WO2016024838A1

WO2016024838A1 - 클라우드 기반의 애플리케이션 보안 서비스 제공 방법 및 시스템

Info

Publication number: WO2016024838A1
Application number: PCT/KR2015/008512
Authority: WO
Inventors: 남재민; 홍진선
Original assignee: (주)잉카엔트웍스
Priority date: 2014-08-13
Filing date: 2015-08-13
Publication date: 2016-02-18
Also published as: US10296728B2; KR20160020294A; JP2017531236A; CN107077540A; JP6392446B2; US20170242986A1; CN107077540B; KR101695639B1

Abstract

본 발명은 클라우드 기반의 애플리케이션 보안 서비스 제공 방법 및 시스템에 관한 것으로, 본 발명예에 따른, 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템은 컴파일러부와, 실행 패키지 구성부와, 업로드부와, 및 다운로드부를 구비하는 클라이언트 장치; 및 실행 패키지 분해부와, 보안 라이브러리 제공부와, 보안 라이브러리 적용부와, 및 실행 패키지 재구성부를 구비하는 클라우드 장치를 포함함으로써, 클라우드에 기반하여 보안 적용의 편리함과 해커의 공격에 대한 신속한 대응이 가능하다.

Description

클라우드 기반의 애플리케이션 보안 서비스 제공 방법 및 시스템

본 발명은 클라우드 기반의 애플리케이션 보안 서비스 제공 방법 및 시스템에 관한 것이다.

이하에 기술되는 내용은 단순히 본 실시예와 관련되는 배경 정보만을 제공할 뿐 종래기술을 구성하는 것이 아님을 밝혀둔다.

최근 들어 타인의 컴퓨터에 침입하여 정보를 유출하거나, 역분석(reverse engineering) 기술을 이용하여 컴퓨터 프로그램이 본래 의도된 기능과 다른 기능을 수행하도록 컴퓨터 프로그램의 바이너리 코드를 변조하거나, 디버거와 같은 도구를 사용하여 컴퓨터 프로그램이 실행되는 도중에 바이너리 코드를 변조하여 이를 악용하는 사례가 빈번히 일어나고 있다. 예를 들어, 프로그램을 변조하는 자는 온라인 게임의 사용자 PC에서 동작하는 클라이언트 프로그램을 역분석하여, 클라이언트 프로그램이 자동적으로 수행되도록 변조한다면 비정상적인 방법으로 게임 아이템을 획득할 수도 있을 것이다.

따라서 애플리케이션의 소스 코드에 해당하는 바이너리 코드 등을 보호할 필요가 있다. 현재는 보안 솔루션 SDK(Software Development Kit)를 소스 코드에 적용함으로써 애플리케이션의 바이너리 코드를 보호하는 것이 일반적이다. 그러나 애플리케이션의 바이너리 코드를 보호하기 위해 SDK를 사용하는 경우에는 우선 해당 SDK의 사용 방법을 숙지하여야 하고, 또한 해당 SDK의 라이브러리들이 기존 소스 코드에 추가되어야 한다. 그리고 또한, 기존 소스 코드의 변경도 이루어지는 경우가 발생하기 때문에 많은 시간이 필요하며 개발자의 노력이 뒷받침되어야 한다. 무엇보다도 해커에 의해 바이너리 코드가 공격당할 경우에 신속하게 대응할 수 없다는 문제가 있다.

상술한 문제점을 해결하기 위해, 본 발명은 클라우드에 기반하여 보안 적용의 편리함과 해커의 공격에 대한 신속한 대응을 가능하게 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 방법 및 시스템을 제공하는 것을 목적으로 한다.

상술한 목적을 달성하기 위해, 본 발명의 일실시예에 따른, 클라이언트 장치와 클라우드 장치를 포함하는 보안 서비스 제공 시스템에서 클라우드 기반의 애플리케이션 보안 서비스 제공 방법은, 상기 클라이언트 장치에서, 애플리케이션 소스를 컴파일하여 바이너리를 생성하는 바이너리 생성 공정; 상기 클라이언트 장치에서, 상기 바이너리 생성 공정에서 생성된 바이너리를 포함하는 실행 패키지를 구성하는 실행 패키지 구성 공정; 상기 클라이언트 장치에서, 상기 실행 패키지 구성 공정에서 구성된 실행 패키지를 상기 클라우드 장치로 업로딩하는 업로딩 공정; 상기 클라우드 장치에서, 상기 업로딩 공정에서 업로딩된 실행 패키지를 분해하여 바이너리를 추출하는 실행 패키지 분해 공정; 상기 클라우드 장치에서, 복수의 보안 라이브러리 중 어느 하나의 보안 라이브러리를 상기 실행 패키지 분해 공정에서 추출된 바이너리에 적용하여 보안 적용 바이너리를 생성하는 보안 라이브러리 적용 공정; 상기 클라우드 장치에서, 상기 보안 라이브러리 적용 공정에서 생성된 보안 적용 바이너리를 포함하는 보안 적용 실행 패키지를 재구성하는 실행 패키지 재구성 공정; 및 상기 클라이언트 장치에서, 상기 패키지 재구성 공정에서 재구성된 보안 적용 실행 패키지를 다운로딩하는 다운로딩 공정을 제공한다.

상기 보안 라이브러리에는 무결성 검증을 위한 해시 검증 기능이 포함되고, 상기 클라우드 장치는, 상기 보안 라이브러리에서의 해시 검증 기능을 위해 상기 실행 패키지 분해 공정에서 추출된 바이너리에 대해 해시 코드를 생성하는 해시 코드 생성 공정을 더 포함할 수 있다.

상기 보안 라이브러리에는 상기 해시 검증 기능 외에 안티디버깅 기능, 안티덤프 기능, 또는 안티디버깅 기능 및 덤프 기능이 포함되어 있을 수 있다.

상기 클라이언트 장치는, 상기 바이너리 생성 공정 전에 상기 애플리케이션 소스의 특정 함수에 대해 보안 태그를 설정하는 보안 태그 설정 공정을 더 포함할 수 있다.

상기 클라이언트 장치는 상기 보안 태그 설정 공정에서 설정된 보안 태그가 검출되면 자동으로 보안 태그에 관련된 디버거용 라이브러리를 연결시키는 디버거용 라이브러리 연결 공정을 더 포함할 수 있다.

상기 실행 패키지 분해 공정은 상기 업로딩 공정에서 업로딩된 실행 패키지를 파싱하여 디버거용 라이브러리를 추출하고, 상기 보안 라이브러리 적용 공정은 상기 실행 패키지 분해 공정에서 추출된 디버거용 라이브러리를 복수의 보안 라이브러리 중 어느 하나의 보안 라이브러리로 교체하여 보안 적용 바이너리를 생성할 수 있다.

상기 해시 코드 생성 공정은 상기 실행 패키지 분해 공정에서 추출된 바이너리에서 보안 태그가 설정된 특정 함수에 대해 해시 코드를 생성할 수 있다.

상기 클라우드 장치는, 상기 해시 코드 생성 공정 후 상기 보안 라이브러리 적용 공정에서 생성된 보안 적용 바이너리에 대해, 복수의 보안 라이브러리 중 어느 하나의 보안 라이브러리에 대응하여 제공된 암호화 키를 이용하여 암호화하는 암호화 공정을 더 포함할 수 있다.

본 발명의 또 하나의 실시예에 따른 클라이언트 장치와 클라우드 장치를 포함하는 보안 서비스 제공 시스템에서 클라우드 기반의 애플리케이션 보안 서비스 제공 방법은, 상기 클라이언트 장치에서, 애플리케이션 소스를 컴파일하여 바이너리를 생성하는 바이너리 생성 공정; 상기 클라우드 장치에서, 상기 클라이언트 장치에 복수의 보안 라이브러리 중 어느 하나의 보안 라이브러리를 제공하는 보안 라이브러리 제공 공정; 및 상기 클라이언트 장치에서, 상기 보안 라이브러리 제공 공정에서 제공된 보안 라이브러리를 상기 바이너리 생성 공정에서 생성된 바이너리에 적용하여 보안 적용 바이너리를 생성하는 보안 라이브러리 적용 공정을 제공함으로써, 상술한 목적을 달성할 수 있다.

본 발명의 일 실시예에 따른 클라이언트 장치와 클라우드 장치를 포함하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템에 있어서, 상기 클라이언트 장치는 애플리케이션 소스를 컴파일하여 바이너리를 생성하는 컴파일러부와, 상기 컴파일러부에서 생성된 바이너리를 포함하는 실행 패키지를 구성하는 실행 패키지 구성부와, 상기 실행 패키지 구성부에서 구성된 실행 패키지를 상기 클라우드 장치로 업로딩하는 업로드부와, 및 상기 클라우드 장치로부터 보안이 적용된 보안 적용 실행 패키지를 다운로딩하는 다운로드부를 제공하고, 상기 클라우드 장치는 상기 업로드부에서 업로딩된 실행 패키지를 분해하여 바이너리를 추출하는 실행 패키지 분해부와, 복수의 보안 라이브러리 중 어느 하나의 보안 라이브러리를 제공하는 보안 라이브러리 제공부와, 상기 보안 라이브러리 제공부에서 제공된 보안 라이브러리를 상기 실행 패키지 분해부에서 추출된 바이너리에 적용하여 보안 적용 바이너리를 생성하는 보안 라이브러리 적용부와, 및 상기 보안 라이브러리 적용부에서 생성된 보안 적용 바이너리를 포함하는 실행 패키지를 재구성하는 실행 패키지 재구성부를 제공함으로써, 상술한 목적을 달성할 수 있다.

본 발명의 또 하나의 실시예에 따른, 클라이언트 장치와 클라우드 장치를 포함하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템에 있어서, 상기 클라우드 장치는 복수의 보안 라이브러리 중 어느 하나의 보안 라이브러리를 상기 클라이언트 제공부에 제공하는 보안 라이브러리 제공부를 제공하고, 상기 클라이언트 장치는 애플리케이션 소스를 컴파일하여 바이너리를 생성하는 컴파일러부와, 상기 클라우드 장치에서 제공된 보안 라이브러리를 상기 컴파일러부에 생성된 바이너리에 적용하여 보안 적용 바이너리를 생성하는 보안 라이브러리 적용부를 제공함으로써, 상술한 목적을 달성할 수 있다.

이상에서 설명한 바와 같이 본 실시예에 의하면, 클라우드에 기반하여 보안 적용의 편리함과 해커의 공격에 대한 신속한 대응이 가능하다.

또한, 프로그램의 실행 성능에 민감하면서 바이너리 변조에 대한 보안이 필요한 컴퓨터 프로그램의 실행에 있어서, 메모리 해시를 이용한 무결성 검증을 위하여 보호가 필요한 중요한 함수에 보안 태그를 적용하고, 보안 태그가 적용된 함수가 호출될 경우에, 보안 태그가 적용된 함수에 대해서만 메모리 해시를 이용하여 바이너리의 변조 여부를 검사함으로써, 해시 계산에 대한 부담으로 인해 컴퓨터 프로그램의 실행 성능 및 시스템 성능이 저하되는 것을 방지할 수 있다.

한편, 보안 태그는 짧은 시간 간격으로 반복적으로 호출되는 함수보다는, 계정인증, 비밀번호 입력, 결제 관련, 보안관련(해시체크, 안티디버깅 등), 암호화·복호화, 인증서 검증, 상품 구매·판매, 초기화, 서버 통신, 설정파일(세이프파일) 읽고 쓰기, 연산 결과 판정 및 프로그램 실행에 있어 보호가 필요한 중요한 함수에 적합하다. 위와 같은 함수들은 일정한 주기로 반복하여 호출되지는 않는다는 특성이 있고, 반복하여 호출되더라도 함수에 대한 무결성 검증 이후, 다시 같은 함수가 호출된 경우 일정한 시간 간격 내에서는 검증이 생략될 수 있도록 할 수 있다.

도 1은 본 발명의 일실시예에 따른 클라우드 기반의 애플리케이션 보안 서비스 시스템의 개략적인 블록도를 도시한 도면이다.

도 2는 도 1에 도시된 클라이언트 장치의 구체적인 블록도를 도시하는 도면이다.

도 3은 도 1에 도시된 클라우드 장치의 구체적인 블록도를 도시하는 도면이다.

도 4는 본 발명의 일실시예에 따른 애플리케이션 보안 서비스 제공 방법의 흐름도를 도시하는 도면이다.

도 5는 도 1에 도시된 사용자 단말 장치의 구체적인 블록도를 도시하는 도면이다.

도 6은 도 5에 도시된 메인메모리에 로드된 애플리케이션 프로그램 관련 구성을 도시하는 도면이다.

도 7은 본 발명의 일실시예에 따른 애플리케이션이 동적 라이브러리에 포함된 모듈을 호출하는 과정을 도시하는 도면이다.

이하, 본 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.

본 실시예에 따른 클라우드 기반의 애플리케이션 보안 서비스 제공 방법은 C/C++와 같이 네이티브 코드(native code)를 생성할 수 있는 프로그램 언어라면 PC, 서버, 스마트 폰 등 하드웨어나 Windows, UNIX, Linux, OS X 등 응용 소프트웨어가 실행되는 운영체제에 관계없이 동일하게 적용될 수 있다.

도 1에 도시된 바와 같이, 애플리케이션 보안 서비스 시스템은 클라이언트 장치(100), 클라우드 장치(150) 및 사용자 단말 장치(190)를 포함한다.

클라이언트 장치(100)는 클라이언트 메모리부(110), 컴파일러부(120), 실행 패키지 구성부(125), 업로드부(130) 및 다운로드부(140)를 포함한다.

클라이언트 메모리부(110)에는 애플리케이션 프로그램 개발이 완료된 애플리케이션 소스 코드(112)가 저장되어 있다. 컴파일러부(120)는 클라이언트 메모리부(110)에 저장된 애플리케이션 소스 코드(112)를 컴파일하여 바이너리 코드(114)를 생성하며, 생성된 바이너리 코드(114)는 클라이언트 메모리부(110)에 저장된다. 실행 패키지 구성부(125)는 클라이언트 메모리부(110)에 저장된 바이너리 코드(114)와 기타 리소스 등을 합쳐서 실행 패키지(116)를 구성하며, 구성된 실행 패키지(116)는 클라이언트 메모리부(110)에 저장된다.

업로드부(130)는 클라이언트 메모리부(110)에 저장된 실행 패키지(116)를 클라우드 장치(150)로 업로딩하며, 다운로드부(140)는 클라우드 장치(150)로부터 보안 적용 실행 패키지(118)를 다운로드하며, 다운로드된 보안 적용 실행 패키지(118)는 클라이언트 메모리부(110)에 저장된다.

클라우드 장치(150)는 클라우드 메모리부(160), 실행 패키지 분해부(170), 보안 라이브러리 적용부(172), 해시 코드 생성부(174), 암호화부(176), 실행 패키지 재구성부(178) 및 보안 라이브러리 제공부(180)를 포함한다.

클라우드 메모리부(160)에는 업로드부(130)에서 업로드된 실행 패키지(116)가 저장된다. 실행 패키지 분해부(170)는 실행 패키지를 분해하여 바이너리 코드(114)를 추출하며, 바이너리 코드(144)는 클라우드 메모리부(160)에 저장된다. 보안 라이브러리 적용부(172)는 보안 라이브러리 제공부(180)에서 제공된 보안 라이브러리를 바이너리 코드(114)에 적용한다.

해시 코드 생성부(174)는 보안이 적용된 바이너리 코드에 대해 해시 함수를 이용하여 해시 코드를 생성한다. 여기서 해시 코드 생성부(174)는 해시 코드를 파일 단위로 또는 메모리 단위로 생성할 수 있다. 암호화부(176)는 보안 적용 바이너리 코드와 해시 코드 생성부(174)에서 생성된 해시 코드에 대해 암호화 알고리즘을 이용하여 암호화를 실행한다. 실행 패키지 재구성부(178)는 보안이 적용된 바이너리 코드와 기타 리소스 등을 합쳐서 보안 적용 실행 패키지(118)로 재구성한다.

보안 라이브러리 제공부(180)는 보안 라이브러리 적용부(172)에 보안 라이브러리를 제공하기 위한 것으로, 다수의 보안 라이브러리들이 저장되어 있다. 다수의 보안 라이브러리는 생성시마다 코드 난독화가 사용되므로, 서로 다른 형태를 갖는 보안 라이브러리들로 구성된다. 보안 라이브러리는 일반적으로 해시 검증 기능이 포함되어 있으며, 또한 디버거(debugger)와 같은 도구를 이용하여 프로그램을 정적 또는 동적으로 분석하거나 악의적인 코드를 삽입하여 공격할 수 없도록 안티디버깅(anti-debugging) 기능과 실행 중인 프로세스의 메모리 상태를 덤프하지 못하도록 하는 안티덤프(anti-dump)기능이 포함되어 있을 수 있다.

사용자 단말 장치(190)는 클라이언트 메모리부(110)에 저장되어 있는 보안 적용 실행 패키지(118)를 다운로드받아 애플리케이션을 구동한다.

도 2에 도시된 바와 같이, 클라이언트 장치(100)는 클라이언트 메모리부(210), 보안 태그 편집부(220), 보안 태그 검사부(230), 보안 적용 컴파일러부(240), APK(Android PacKage) 구성부(250), APK 업로드부(260) 및 APK 다운로드부(270)를 포함한다.

클라이언트 메모리부(210)에는 애플리케이션 프로그램 개발이 완료된 애플리케이션 소스 코드(212)가 저장되어 있다.

보안 태그 편집부(220)는 애플리케이션 소스 코드(212)에서 보안이 필요한 특정 함수에 대해 보안 태그를 편집하기 위해 제공된다. 보안 태그는 무결성 검증을 시작할 지점을 표시하는 시작 태그와 종료 지점을 표시하는 종료 태그로 구성될 수 있다. 보안 태그 편집부(220)에서 편집된 보안 태그 적용 소스 코드(213)는 클라이언트 메모리부(210)에 저장된다.

한편, 보안 태그 편집부(220)는 보안 태그와 관련하여 디버그용 라이브러리를 추가할 수 있다. 디버그용 라이브러리는 클라우드 장치(150)의 보안 라이브러리 적용부(172)에서 릴리즈용 보안 라이브러리로 교체된다. 일반적으로 SDK를 적용시에 안티 디버깅 기능으로 인해 개발시에도 디버깅이 힘든 경우가 종종 발생한다. 그러나 본 실시예에서는 디버그용 라이브러리를 추가함으로써 개발시 디버그에 따르는 불편함을 없앨 수 있다.

보안 태그 검사부(230)는 보안 태그 적용 소스 코드(213)에서 보안 태그를 검사하고, 보안 태그가 발견되면 보안 태그에 자동으로 디버거용 라이브러리를 연결시킨다.

보안 적용 컴파일러부(240)는 보안 태그 검사부(230)에 검사된 보안 태그가 적용된 함수를 적어도 하나 이상 포함하는 소스코드를 컴파일하여 보안 태그 적용 바이너리 코드(214)를 생성하며, 생성된 보안 태그 적용 바이너리 코드(214)는 클라이언트 메모리부(210)에 저장된다.

APK 구성부(250)는 클라이언트 메모리부(210)에 저장된 보안 태그 적용 바이너리 코드와 기타 리소스 등을 합쳐서 보안 태그 적용 실행 패키지(216)를 구성하며, 구성된 보안 태그 적용 실행 패키지(216)는 클라이언트 메모리부(210)에 저장된다.

APK 업로드부(260)는 클라이언트 메모리부(210)에 저장된 보안 태그 적용 실행 패키지(216)를 클라우드 장치(150)로 업로딩하며, APK 다운로드부(270)는 클라우드 장치(150)로부터 보안 적용 실행 패키지(218)를 다운로드하며, 다운로드된 보안 적용 실행 패키지(218)는 클라이언트 메모리부(210)에 저장된다.

도 3에 도시된 바와 같이, 클라우드 장치(150)는 클라우드 메모리부(310), APK 파싱부(320), 보안 라이브러리 적용부(330), 해시 코드 생성부(340), 암호화부(350), APK 재구성부(360) 및 보안 라이브러리 제공부(370)를 포함한다.

클라우드 메모리부(310)에는 APK 업로드부(260)에서 업로드된 보안 태그 적용 실행 패키지(216)가 저장된다. APK 파싱부(320)는 APK 파일인 보안 태그 적용 실행 패키지(216)를 파싱하여 디버거용 라이브러리를 추출한다.

보안 라이브러리 적용부(330)는 파싱된 디버거용 라이브러리를 보안 라이브러리 제공부(370)에서 제공된 릴리즈 보안 라이브러리로 교체한다. 또한 보안 라이브러리 적용부(330)에는 릴리즈 보안 라이브러리 이외에 암호화 키가 제공될 수 있다.

해시 코드 생성부(340)는 릴리즈 보안 적용 바이너리 코드 중 보안 태그가 적용된 특정함수를 해시 함수(MD5, SHA, Checksum 등)의 입력으로 하여 해시 코드를 생성할 수 있다. 해시 코드 생성부(340)는 또한, 구현에 따라 프로그램의 실행에 필요한 필수 파일, 애플리케이션 파일 등을 해시 함수(MD5, SHA, Checksum 등)의 입력으로 하여 파일별로 해시 코드를 생성하고, 생성된 파일별 해시 코드를 포함하는 해시 레지스트리를 생성할 수 있다. 유니티 기반의 애플리케이션에서 프로그램 실행에 필요한 필수 파일은 예컨대 libmono.so, libunity.so MonoSecurity.dll 및 UnityEngine.dll 등이다.

암호화부(350)는 릴리즈 보안 적용 바이너리 코드 중 보안 태그가 적용된 특정함수에 대해 DES, AES, RSA 등과 같은 암호화 알고리즘으로 보안 라이브러리 제공부(370)에서 제공된 암호화 키를 이용하여 암호화를 실행한다. 이 경우 암호화부(350)는 구현예에 따라 동적 라이브러리에 대해서도 암호화할 수 있다. 또한, 암호화부(350)는 해시 코드 생성부(340)에서 생성된 해시 코드에 대해서도 암호화를 실행할 수 있다.

APK 재구성부(360)는 암호화된 릴리즈 보안 적용 바이너리 코드와 기타 리소스 등을 합쳐서 실행 패키지로 재구성한다.

보안 라이브러리 제공부(370)에는 다수의 보안 라이브러리 및 암호화 키들(372)이 저장되어 있다. 다수의 보안 라이브러리 및 암호화 키들은 생성시마다 코드 난독화가 사용되므로, 서로 다른 값을 갖는 보안 라이브러리들로 구성된다. 보안 라이브러리 제공부(370)는 보안 라이브러리 적용부(330)에 다수의 보안 라이브러리 및 암호화 키들 중에서 무작위로 선택된 보안 동적 라이브러리 및 암호화 키를 제공한다. 그리고 보안 라이브러리 제공부(370)는 이미 사용한 보안 라이브러리 및 암호화 키는 삭제하여 다시 사용될 수 없게 한다.

도 3에서 하나의 클라우드 장치(150)에 클라우드 메모리부(310), APK 파싱부(320), 보안 라이브러리 적용부(330), 해시 코드 생성부(340), 암호화부(350), APK 재구성부(360) 및 보안 라이브러리 제공부(370)가 모두 포함하는 것으로 도시되어 있으나, 이는 물리적으로 통합된 하나를 의미하지 않는바, 보안 라이브러리 제공부(370)는 다른 장치로부터 제공될 수 있다.

애플리케이션 개발자가 애플리케이션 프로그램의 개발을 완료하면, 클라이언트 메모리부(210)에는 애플리케이션 프로그램 개발이 완료된 애플리케이션 소스 코드(212)가 저장된다(S402).

애플리케이션 개발자는 보안 태그 편집부(220)를 이용하여 애플리케이션 소스 코드(212)에서 보안이 필요한 특정 함수에 대해 보안 태그를 설정한다(S404). 예를 들어 복수의 함수를 포함하는 컴퓨터 프로그램의 소소코드에서 계정인증, 비밀번호 입력, 결제 관련, 보안관련(해시체크, 안티디버깅 등), 암호화·복호화, 인증서 검증, 상품 구매 및 판매, 초기화, 서버 통신, 설정파일(세이프파일) 읽고 쓰기, 연산 결과 판정 및 프로그램 실행에 있어 보호가 필요한 중요한 함수 등 적어도 하나 이상의 함수에 보안 태그를 설정할 수 있다. 위와 같은 함수들은 대개 주기적으로 반복하여 호출되지 않는 특성을 가지고 있으면서도 컴퓨터 프로그램을 변조하고자 하는 자들에게는 주요한 관심의 대상이다. 그러므로 위와 같은 함수에 대해서만 무결성을 검증하더라도 유효성이 매우 높고, 무결성 검증으로 인한 프로그램의 실행 성능의 저하도 최소화 할 수 있다.

보안 태그 검사부(230)는 보안 태그 적용 소스 코드(213)에서 보안 태그를 검사하고, 보안 태그가 발견되면 보안 태그에 자동으로 디버거용 라이브러리를 연결시킨다(S406).

보안 적용 컴파일러부(240)는 클라이언트 메모리부(210)에 저장된 보안 태그가 적용된 함수를 적어도 하나 이상 포함하는 소스코드를 컴파일하여 보안 태그 적용 바이너리 코드(214)를 생성하며(S408), 생성된 보안 태그 적용 바이너리 코드(214)는 클라이언트 메모리부(210)에 저장된다.

APK 구성부(250)는 클라이언트 메모리부(210)에 저장된 보안 태그 적용 바이너리 코드(214)와 기타 리소스 등을 합쳐서 보안 태그 적용 실행 패키지(216)를 구성하며(S410), 구성된 보안 태그 적용 실행 패키지(216)는 클라이언트 메모리부(210)에 저장된다.

APK 업로드부(260)는 클라이언트 메모리부(210)에 저장된 보안 태그 적용 실행 패키지(216)를 클라우드 장치(150)로 업로딩한다(S412).

클라우드 메모리부(310)에는 APK 업로드부(260)에서 업로드된 보안 태그 적용 실행 패키지(216)가 저장되고, APK 파싱부(320)는 APK 파일인 보안 태그 적용 실행 패키지(216)를 파싱하여 디버거용 라이브러리를 추출한다(S414).

보안 라이브러리 적용부(330)는 파싱된 디버거용 라이브러리를 보안 라이브러리 제공부(370)에서 제공된 릴리즈 보안 라이브러리로 교체한다(S416).

해시 코드 생성부(340)는 릴리즈 보안 적용 바이너리 코드 중 보안 태그가 적용된 특정함수를 해시 함수(MD5, SHA, Checksum 등)의 입력으로 하여 해시 코드를 생성할 수 있다(S420). 해시 코드 생성부(340)는 또한, 구현에 따라 프로그램의 실행에 필요한 필수 파일, 애플리케이션 파일 등을 해시 함수(MD5, SHA, Checksum 등)의 입력으로 하여 파일별로 해시 코드를 생성하고, 생성된 파일별 해시 코드를 포함하는 해시 레지스트리를 생성할 수 있다. 유니티 기반의 애플리케이션에서 프로그램 실행에 필요한 필수 파일은 예컨대 libmono.so, libunity.so MonoSecurity.dll 및 UnityEngine.dll 등이다.

암호화부(350)는 릴리즈 보안 적용 바이너리 코드 중 보안 태그가 적용된 특정함수를 DES, AES, RSA 등과 같은 암호화 알고리즘으로 보안 라이브러리 제공부(370)에서 제공된 암호화 키를 이용하여 암호화하며(S418), 또한 구현에 따라 암호화부(350)는 동적 라이브러리에 대해서도 암호화할 수 있다.

APK 재구성부(360)는 암호화된 릴리즈 보안 적용 바이너리 코드와 기타 리소스 등을 합쳐서 보안 적용 실행 패키지(218)로 재구성한다(S422).

APK 다운로드부(270)는 클라우드 장치(150)로부터 보안 적용 실행 패키지(218)를 다운로드하며(S424), 다운로드된 보안 적용 실행 패키지(218)는 클라이언트 메모리부(210)에 저장된다.

클라이언트 메모리부(210)에 저장된 보안 적용 실행 패키지(218)는 네트워크부(560)나 저장매체 등의 유통 수단을 통해 사용자 단말 장치(190)의 보조 메모리부(540)에 저장된다. 실행 패키지, 예컨대 게임 프로그램을 실행하면 메인 메모리부(520)에 로드하여 CPU(510)가 실행한다. 게임 프로그램의 실행 결과를 디스플레이부(530)에 표시한다. 게임 프로그램은 입력부(550)나 네트워크부(560)를 통해 새로운 값을 입력 받을 수도 있다.

본 발명의 실시예에 따른 사용자 단말 장치(190)는 개인용 컴퓨터(PC: Personal Computer), 노트북 컴퓨터, 태블릿, 개인 휴대 단말기(PDA: Personal Digital Assistant), 게임 콘솔, 휴대형 멀티미디어 플레이어(PMP: Portable Multimedia Player), 플레이스테이션 포터블(PSP: PlayStation Portable), 무선 통신 단말기(Wireless Communication Terminal), 스마트폰(Smart Phone), TV, 미디어 플레이어 등과 같은 사용자 단말기일 수 있다. 본 발명의 실시예에 따른 사용자 단말 장치(190)는 응용 서버와 서비스 서버 등 서버 단말기일 수 있다. 본 발명의 실시예에 따른 사용자 단말 장치(190)는 각기 (i) 각종 기기 또는 유무선 통신망과 통신을 수행하기 위한 통신 모뎀 등의 통신장치, (ii) 프로그램을 실행하기 위한 데이터를 저장하기 위한 메모리, (iii) 프로그램을 실행하여 연산 및 제어하기 위한 마이크로프로세서 등을 구비하는 다양한 장치를 의미할 수 있다. 적어도 일 실시예에 따르면, 메모리는 램(Random Access Memory: RAM), 롬(Read Only Memory: ROM), 플래시 메모리, 광 디스크, 자기 디스크, 솔리드 스테이트 디스크(Solid State Disk: SSD) 등의 컴퓨터로 판독 가능한 기록/저장매체일 수 있다. 적어도 일 실시예에 따르면, 마이크로프로세서는 명세서에 기재된 동작과 기능을 하나 이상 선택적으로 수행하도록 프로그램될 수 있다.

도 6에는 메인 메모리부(520)에 로드되어 실행되고 있는 게임 프로그램(610), 보안 적용 바이너리(620) 및 보안 라이브러리(630)가 도시되어 있다. 보안 라이브러리(630)에는 해시 검증 기능(632), 안티디버깅 기능(634), 안티덤프 기능(638) 등의 보안 기능이 예시되어 있다. 게임 프로그램을 실행시키면 보조 메모리부(540)에서 게임 프로그램의 바이너리가 메인 메모리부(520)에 로드된다. 게임 프로그램이 실행되는 도중, 보안 적용 바이너리(620)에서 보안 태그가 설정된 특정 함수가 호출되면, 보안 라이브러리(630)의 검증 기능(632), 안티디버깅 기능(634), 안티덤프 기능(638) 등이 실행된다.

클라이언트 메모리부(210)에 저장된 보안 적용 실행 패키지(218)는 네트워크부(560)나 저장매체 등의 유통 수단을 통해 사용자 단말 장치(190)의 보조 메모리부(540)에 저장된다(S702).

게임 프로그램이 구동되면, CPU(510)는 보안 적용 실행 패키지(218)인 게임 프로그램(610)을 메인 메모리부(520)에 로딩한다(S704). 게임 프로그램(610)의 실행에 따라 보안 라이브러리(630)가 로딩되어 동작한다(S706).

보안 라이브러리(630)가 동작하여 탬퍼링(tempering)을 검출하면(S708), 게임 프로그램은 종료되고, 탬퍼링이 검출되지 않으면 게임 프로그램을 동작시킨다(S710).

이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims

클라이언트 장치와 클라우드 장치를 포함하는 보안 서비스 제공 시스템에서 클라우드 기반의 애플리케이션 보안 서비스 제공 방법으로서,

상기 클라이언트 장치에서, 애플리케이션 소스를 컴파일하여 바이너리를 생성하는 바이너리 생성 공정;

상기 클라이언트 장치에서, 상기 바이너리 생성 공정에서 생성된 바이너리를 포함하는 실행 패키지를 구성하는 실행 패키지 구성 공정;

상기 클라이언트 장치에서, 상기 실행 패키지 구성 공정에서 구성된 실행 패키지를 상기 클라우드 장치로 업로딩하는 업로딩 공정;

상기 클라우드 장치에서, 상기 업로딩 공정에서 업로딩된 실행 패키지를 분해하여 바이너리를 추출하는 실행 패키지 분해 공정;

상기 클라우드 장치에서, 복수의 보안 라이브러리 중 어느 하나의 보안 라이브러리를 상기 실행 패키지 분해 공정에서 추출된 바이너리에 적용하여 보안 적용 바이너리를 생성하는 보안 라이브러리 적용 공정;

상기 클라우드 장치에서, 상기 보안 라이브러리 적용 공정에서 생성된 보안 적용 바이너리를 포함하는 보안 적용 실행 패키지를 재구성하는 실행 패키지 재구성 공정; 및

상기 클라이언트 장치에서, 상기 패키지 재구성 공정에서 재구성된 보안 적용 실행 패키지를 다운로딩하는 다운로딩 공정을 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 방법.
제1항에 있어서,

상기 보안 라이브러리에는 무결성 검증을 위한 해시 검증 기능이 포함되고,

상기 클라우드 장치에서, 상기 보안 라이브러리에서의 해시 검증 기능을 위해 상기 실행 패키지 분해 공정에서 추출된 바이너리에 대해 해시 코드를 생성하는 해시 코드 생성 공정을 더 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 방법.
제2항에 있어서,

상기 보안 라이브러리에는 상기 해시 검증 기능 외에 안티디버깅 기능, 안티덤프 기능, 또는 안티디버깅 기능 및 덤프 기능이 포함되어 있는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 방법.
제2항 또는 제3항에 있어서,

상기 클라이언트 장치에서, 상기 바이너리 생성 공정 전에 상기 애플리케이션 소스의 특정 함수에 대해 보안 태그를 설정하는 보안 태그 설정 공정을 더 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 방법.
제4항에 있어서,

상기 클라이언트 장치에서, 상기 보안 태그 설정 공정에서 설정된 보안 태그가 검출되면 자동으로 보안 태그에 관련된 디버거용 라이브러리를 연결시키는 디버거용 라이브러리 연결 공정을 더 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 방법.
제5항에 있어서,

상기 실행 패키지 분해 공정은 상기 업로딩 공정에서 업로딩된 실행 패키지를 파싱하여 디버거용 라이브러리를 추출하고,

상기 보안 라이브러리 적용 공정은 상기 실행 패키지 분해 공정에서 추출된 디버거용 라이브러리를 복수의 보안 라이브러리 중 어느 하나의 보안 라이브러리로 교체하여 보안 적용 바이너리를 생성하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 방법.
제6항에 있어서,

상기 해시 코드 생성 공정은 상기 실행 패키지 분해 공정에서 추출된 바이너리에서 보안 태그가 설정된 특정 함수에 대해 해시 코드를 생성하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 방법.
제7항에 있어서,

상기 클라우드 장치에서, 상기 해시 코드 생성 공정 후 상기 보안 라이브러리 적용 공정에서 생성된 보안 적용 바이너리에 대해, 복수의 보안 라이브러리 중 어느 하나의 보안 라이브러리에 대응하여 제공된 암호화 키를 이용하여 암호화하는 암호화 공정을 더 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 방법.
클라이언트 장치와 클라우드 장치를 포함하는 보안 서비스 제공 시스템에서 클라우드 기반의 애플리케이션 보안 서비스 제공 방법으로서,

