항에 있어서,
상기 프로세서가,
상기 제1 프로그램의 실행을 중지시키고, 상기 제1 프로그램의 실행 명령에도 상기 제1 프로그램을 실행하지 않는 명령어를 수행하는, 보안 설정 장치. - 컴퓨터를 이용하여 제1항의 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210190412A KR102630816B1 (ko) | 2021-12-28 | 2021-12-28 | 보안 설정 장치, 프로세스 단위의 보안 정책을 설정하는 보안 설정 방법 및 상기 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램 |
| US18/069,801 US20230208883A1 (en) | 2021-12-28 | 2022-12-21 | Security setting device, method of setting per-process security policy, and computer program stored in recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210190412A KR102630816B1 (ko) | 2021-12-28 | 2021-12-28 | 보안 설정 장치, 프로세스 단위의 보안 정책을 설정하는 보안 설정 방법 및 상기 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230100483A KR20230100483A (ko) | 2023-07-05 |
| KR102630816B1 true KR102630816B1 (ko) | 2024-01-29 |
Family
ID=86896422
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210190412A KR102630816B1 (ko) | 2021-12-28 | 2021-12-28 | 보안 설정 장치, 프로세스 단위의 보안 정책을 설정하는 보안 설정 방법 및 상기 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20230208883A1 (ko) |
| KR (1) | KR102630816B1 (ko) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101967663B1 (ko) * | 2018-07-20 | 2019-04-11 | 주식회사 아신아이 | 인가된 프로세스의 역할 기반 접근 통제 시스템 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102393913B1 (ko) * | 2020-04-27 | 2022-05-03 | (주)세이퍼존 | 이상행위 탐지 장치, 방법 및 이를 포함하는 시스템 |
-
2021
- 2021-12-28 KR KR1020210190412A patent/KR102630816B1/ko active IP Right Grant
-
2022
- 2022-12-21 US US18/069,801 patent/US20230208883A1/en active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101967663B1 (ko) * | 2018-07-20 | 2019-04-11 | 주식회사 아신아이 | 인가된 프로세스의 역할 기반 접근 통제 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230100483A (ko) | 2023-07-05 |
| US20230208883A1 (en) | 2023-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11693685B2 (en) | Virtual machine vulnerabilities and sensitive data analysis and detection | |
| KR101948711B1 (ko) | 멀웨어 탐지를 위한 복합 스코어링 | |
| Christodorescu et al. | Cloud security is not (just) virtualization security: a short paper | |
| US11797322B2 (en) | Cloud native virtual machine runtime protection | |
| US9094451B2 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
| EP3039608B1 (en) | Hardware and software execution profiling | |
| KR102307534B1 (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
| US11714884B1 (en) | Systems and methods for establishing and managing computer network access privileges | |
| WO2016082501A1 (zh) | 一种云计算系统中云应用攻击行为处理方法、装置及系统 | |
| KR100786725B1 (ko) | 악성코드 분석 시스템 및 방법 | |
| CN109074450B (zh) | 威胁防御技术 | |
| AU2014330136A1 (en) | Complex scoring for malware detection | |
| KR101086203B1 (ko) | 악성 프로세스의 행위를 판단하여 사전에 차단하는 악성프로세스 사전차단 시스템 및 방법 | |
| US20240028724A1 (en) | Control flow integrity monitoring for applications running on platforms | |
| US20160246590A1 (en) | Priority Status of Security Patches to RASP-Secured Applications | |
| CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
| KR102258915B1 (ko) | 소프트웨어 정의 네트워크에서 애플리케이션의 최소 권한 판별 장치 및 그 방법 | |
| KR102630816B1 (ko) | 보안 설정 장치, 프로세스 단위의 보안 정책을 설정하는 보안 설정 방법 및 상기 방법을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램 | |
| US20230376591A1 (en) | Method and apparatus for processing security events in container virtualization environment | |
| Zhan et al. | Checking virtual machine kernel control-flow integrity using a page-level dynamic tracing approach | |
| EP2881883A1 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
| US20180260563A1 (en) | Computer system for executing analysis program, and method of monitoring execution of analysis program | |
| Flatley | Rootkit Detection Using a Cross-View Clean Boot Method | |
| US11182472B2 (en) | Security in a computing environment by monitoring expected operation of processes within the computing environment | |
| Qiang et al. | CloudController: a writable and heterogeneous-adaptive virtual machine introspection for cloud management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |