KR20210046979A - 클라우드 기반 앱 보안 서비스 방법 - Google Patents

클라우드 기반 앱 보안 서비스 방법 Download PDF

Info

Publication number
KR20210046979A
KR20210046979A KR1020190130456A KR20190130456A KR20210046979A KR 20210046979 A KR20210046979 A KR 20210046979A KR 1020190130456 A KR1020190130456 A KR 1020190130456A KR 20190130456 A KR20190130456 A KR 20190130456A KR 20210046979 A KR20210046979 A KR 20210046979A
Authority
KR
South Korea
Prior art keywords
security
target application
app
user terminal
integrity
Prior art date
Application number
KR1020190130456A
Other languages
English (en)
Other versions
KR102286512B1 (ko
Inventor
정상곤
신민규
Original Assignee
주식회사 시큐센
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐센 filed Critical 주식회사 시큐센
Priority to KR1020190130456A priority Critical patent/KR102286512B1/ko
Publication of KR20210046979A publication Critical patent/KR20210046979A/ko
Application granted granted Critical
Publication of KR102286512B1 publication Critical patent/KR102286512B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은 클라우드 기반 앱 보안 서비스 방법에 관한 것으로서, 더욱 상세하게는 사용자단말기에 설치된 애플리케이션 또는 운영체제의 무결성을 검증하기 위하여, 클라우드 서버에서 관리자가 설정한 무결성 검증요소에 기초하여 애플리케이션과 통신을 수행하는 서비스 서버를 통해 클라우드 방식으로 무결성을 검증할 수 있도록 하는, 클라우드 기반 앱 보안 서비스 방법에 관한 것이다.

Description

클라우드 기반 앱 보안 서비스 방법 {Method to Provide Application Security Service Based on Cloud Computing}
본 발명은 클라우드 기반 앱 보안 서비스 방법에 관한 것으로서, 더욱 상세하게는 사용자단말기에 설치된 애플리케이션 또는 운영체제의 무결성을 검증하기 위하여, 클라우드 서버에서 관리자가 설정한 무결성 검증요소에 기초하여 애플리케이션과 통신을 수행하는 서비스 서버를 통해 클라우드 방식으로 무결성을 검증할 수 있도록 하는, 클라우드 기반 앱 보안 서비스 방법에 관한 것이다.
미국의 시장조사기관인 퓨 리서치(Pew Research)에서 조사한 바에 따르면, 현재 우리나라의 휴대전화 보급률은 100%에 달하고, 이 가운데 스마트폰을 사용하는 사용자의 비율은 95%에 이르는 것으로 조사되었다. 이와 같이, 스마트폰은 현대인의 삶에 있어서 매우 밀접한 매체의 역할을 수행하고 있다.
한편, 스마트폰은 클라우드 서비스, 빅데이터, 인공지능, 블록체인 및 핀테크 등의 기술을 구현하기 위한 인프라의 역할을 수행하고 있어, 산업전반의 서비스를 구현하기 위한 중요한 매체로 자리잡고 있으므로, 스마트폰은 사용자에 대한 방대한 개인 정보는 물론이고, 사용자가 소유한 재화 및 이에 접근하기 위한 정보들이 집중되고 있다.
이와 같이, 스마트폰에서 구현되는 서비스들은 민감정보 및 개인정보를 다수 포함하고 있으므로, 해당 정보들을 관리하는 모바일 애플리케이션에 대한 보안은 필수 보안 컴플라이언스(compliance, 보안을 위한 사전 감시 활동)로 지정되어 관리되고 있으며, “스마트워크 정보보호 가이드라인”과 같이 정부에서 제정한 보안 정책이 마련되어 있어, 이를 준수하여야 한다. 그러나 이러한 노력에도 불구하고 모바일 애플리케이션에 대한 공격 및 해킹 발생 건수는 매년 증가하고 있는 추세이며, 특히, 피싱(phishing)메일, 악성코드에 의한 보안사고 건수가 특히 증가하고 있다.
한편, 기존의 애플리케이션에 대한 보안 솔루션 방식은 서비스를 사용자에게 제공하는 기업별로 보안 솔루션을 적용하는 방식으로, 이러한 방식의 경우에는 모바일 애플리케이션에 대한 새로운 보안 이슈 및 취약점이 발생할 때마다 기업별 전문 보안인력 또는 보안 솔루션 기업에 의해 검증서버에 대한 업데이트 및 관리가 필요하다. 반면에 모바일 애플리케이션의 보안이슈의 경우 각 사용자의 스마트폰을 통해 빠르게 보안 위협 요소가 전파되어 급속도로 보안이슈가 확산되기 때문에 피해를 최소화하기 위해서는 신속하게 보안 위협 요소에 대한 대응이 이루어져야 한다.