상기 클라이언트 장치에서, 애플리케이션 소스를 컴파일하여 바이너리를 생성하는 바이너리 생성 공정;

상기 클라우드 장치에서, 상기 클라이언트 장치에 복수의 보안 라이브러리 중 어느 하나의 보안 라이브러리를 제공하는 보안 라이브러리 제공 공정; 및

상기 클라이언트 장치에서, 상기 보안 라이브러리 제공 공정에서 제공된 보안 라이브러리를 상기 바이너리 생성 공정에서 생성된 바이너리에 적용하여 보안 적용 바이너리를 생성하는 보안 라이브러리 적용 공정을 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 방법.
클라이언트 장치와 클라우드 장치를 포함하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템으로서,

상기 클라이언트 장치는 애플리케이션 소스를 컴파일하여 바이너리를 생성하는 컴파일러부와, 상기 컴파일러부에서 생성된 바이너리를 포함하는 실행 패키지를 구성하는 실행 패키지 구성부와, 상기 실행 패키지 구성부에서 구성된 실행 패키지를 상기 클라우드 장치로 업로딩하는 업로드부와, 및 상기 클라우드 장치로부터 보안이 적용된 보안 적용 실행 패키지를 다운로딩하는 다운로드부를 포함하고,

상기 클라우드 장치는 상기 업로드부에서 업로딩된 실행 패키지를 분해하여 바이너리를 추출하는 실행 패키지 분해부와, 복수의 보안 라이브러리 중 어느 하나의 보안 라이브러리를 제공하는 보안 라이브러리 제공부와, 상기 보안 라이브러리 제공부에서 제공된 보안 라이브러리를 상기 실행 패키지 분해부에서 추출된 바이너리에 적용하여 보안 적용 바이너리를 생성하는 보안 라이브러리 적용부와, 및 상기 보안 라이브러리 적용부에서 생성된 보안 적용 바이너리를 포함하는 실행 패키지를 재구성하는 실행 패키지 재구성부를 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템.
제10항에 있어서,

상기 보안 라이브러리에는 무결성 검증을 위한 해시 검증 기능이 포함되고,

상기 클라우드 장치는, 상기 보안 라이브러리에서의 해시 검증 기능을 위해 상기 실행 패키지 분해부에서 추출된 바이너리에 대해 해시 코드를 생성하는 해시 코드 생성부를 더 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템.
제11항에 있어서,

상기 보안 라이브러리에는 상기 해시 검증 기능 외에 안티디버깅 기능, 안티덤프 기능, 또는 안티디버깅 기능 및 덤프 기능이 포함되어 있는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템.
제11항 또는 제12항에 있어서,

상기 클라이언트 장치는, 상기 애플리케이션 소스의 특정 함수에 대해 보안 태그를 설정하는 보안 태그 설정부를 더 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템.
제13항에 있어서,

상기 클라이언트 장치는, 상기 보안 태그 설정부에서 설정된 보안 태그가 검출되면 자동으로 보안 태그에 관련된 디버거용 라이브러리를 연결시키는 보안 태그 검사부를 더 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템.
제14항에 있어서,

상기 실행 패키지 분해부는 상기 업로드부에서 업로딩된 실행 패키지를 파싱하여 디버거용 라이브러리를 추출하고,

상기 보안 라이브러리 적용부는 상기 실행 패키지 분해부에서 추출된 디버거용 라이브러리를 상기 보안 라이브러리 제공부에서 제공된 보안 라이브러리로 교체하여 보안 적용 바이너리를 생성하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템.
제15항에 있어서,

상기 해시 코드 생성부는 상기 실행 패키지 분해부에서 추출된 바이너리에서 보안 태그가 설정된 특정 함수에 대해 해시 코드를 생성하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템.
제16항에 있어서,

상기 클라우드 장치는, 상기 해시 코드 생성부에서 생성된 보안 적용 바이너리에 대해, 상기 보안 라이브러리 제공부에서 제공된 보안 라이브러리에 대응하여 제공된 암호화 키를 이용하여 암호화하는 암호화부를 더 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템.
제10항 내지 제12항 중 어느 한 항에 있어서,

상기 클라이언트 장치에서 제공된 보안 적용 실행 패키지를 다운받아 애플리케이션을 실행하는 사용자 단말 장치를 더 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템.
클라이언트 장치와 클라우드 장치를 포함하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템으로서,

상기 클라우드 장치는 복수의 보안 라이브러리 중 어느 하나의 보안 라이브러리를 상기 클라이언트 제공부에 제공하는 보안 라이브러리 제공부를 포함하고,

상기 클라이언트 장치는 애플리케이션 소스를 컴파일하여 바이너리를 생성하는 컴파일러부와, 상기 클라우드 장치에서 제공된 보안 라이브러리를 상기 컴파일러부에 생성된 바이너리에 적용하여 보안 적용 바이너리를 생성하는 보안 라이브러리 적용부를 포함하는 것을 특징으로 하는 클라우드 기반의 애플리케이션 보안 서비스 제공 시스템.