WO2017030288A1

WO2017030288A1 - 원격 코드 실행을 이용한 실행 무결성 검증 시스템 및 그 방법

Info

Publication number: WO2017030288A1
Application number: PCT/KR2016/007463
Authority: WO
Inventors: 이정현; 박용진; 신선우
Original assignee: (주)케이사인; 숭실대학교 산학협력단
Priority date: 2015-08-19
Filing date: 2016-07-08
Publication date: 2017-02-23
Also published as: US20170054693A1; KR101624606B1

Abstract

본 발명은 원격 코드 실행을 이용한 실행 무결성 검증 시스템 및 그 방법에 대한 것이다. 본 발명에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템은 반환함수의 포인터를 서비스 호출 함수의 인자로 하여 RCE(Remote Code Execution)를 통해 RCE서버에 RCE 서비스를 요청하고, RCE서버로부터 반환함수의 메모리 코드를 전달받기 위한 Reverse-RCE가 요청되면, RCE서버에 반환함수의 메모리 코드를 전달하는 클라이언트 및 전달된 메모리 코드의 해쉬 값을 생성하여 생성된 해쉬 값과 기 저장된 원본 반환함수의 메모리 코드의 해쉬 값을 비교하고, 비교 결과에 따라 서비스 함수를 실행하여 반환 값을 생성하고, 생성된 반환 값을 서비스 호출 함수의 인자로 하여 Reverse-RCE를 통해 클라이언트에 전달하는 RCE서버를 포함한다.

Description

원격 코드 실행을 이용한 실행 무결성 검증 시스템 및 그 방법

본 발명은 원격 코드 실행을 이용한 실행 무결성 검증 시스템 및 그 방법에 관한 것으로서, 보다 상세하게는 원격 코드 실행(Remote Code Execution)을 이용하여 모바일 애플리케이션의 중요 코드가 노출되지 않도록 하고, 실행 무결성을 검증 및 보장하는 원격 코드 실행을 이용한 실행 무결성 검증 시스템 및 그 방법에 관한 것이다.

2014년 1분기 IT 전문 조사기관인 가트너에 따르면 스마트 태블릿 및 스마트폰의 2014년 전 세계 기기 출하량이 2013년 대비 11% 증가한 20억대에 이르는 것으로 전망했고, 2015년에는 23억대를 넘어설 것으로 전망하고 있다. 이에 따라 애플리케이션 공급자인 안드로이드 구글 플레이의 앱 규모가 커짐과 동시에 모바일 애플리케이션을 보호하는 기술에 대한 수요 또한 증가할 것으로 전망된다.

일반적으로 모바일 애플리케이션은 기술적 특성상 역공학 공격 기법에 매우 취약하다. 따라서 종래에는 역공학 공격 기법에 대한 저항성을 가지기 위해 난독화 등의 보안기법을 적용하여 역공학 공격시간이 지연되도록 하였다. 그러나, 대부분의 모바일 애플리케이션에 대한 역공학 공격은 대부분 프로그램 비교 루틴이나 실행 결과 값을 변조하여 프로그램 로직을 변경한 후 재배포하는 리패키징 공격이 가능하므로 이러한 종래 기술만으로는 모바일 애플리케이션을 대상으로 하는 역공학 공격에 대한 저항이 효과적이지 못하다는 문제점이 있다.

즉, 이와 같은 리패키징 공격을 수행할 경우, 반환 값의 수정이나 프로그램 로직 변경이 가능하므로 실질적으로 이를 해결하기 위한 기술의 개발이 필요하다.

본 발명의 배경이 되는 기술은 대한민국 공개특허공보 제10-2014-0082408호(2014.07.02.공개)에 개시되어 있다.

본 발명은 상기와 같은 문제점을 개선하기 위해 창출된 것으로, 본 발명의 목적은 원격 코드 실행(Remote Code Execution)을 이용하여 모바일 애플리케이션의 중요 코드가 노출되지 않도록 하고, 실행 무결성을 검증 및 보장하여 역공학 저항성이 증가되도록 하는 원격 코드 실행을 이용한 실행 무결성 검증 시스템 및 그 방법을 제공하는 것이다.

이러한 기술적 과제를 이루기 위한 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템은, 반환함수의 포인터를 서비스 호출 함수의 인자로 하여 RCE(Remote Code Execution)를 통해 RCE서버에 RCE 서비스를 요청하고, 상기 RCE서버로부터 상기 반환함수의 메모리 코드를 전달받기 위한 Reverse-RCE가 요청되면, 상기 RCE서버에 상기 반환함수의 메모리 코드를 전달하는 클라이언트; 및 상기 전달된 메모리 코드의 제1 해쉬 값을 생성하여 상기 생성된 해쉬 값과 기 저장된 원본 반환함수의 메모리 코드의 제2 해쉬 값을 비교하고, 상기 비교 결과에 따라 서비스 함수를 실행하여 반환 값을 생성하고, 상기 생성된 반환 값을 상기 서비스 호출 함수의 인자로 하여 Reverse-RCE를 통해 상기 클라이언트에 전달하는 상기 RCE서버를 포함하고, 상기 클라이언트는, 상기 반환 값을 인자로 하여 상기 반환함수를 처리할 수 있다.

또한, 상기 클라이언트는, 메모리에 로드된 상기 반환함수의 메모리 코드를 상기 RCE서버에 전달할 수 있다.

또한, 상기 클라이언트는 상기 반환함수의 메모리 코드를 덤프(dump)하여 상기 RCE서버에 전달하고, 상기 RCE서버는, 상기 전달된 메모리 코드의 바이너리를 해싱하여 상기 제1 해쉬 값을 생성할 수 있다.

또한, 상기 RCE서버는, 상기 원본 반환함수의 메모리 코드의 바이너리를 해싱하여 생성된 상기 제2 해쉬 값을 저장할 수 있다.

또한, 상기 RCE서버는, 상기 생성된 제1 해쉬 값과 상기 기 저장된 제2 해쉬 값이 동일한 경우, 상기 반환함수의 메모리 코드에 대한 무결성이 검증된 것으로 판단하여 Reverse-RCE를 통해 상기 클라이언트에 상기 반환 값을 전달할 수 있다.

또한, 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템에 의해 수행되는 실행 무결성 검증 방법은, 클라이언트가 반환함수의 포인터를 서비스 호출 함수의 인자로 하여 RCE(Remote Code Execution)를 통해 RCE서버에 RCE 서비스를 요청하는 단계; 상기 RCE서버가 상기 반환함수의 포인터를 이용하여 Reverse-RCE를 통해 상기 클라이언트에 상기 반환함수의 메모리 코드를 요청하는 단계; 상기 RCE서버가 상기 클라이언트로부터 상기 메모리 코드를 전달받아 상기 메모리 코드의 제1 해쉬 값을 생성하는 단계; 상기 RCE서버가 상기 생성된 제1 해쉬 값과 기 저장된 원본 반환함수의 메모리 코드의 제2 해쉬 값을 비교하는 단계; 상기 RCE서버가 상기 비교 결과에 따라 서비스 함수를 실행하여 반환 값을 생성하고, 상기 생성된 반환 값을 상기 서비스 호출 함수의 인자로 하여 Reverse-RCE를 통해 상기 클라이언트에 전달하는 단계; 및 상기 클라이언트가 상기 반환 값을 인자로 하여 상기 반환함수를 처리하는 단계를 포함한다.

본 발명에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템 및 그 방법은 원격 코드 실행(Remote Code Execution) 통신 기술을 기반으로 원격 코드 실행(Remote Code Execution)을 이용하여 모바일 애플리케이션의 중요 코드가 노출되지 않도록 함으로써 원격지에서의 코드 변경을 방지할 수 있고, 실행 무결성을 확보함으로써 역공학 저항성을 증가시킬 수 있다.

도 1은 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템을 나타낸 도면이다.

도 2는 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템의 전처리 과정을 설명하기 위한 개념도이다.

도 3은 클라이언트와 RCE서버의 세부블록도이다.

도 4는 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템의 서비스 흐름을 설명하기 위한 도면이다.

도 5는 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 방법의 동작 흐름을 도시한 순서도이다.

도 6은 도 5를 설명하기 위한 개념도이다.

이하 첨부된 도면을 참조하여 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템 및 그 방법을 설명한다. 이 과정에서 도면에 도시된 선들의 두께나 구성요소의 크기 등은 설명의 명료성과 편의상 과장되게 도시되어 있을 수 있다.

또한 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 관례에 따라 달라질 수 있다. 그러므로 이러한 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

일반적으로 원격 코드 실행(Remote Code Execution, 이하 RCE) 서비스는, RCE 코드를 호출하는 클라이언트(또는, 호출자(caller)) 및 RCE 서비스를 제공하는 RCE서버(server)로 구성될 수 있다.

본 발명에서는, 이러한 RCE 서비스를 기반으로 원격 코드 실행을 설계하여 이를 역공학 공격에 취약한 모바일 애플리케이션에 적용함으로써, 중요 코드의 노출을 방지하고, 실행 무결성을 확보할 수 있는 원격 코드 실행을 이용한 실행 무결성 검증 시스템을 구현하고자 한다.

먼저, 도 1 내지 도 4를 통해 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템에 대하여 설명한다.

도 1은 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템을 나타낸 도면이고, 도 2는 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템의 전처리 과정을 설명하기 위한 개념도이다.

도 1 및 도 2에서와 같이 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템은, 클라이언트(100), RCE서버(200) 및 애플리케이션 제공 서버(300)를 포함한다.

이때, 애플리케이션 제공 서버(300)는 애플리케이션 파일을 일반코드와 중요코드로 분리한다. 그리고 분리된 일반코드 및 중요코드를 각각 클라이언트(100) 및 RCE서버(200)로 전달한다.

즉, 애플리케이션 제공 서버(300)는 애플리케이션 패키지로부터 디컴파일된 실행 파일을 통하여 중요코드를 설정할 수 있다. 그리고 애플리케이션 제공 서버(300)는 애플리케이션 파일 중에서 중요코드를 제거하여 일반코드를 생성한다. 이때, 일반코드와 중요코드는 각각 클라이언트(100) 및 RCE서버(200)에 설치되어 실행될 수 있는 파일 형태일 수 있다.

이때, 중요코드는 사용자의 관점에서 보안 공격으로부터 보호될 필요가 있는 중요한 코드를 C코드로 재구성하여 생성된 것일 수 있으며, ELF(Executable and Linkable Format) 형태로 저장될 수 있다. ELF 형태는 코드의 구조가 명시적으로 구분되지 않아 DEX 형태에 비해 코드 위변조를 위한 동적 분석 또는 정적 분석에 상대적으로 쉽게 노출되지 않는 장점이 있다. 또한, ELF 형태는 명령어 구성이 Dalvik 명령어에 비해 낮은 수준의 CPU 명령어로 구성되어 있어서 공격자의 동적 분석 및 정적 분석을 어렵게 한다.

상세히 하자면, 애플리케이션 제공 서버(300)는 금융, 뉴스, 쇼핑, 게임 등 다양한 종류의 애플리케이션 일반코드 및 중요코드를 저장할 수 있으며, 클라이언트(100) 및 RCE서버(200)가 이러한 애플리케이션의 일반코드 및 중요코드를 애플리케이션 제공 서버(300)로부터 다운로드 받아 설치할 수 있도록 한다. 여기서 애플리케이션 제공 서버(300)는 모바일 애플리케이션 마켓일 수 있으며, 예를 들어, 구글 플레이나 애플의 앱스토어와 같은 각종 모바일 애플리케이션 마켓이 애플리케이션 제공 서버(300)에 해당된다.

즉, 애플리케이션 제공 서버(300)로부터 생성된 일반코드의 반환함수는 클라이언트(100)에 저장되고, 중요코드의 원본 반환함수는 원격지의 RCE서버(200)에 저장된다. 이때, RCE서버(200)는 도 2에서와 같이 원본 반환함수에 대하여 메모리 코드의 바이너리를 해싱하여 해쉬 값을 생성하여 저장한다.

따라서, 본 발명의 실시예에 따른 클라이언트(100)는 위와 같은 전처리 과정이 수행되면, 반환함수의 포인터를 서비스 호출 함수의 인자로 하여 RCE를 통해 RCE서버(200)에 RCE 서비스를 요청하고, RCE서버(200)로부터 반환함수의 메모리 코드를 전달받기 위한 Reverse-RCE가 요청되면, RCE서버(200)에 반환함수의 메모리 코드를 전달한다.

이때, 클라이언트(100)는 메모리(미도시)에 로드된 반환함수의 메모리 코드를 덤프(dump)하여 RCE서버(200)에 전달한다.

또한, 클라이언트(100)는 RCE서버(200)로부터 서비스 함수를 실행하여 생성된 반환 값을 서비스 호출 함수의 인자로 하여 전달받으면 해당 반환 값을 인자로 하여 반환함수를 처리한다. 그리고, 클라이언트(100)의 서비스 호출 함수는 반환함수의 처리 결과를 확인할 수도 있다.

도 3은 클라이언트와 RCE서버의 세부블록도이다.

클라이언트(100)는 도 3을 참조하면 알 수 있듯이 다음의 모듈들로 구성된다.

먼저, RCE 클라이언트 모듈(110)은 RCE서버(200)에 RCE 서비스를 요청하는 모듈이고, RCE 일반 모듈(120)은 RCE 혹은 Reverse-RCE 시에 필요한 공통 기능(접속, 인증, 암복호화, 먀샬링, 언마샬링 등)이며, RCE 통신 모듈(130)은 RCE 통신을 위해 원격 객체를 대행해서 동작해주는 객체인 스터브(stub)들이고, Reverse-RCE 통신 모듈(140)은 Reverse-RCE 통신을 위한 skel(스켈레톤)들과 반환 함수를 전해주기 위한 모듈이며, Reverse-RCE 디스패처 모듈(150)은 Reverse-RCE 에 해당하는 서비스들을 등록하고, 서비스 요청을 적절히 연결하는 모듈이다. 이 때 각 서비스 요청을 RCE 서비스로 연결할 때 호출 흐름을 복잡하게 하는 실행 흐름 난독화 기법이 적용될 수도 있다.

RCE서버(200)는 클라이언트(100)로부터 반환함수의 포인터를 서비스 호출 함수의 인자로 하여 RCE 요청을 받으면, 클라이언트(100)로 반환함수의 메모리 코드를 전달받기 위한 Reverse-RCE를 요청하고, 클라이언트(100)로부터 메모리 코드가 전달되면, 전달된 메모리 코드의 해쉬 값을 생성한다.

이때, RCE서버(200)는, 클라이언트(100)로부터 전달된 메모리 코드의 바이너리를 해싱하여 해쉬 값을 생성한다.

그리고, RCE서버(200)는 클라이언트(100)로부터 전달된 메모리 코드의 바이너리를 해싱하여 생성된 해쉬 값과, 앞서 설명한 전처리 과정을 통해 기 저장된 원본 반환함수의 메모리 코드의 해쉬 값을 비교하여, 생성된 해쉬 값과 기 저장된 해쉬 값이 동일한 경우, 반환함수의 메모리 코드에 대한 무결성이 검증된 것으로 판단하고, 서비스 함수를 실행하여 반환 값(즉, 실행 결과 값)을 생성한다. 그리고, 생성된 반환 값을 서비스 호출 함수의 인자로 하여 Reverse-RCE를 통해 클라이언트(100)에 전달한다.

이때, RCE 서버(200)는 도 3을 참조하면 알 수 있듯이 다음의 모듈들로 구성된다.

먼저, RCE 서비스 모듈(210)은 RCE로 요청된 서비스 기능들이고, 검증 모듈(220)은 반환 함수에 대한 해쉬 값을 계산하여 검증하는 기능들이며, RCE 일반 모듈(230)은 RCE 혹은 Reverse-RCE 시에 필요한 공통 기능(접속, 인증, 암복호화, 먀샬링, 언마샬링 등)이고, RCE 통신 모듈(240)은 RCE 통신을 위해 원격 객체를 대행해서 동작해주는 객체인 skel(스켈레톤) 들이고, RCE 디스패처 모듈(250)은 RCE에 해당하는 서비스들을 등록하고, 서비스 요청을 적절히 연결한다. 이 때 각 서비스 요청을 서비스로 연결할 때 호출 흐름을 복잡하게 하는 실행 흐름 난독화 기법이 적용 될 수 있다. 또한, Reverse-RCE 통신 모듈(250)은 Reverse-RCE 통신을 위한 stub 들과 반환 함수를 전달받기 위한 기능들이다.

도 4에서 RCE/RRCE Communication을 중심으로 위쪽은 클라이언트(100)이고, 아래 쪽은 RCE서버(200)이다.

이를 참조하여 서비스 실행 흐름을 살펴보면, 무결성 검증을 위해 클라이언트(100)의 RCE_Service_Caller에서 RCE서버(200)의 RCE_Service를 거치고, RRCE_Service_Caller를 거쳐 클라이언트(100)의 RRCE_Service를 통해 RRCE_Code_Memory(메모리 상의 반환 함수 코드)에 접근한 다음, RRCE_Code_Memory로부터 RRCE_Service_Caller와 RCE_Service를 거쳐서 다시 클라이언트(100)의 RCE_Service_Caller로 돌아온다.

이때, RCE와 Reverse-RCE 통신은 각 RCE_Stub / RCE_Skel 및 RRCE_Stub / RRCE_Skel을 통하여 RCE/RRCE Communication 방식으로 통신한다. 그리고 각 Skel은 RCE_Dispatcher 및 RRCE_Dispatcher를 통해서 적절한 서비스를 등록 및 선택한다.

이하에서는 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템에 의해 수행되는 실행 무결성 검증 방법에 대하여 설명한다.

도 5는 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 방법의 동작 흐름을 도시한 순서도이고, 도 6은 도 5를 설명하기 위한 개념도로서, 이를 참조하여 본 발명의 구체적인 동작을 설명한다.

본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 방법에 따르면, 먼저, 클라이언트(100)가 반환함수의 포인터를 서비스 호출 함수의 인자로 하여 도 6의 RCE call service()와 같이 RCE를 통해 RCE서버(200)에 RCE 서비스를 요청한다(S510).

그 다음, RCE서버(200)가 클라이언트(100)로부터 RCE 서비스를 요청받으면, 클라이언트(100)로부터 전달된 반환함수의 포인터를 이용하여 도 6의 ReverseRCE call dump_code()와 같이 Reverse-RCE를 통해 클라이언트(100)에 반환함수의 메모리 코드를 요청한다(S520).

그 다음, 클라이언트(100)가 RCE서버(200)에 반환함수의 메모리 코드를 전달한다(S530).

그 다음, RCE서버(200)가 S530 단계에서 전달된 메모리 코드의 해쉬 값을 생성한다(S540).

자세히는, RCE서버(200)가 도 6의 hash()와 같이 클라이언트(100)로부터 전달된 메모리 코드의 바이너리를 해싱하여 해쉬 값을 생성한다.

그 다음, RCE서버(200)가 S540 단계에서 생성된 해쉬 값과 RCE서버(200)에 기 저장된 원본 반환함수의 메모리 코드의 해쉬 값을 비교한다(S550).

즉, S550 단계에서는 도 6의 integrity_check()를 통해 클라이언트(100)의 메모리에 로드된 반환함수가 변경되지 않았음을 검증한다.

따라서 S550 단계의 비교 결과, S540 단계에서 생성된 해쉬 값과 기 저장된 해쉬 값이 동일한 경우, 반환함수의 메모리 코드에 대한 무결성이 검증된 것으로 판단하고 서비스 함수를 실행하여 반환 값(즉, 실행 결과 값)을 생성한다(S560).