따라서, 상기와 같이 기업별 보안 대응의 효율성은 물론, 복수의 기업에 동일한 형태의 서비스가 분산되어 있는 모바일 애플리케이션의 보안 효율성을 극대화하기 위한 방법으로 중앙에서 관리할 수 있는 클라우드 기반의 애플리케이션 보안 솔루션이 필요한 실정이다.
본 발명은 클라우드 기반 앱 보안 서비스 방법에 관한 것으로서, 더욱 상세하게는 사용자단말기에 설치된 애플리케이션 또는 운영체제의 무결성을 검증하기 위하여, 클라우드 서버에서 관리자가 설정한 무결성 검증요소에 기초하여 애플리케이션과 통신을 수행하는 서비스 서버를 통해 클라우드 방식으로 무결성을 검증할 수 있도록 하는, 클라우드 기반 앱 보안 서비스 방법에 관한 것이다.
상기와 같은 과제를 해결하기 위하여, 본 발명의 일 실시예는 클라우드 기반 앱 보안 서비스 방법으로서, 포털서버에서, 대상애플리케이션에 대한 관리자의 앱보안설정을 수신하는 단계; 무결성검증서버에서, 상기 앱보안설정에 기초하여 앱보안정책을 설정하는 단계; 상기 무결성검증서버에서, 사용자단말기로부터 이벤트발생요청을 수신하고, 상기 사용자단말기로 앱보안정책을 송신하는 단계; 상기 무결성검증서버에서, 상기 사용자단말기에 내장된 보안모듈의 상기 앱보안정책에 따른 보안점검결과를 수신하고, 상기 보안점검결과에 따라 상기 사용자단말기로 인증토큰을 송신하는 단계; 및 상기 서비스서버에서, 상기 사용자단말기로부터 상기 인증토큰을 수신하고, 상기 인증토큰의 검증결과에 따라, 상기 사용자단말기로 상기 대상애플리케이션에 대한 실행허가정보를 송신하는 단계;를 포함하는, 클라우드 기반 앱 보안 서비스 방법을 제공한다.
본 발명의 일 실시예에서는, 상기 앱보안설정을 수신하는 단계는, 상기 포털서버에서, 관리자단말기의 디스플레이에 표시되는 앱보안설정에 대한 인터페이스를 제공하는 단계를 더 포함하고, 상기 앱보안설정에 대한 인터페이스는, 상기 관리자로부터 선택될 수 있는, 상기 대상애플리케이션의 무결성을 검증하는 요소에 해당하는 1 이상의 앱무결성엘리먼트 및 상기 사용자단말기에 내장된 운영체제의 무결성을 검증하는 요소에 해당하는 1 이상의 OS무결성엘리먼트를 포함할 수 있다.
본 발명의 일 실시예에서는, 상기 앱보안설정에 대한 인터페이스는, 상기 대상애플리케이션의 무결성 또는 상기 사용자단말기에 내장된 운영체제의 무결성에 흠결이 있는 경우, 상기 관리자의 상기 앱보안설정에 대한 선택입력에 따라 상기 대상애플리케이션의 실행을 중지하도록 하는 앱중지엘리먼트 및 상기 대상애플리케이션의 실행을 허가하되 상기 흠결에 대한 정보를 상기 사용자단말기로 송신하도록 하는 리포팅엘리먼트를 더 포함할 수 있다.
본 발명의 일 실시예에서는, 상기 클라우드 기반 앱 보안 서비스 방법은, 흠결정보 제공단계를 더 포함하고, 상기 흠결정보 제공단계는, 상기 무결성검증서버에서, 상기 사용자단말기에 내장된 보안모듈의 상기 앱보안정책에 따른 보안점검결과를 수신하고, 상기 보안점검결과에 따라 상기 대상애플리케이션 또는 상기 사용자단말기에 내장된 운영체제의 무결성에 흠결이 있는 경우 흠결정보를 도출하여 상기 사용자단말기로 송신할 수 있다.
본 발명의 일 실시예에서는, 상기 클라우드 기반 앱 보안 서비스 방법은, 실행중단정보 제공단계를 더 포함하고, 상기 실행중단정보 제공단계는, 상기 서비스서버에서, 상기 사용자단말기로부터 상기 흠결정보를 수신하고, 상기 흠결정보의 검증결과에 따라, 상기 사용자단말기로 상기 대상애플리케이션에 대한 실행중단정보를 송신할 수 있다.
본 발명의 일 실시예에서는, 상기 실행중단정보 제공단계는, 상기 서비스서버에서, 상기 흠결정보에 대해 각각의 필수보안요소에 상응하는 1 이상의 필수흠결정보의 포함 여부를 판별하고, 상기 필수흠결정보가 포함되어 있는 경우에 상기 실행중단정보를 생성할 수 있다.
본 발명의 일 실시예에서는, 상기 클라우드 기반 앱 보안 서비스 방법은, 서비스내역 관리단계를 더 포함하고, 상기 서비스내역 관리단계는, 상기 포털서버에서, 관리자단말기로 상기 대상애플리케이션에 대한 정보 및 상기 대상애플리케이션에 상응하는 앱보안정책의 내역을 송신하는 단계; 및 상기 포털서버에서, 상기 관리자의 상기 대상애플리케이션에 대한 선택입력에 따라 상기 관리자단말기로 상기 대상애플리케이션에 상응하는 1 이상의 보안점검결과를 송신하는 단계;를 포함할 수 있다.
본 발명의 일 실시예에 따르면, 포털서버에서 관리자로부터 입력된 앱보안설정에 따라 클라우드 방식으로 사용자단말기의 대상애플리케이션 또는 내장된 운영체제의 무결성을 검증하므로, 각각의 대상애플리케이션과 통신을 수행하는 서비스서버에서 관리자가 직접 앱보안설정을 하지 않고, 포털서버만을 사용하여 복수의 대상애플리케이션 또는 복수의 운영체제의 무결성 검증 및 보안을 관리할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 클라우드 방식으로 포털서버 및 무결성검증서버에서 보안에 관련된 과정들을 수행하므로, 서비스서버에서 수행하는 보안에 관련된 과정들을 대폭적으로 감소시키고, 따라서 서비스서버의 부하를 감소시키는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 앱보안설정에 대한 인터페이스에 포함된 복수의 앱무결성엘리먼트 및 복수의 OS무결성엘리먼트에 대해 관리자가 원하는 요소들만 선택할 수 있고, 선택된 요소들에 따라 대상애플리케이션의 무결성 혹은 운영체제의 무결성을 검증할 수 있으므로, 무결성을 검증하는데 있어 세부적인 항목을 설정할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 앱보안설정에 대한 인터페이스에 포함된 앱중지엘리먼트 및 리포팅엘리먼트에 대해 관리자가 원하는 항목을 선택할 수 있고, 선택된 항목에 따라 무결성에 흠결이 있는 경우 앱을 중단하거나, 앱을 중단하지 않고, 흠결이 발생한 정보를 사용자단말기에 제공할 수 있으므로, 흠결이 발생하였을 때 대상애플리케이션의 동작을 설정할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 무결성검증서버에서 보안점검결과에 따라 대상애플리케이션 또는 사용자단말기에 내장된 운영체제의 흠결정보를 도출하고, 도출된 흠결정보는 사용자단말기를 통해 서비스서버로 전송되어 서비스서버에서 흠결정보에 따라 대상애플리케이션의 실행 중단 여부를 판단하므로, 무결성검증서버 및 서비스서버에서 이중으로 보안을 점검할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 포털서버는 클라우드 방식으로 관리자에게 복수의 애플리케이션에 대한 보안점검결과를 종합적으로 제공하므로, 관리자가 각각의 애플리케이션에 대한 정보들을 효율적으로 파악할 수 있는 효과를 발휘할 수 있다.
도 1은 본 발명의 일 실시예에 따른 클라우드 기반 앱 보안 서비스 방법의 전체적인 시스템 형태를 개략적으로 도시한다.
도 2는 본 발명의 일 실시예에 따른 클라우드 기반 앱 보안 서비스 방법의 전체적인 과정을 개략적으로 도시한다.
도 3은 본 발명의 일 실시예에 따른 앱보안설정에 대한 인터페이스를 개략적으로 도시한다.
도 4는 본 발명의 일 실시예에 따른 무결성에 흠결이 발생한 경우 대상애플리케이션의 실행을 중단하는 과정을 개략적으로 도시한다.
도 5는 본 발명의 일 실시예에 따른 무결성에 흠결이 발생한 경우 사용자단말기로 흠결에 대한 정보를 제공하는 과정을 개략적으로 도시한다.