그리고, 도 6의 callback *return()과 같이 S560 단계에서 생성된 반환 값을 서비스 호출 함수의 인자로 하여 Reverse-RCE를 통해 클라이언트(100)에 전달한다(S570).

즉, S570 단계에서는 Reverse-RCE 호출을 통해 RCE서버(200)의 서비스 함수 실행에 대한 반환 값이 클라이언트(100)의 메모 코드나 반환 값의 변경 없이 클라이언트(100)의 반환함수에 직접 처리됨으로써 서비스 호출 함수에 정확히 반영됨을 보장한다.

그 다음, 클라이언트(100)가 S570 단계에서 전달받은 반환 값을 인자로 하여 클라이언트(100)의 반환함수를 처리한다(S580).

이때, 클라이언트(100)의 서비스 호출 함수는 반환함수의 처리 결과를 확인할 수도 있다.

이와 같이, 도 5의 S510 단계에서 S560 단계까지는 무결성을 검증하는 단계이고, S570 단계에서 S580 단계는 무결정을 보장하는 단계로 구분할 수 있다.

즉, 반환함수는 클라이언트(100)가 RCE서버(200)의 서비스로부터 반환 값을 받을 수 있는 지정 함수로서, Reverse-RCE를 통하여 호출되고, 그 반환 값을 RCE서버(200)로부터 직접 입력 받는다.

따라서, 본 발명의 실시예에 따른 무결성 검증 방법을 통해 반환함수의 코드가 변경되지 않음 즉 무결성을 검증하고, 무결성이 검증된 반환함수에 반환 값을 넘겨 줌으로써 실행 무결성을 보장할 수 있다.

상술한 바와 같이, 본 발명의 실시예에 따른 원격 코드 실행을 이용한 실행 무결성 검증 시스템 및 그 방법은 원격 코드 실행(Remote Code Execution) 통신 기술을 기반으로 원격 코드 실행Remote Code Execution)을 이용하여 모바일 애플리케이션의 중요 코드가 노출되지 않도록 함으로써 원격지에서의 코드 변경을 방지할 수 있고, 실행 무결성을 확보함으로써 역공학 저항성을 증가시킬 수 있다.

본 발명은 도면에 도시된 실시예를 참고로 하여 설명되었으나 이는 예시적인 것에 불과하며, 당해 기술이 속하는 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 아래의 특허청구범위에 의해서 정하여져야 할 것이다.

<부호의 설명>

100 : 클라이언트 110 : RCE 클라이언트 모듈

120 : RCE 일반 모듈 130 : RCE 통신 모듈

140 : Reverse-RCE 통신 모듈 150 : Reverse-RCE 디스패처 모듈

200 : RCE서버 210 : RCE 서비스 모듈

220 : 검증 모듈 230 : RCE 일반 모듈

240 : RCE 통신 모듈 250 : RCE 디스패처 모듈

260 : Reverse-RCE 통신 모듈 300 : 애플리케이션 제공 서버

Claims

반환함수의 포인터를 서비스 호출 함수의 인자로 하여 RCE(Remote Code Execution)를 통해 RCE서버에 RCE 서비스를 요청하고, 상기 RCE서버로부터 상기 반환함수의 메모리 코드를 전달받기 위한 Reverse-RCE가 요청되면, 상기 RCE서버에 상기 반환함수의 메모리 코드를 전달하는 클라이언트; 및

상기 전달된 메모리 코드의 제1 해쉬 값을 생성하여 상기 생성된 제1 해쉬 값과 기 저장된 원본 반환함수의 메모리 코드의 제2 해쉬 값을 비교하고, 상기 비교 결과에 따라 서비스 함수를 실행하여 반환 값을 생성하고, 상기 생성된 반환 값을 상기 서비스 호출 함수의 인자로 하여 Reverse-RCE를 통해 상기 클라이언트에 전달하는 상기 RCE서버를 포함하고,