도 6은 본 발명의 일 실시예에 따른 서비스내역 관리단계 및 해당 단계의 세부과정을 개략적으로 도시한다.
도 7은 본 발명의 일 실시예에 따른 서비스내역 관리단계에서 관리자단말기에 디스플레이되는 보안관리 인터페이스를 개략적으로 도시한다.
이하에서는, 다양한 실시예들 및/또는 양상들이 이제 도면들을 참조하여 개시된다. 하기 설명에서는 설명을 목적으로, 하나이상의 양상들의 전반적 이해를 돕기 위해 다수의 구체적인 세부사항들이 개시된다. 그러나, 이러한 양상(들)은 이러한 구체적인 세부사항들 없이도 실행될 수 있다는 점 또한 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 인식될 수 있을 것이다. 이후의 기재 및 첨부된 도면들은 하나 이상의 양상들의 특정한 예시적인 양상들을 상세하게 기술한다. 하지만, 이러한 양상들은 예시적인 것이고 다양한 양상들의 원리들에서의 다양한 방법들 중 일부가 이용될 수 있으며, 기술되는 설명들은 그러한 양상들 및 그들의 균등물들을 모두 포함하고자 하는 의도이다.
또한, 다양한 양상들 및 특징들이 다수의 디바이스들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있는 시스템에 의하여 제시될 것이다. 다양한 시스템들이, 추가적인 장치들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있다는 점 그리고/또는 도면들과 관련하여 논의된 장치들, 컴포넌트들, 모듈들 등 전부를 포함하지 않을 수도 있다는 점 또한 이해되고 인식되어야 한다.
본 명세서에서 사용되는 "실시예", "예", "양상", "예시" 등은 기술되는 임의의 양상 또는 설계가 다른 양상 또는 설계들보다 양호하다거나, 이점이 있는 것으로 해석되지 않을 수도 있다. 아래에서 사용되는 용어들 '~부', '컴포넌트', '모듈', '시스템', '인터페이스' 등은 일반적으로 컴퓨터 관련 엔티티(computer-related entity)를 의미하며, 예를 들어, 하드웨어, 하드웨어와 소프트웨어의 조합, 소프트웨어를 의미할 수 있다.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
또한, 본 발명의 실시예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 1은 본 발명의 일 실시예에 따른 클라우드 기반 앱 보안 서비스 방법의 전체적인 시스템 형태를 개략적으로 도시한다.
도 1에 도시된 사용자단말기(100)는 서비스서버(500) 및 무결성검증서버(200)와 통신을 수행하기 위하여 서비스서버(500)에 대한 대상애플리케이션을 사용하고, 관리자단말기(400)는 포털서버(300)와 통신을 수행하기 위하여 웹 브라우저를 사용하거나 별도의 포털서버(300)에 대한 애플리케이션을 사용할 수 있다.
한편, 서비스서버(500), 무결성검증서버(200) 및 포털서버(300)는 각각 상응하는 단말기 및 서버와 통신을 수행하고 각 서버별로 각각의 단계들을 수행하기 위하여 1 이상의 프로세서 및 1 이상의 메모리를 포함하는 컴퓨터 장치에 해당된다. 또한 서비스서버(500)는 대상애플리케이션에 상응하여 대상애플리케이션에서 구현되는 서비스를 제공하는 역할을 수행하며, 도 1에서는 설명을 용이하게 하기 위하여 하나의 서비스서버(500)로 도시하였으나, 사용자단말기(100)에 설치된 애플리케이션의 개수에 상응하여 복수의 서비스서버(500)가 포함될 수 있고, 상기 복수의 서비스서버(500)는 무결성검증서버(200) 및 해당 대상애플리케이션이 설치된 사용자단말기(100)와 통신을 수행할 수 있다.
무결성검증서버(200)는 포털서버(300)에서 관리자가 입력한 보안에 대한 설정정보를 수신하고, 설정정보에 기초하여 해당 애플리케이션에 대한 보안관련 동작을 수행할 수 있다. 상술한 바와 같이 무결성검증서버(200)는 복수의 서비스서버(500) 및 사용자단말기(100)에 설치된 복수의 서비스서버(500)에 해당하는 복수의 대상애플리케이션과 통신을 수행할 수 있다.