상기 클라이언트는, 상기 반환 값을 인자로 하여 상기 반환함수를 처리하는 원격 코드 실행을 이용한 실행 무결성 검증 시스템.
제1항에 있어서,

상기 클라이언트는,

메모리에 로드된 상기 반환함수의 메모리 코드를 상기 RCE서버에 전달하는 원격 코드 실행을 이용한 실행 무결성 검증 시스템.
제1항에 있어서,

상기 클라이언트는

상기 반환함수의 메모리 코드를 덤프(dump)하여 상기 RCE서버에 전달하고,

상기 RCE서버는,

상기 전달된 메모리 코드의 바이너리를 해싱하여 상기 제1 해쉬 값을 생성하는 원격 코드 실행을 이용한 실행 무결성 검증 시스템.
제1항에 있어서,

상기 RCE서버는,

상기 원본 반환함수의 메모리 코드의 바이너리를 해싱하여 생성된 상기 제2 해쉬 값을 저장하는 원격 코드 실행을 이용한 실행 무결성 검증 시스템.
제1항에 있어서,

상기 RCE서버는,

상기 생성된 제1 해쉬 값과 상기 기 저장된 제2 해쉬 값이 동일한 경우, 상기 반환함수의 메모리 코드에 대한 무결성이 검증된 것으로 판단하여 Reverse-RCE를 통해 상기 클라이언트에 상기 반환 값을 전달하는 원격 코드 실행을 이용한 실행 무결성 검증 시스템.
원격 코드 실행을 이용한 실행 무결성 검증 시스템에 의해 수행되는 방법에 있어서,

클라이언트가 반환함수의 포인터를 서비스 호출 함수의 인자로 하여 RCE(Remote Code Execution)를 통해 RCE서버에 RCE 서비스를 요청하는 단계;

상기 RCE서버가 상기 반환함수의 포인터를 이용하여 Reverse-RCE를 통해 상기 클라이언트에 상기 반환함수의 메모리 코드를 요청하는 단계;

상기 RCE서버가 상기 클라이언트로부터 상기 메모리 코드를 전달받아 상기 메모리 코드의 제1 해쉬 값을 생성하는 단계;

상기 RCE서버가 상기 생성된 제1 해쉬 값과 기 저장된 원본 반환함수의 메모리 코드의 제2 해쉬 값을 비교하는 단계;

상기 RCE서버가 상기 비교 결과에 따라 서비스 함수를 실행하여 반환 값을 생성하고, 상기 생성된 반환 값을 상기 서비스 호출 함수의 인자로 하여 Reverse-RCE를 통해 상기 클라이언트에 전달하는 단계; 및

상기 클라이언트가 상기 반환 값을 인자로 하여 상기 반환함수를 처리하는 단계를 포함하는 실행 무결성 검증 방법.
제6항에 있어서,

상기 반환함수의 메모리 코드를 요청하는 단계는,

상기 클라이언트의 메모리에 로드된 상기 반환함수의 메모리 코드를 요청하는 실행 무결성 검증 방법.
제6항에 있어서,

상기 클라이언트는,

상기 메모리 코드를 덤프(dump)하여 상기 RCE서버에 전달하고,

상기 메모리 코드의 상기 제1 해쉬 값을 생성하는 단계는,

상기 클라이언트로부터 전달된 상기 메모리 코드의 바이너리를 해싱하여 상기 제1 해쉬 값을 생성하는 실행 무결성 검증 방법.
제6항에 있어서,

상기 RCE서버는,

상기 원본 반환함수의 메모리 코드의 바이너리를 해싱하여 생성된 상기 제2 해쉬 값을 저장하는 실행 무결성 검증 방법.
제6항에 있어서,

상기 Reverse-RCE를 통해 상기 클라이언트에 전달하는 단계는,

상기 비교 결과 상기 생성된 제1 해쉬 값과 상기 기 저장된 제2 해쉬 값이 동일한 경우, 상기 RCE서버가 상기 반환함수의 메모리 코드에 대한 무결성이 검증된 것으로 판단하여 상기 Reverse-RCE를 통해 상기 클라이언트에 상기 반환 값을 전달하는 실행 무결성 검증 방법.