포털서버(300)는 관리자단말기(400)로 대상애플리케이션에 대한 보안 관련 설정정보를 입력할 수 있는 인터페이스를 제공하고, 대상애플리케이션에 대한 보안 결과를 제공하는 역할을 수행한다. 즉, 포털서버(300)는 무결성검증서버(200)와 관리자단말기(400) 사이에서 정보들을 관리하고 시각화하여 관리자단말기(400)로 제공하고, 관리자단말기(400)에서 입력한 정보들을 무결성검증서버(200)로 가공하여 전송하는 역할을 수행한다.
한편, 무결성검증서버(200) 및 포털서버(300)는 도 1에서는 개별적으로 도시되었으나, 물리적으로 동일한 서버에 포함되고, 기능적 혹은 소프트웨어적으로 구분되어 동일한 서버에서 구현될 수도 있다. 또한 상술한 바와 같이 포털서버(300)를 통해 무결성검증서버(200)는 복수의 대상애플리케이션에 대한 보안 정책을 설정하고, 보안을 관리하는 동작들을 수행할 수 있으므로 클라우드 방식으로 단일 서버에서 복수의 대상애플리케이션의 보안을 관리할 수 있다.
관리자단말기(400)는 대상애플리케이션을 제작 또는 관리하는 주체가 사용하는 단말기에 해당하며, 관리자단말기(400)는 포털서버(300)에서 제공하는 인터페이스를 통해 대상애플리케이션의 보안에 관련된 설정을 입력하고, 해당 대상애플리케이션의 보안 결과를 포털서버(300)로부터 수신할 수 있다.
따라서, 본 발명의 일 실시예에 따르면, 포털서버(300)에서 관리자로부터 입력된 앱보안설정에 따라 클라우드 방식으로 사용자단말기(100)의 대상애플리케이션 또는 내장된 운영체제의 무결성을 검증하므로, 각각의 대상애플리케이션과 통신을 수행하는 서비스서버(500)에서 관리자가 직접 앱보안설정을 하지 않고, 포털서버(300)만을 사용하여 복수의 대상애플리케이션 또는 복수의 운영체제의 무결성 검증 및 보안을 관리할 수 있는 효과를 발휘할 수 있다.
또한, 본 발명의 일 실시예에 따르면, 클라우드 방식으로 포털서버(300) 및 무결성검증서버(200)에서 보안에 관련된 과정들을 수행하므로, 서비스서버(500)에서 수행하는 보안에 관련된 과정들을 대폭적으로 감소시키고, 따라서 서비스서버(500)의 부하를 감소시키는 효과를 발휘할 수 있다.
이하에서는 클라우드 기반 앱 보안 서비스 방법을 구현하기 위하여 각각의 서버 및 각각의 단말기에서 구현되는 수행단계에 대하여 구체적으로 기재하도록 한다.
도 2는 본 발명의 일 실시예에 따른 클라우드 기반 앱 보안 서비스 방법의 전체적인 과정을 개략적으로 도시한다.
도 2에서 도시된 바와 같이, 클라우드 기반 앱 보안 서비스 방법으로서, 포털서버(300)에서, 대상애플리케이션에 대한 관리자의 앱보안설정을 수신하는 단계; 무결성검증서버(200)에서, 상기 앱보안설정에 기초하여 앱보안정책을 설정하는 단계; 상기 무결성검증서버(200)에서, 사용자단말기(100)로부터 이벤트발생요청을 수신하고, 상기 사용자단말기(100)로 앱보안정책을 송신하는 단계; 상기 무결성검증서버(200)에서, 상기 사용자단말기(100)에 내장된 보안모듈의 상기 앱보안정책에 따른 보안점검결과를 수신하고, 상기 보안점검결과에 따라 상기 사용자단말기(100)로 인증토큰을 송신하는 단계; 및 상기 서비스서버(500)에서, 상기 사용자단말기(100)로부터 상기 인증토큰을 수신하고, 상기 인증토큰의 검증결과에 따라, 상기 사용자단말기(100)로 상기 대상애플리케이션에 대한 실행허가정보를 송신하는 단계;를 포함할 수 있다.
구체적으로, 포털서버(300)는 관리자단말기(400)로 관리자가 관리하는 대상애플리케이션의 앱보안설정에 대한 인터페이스를 제공하는 단계(S100)를 수행한다. 상기 앱보안설정에 대한 인터페이스는 관리자가 대상애플리케이션의 무결성 또는 대상애플리케이션이 설치된 사용자단말기(100)에 내장된 운영체제의 무결성 검증 여부를 선택할 수 있고, 선택한 대상애플리케이션의 무결성 검증 또는 운영체제의 무결성 검증의 세부 항목들을 선택할 수 있도록 복수의 엘리먼트를 포함할 수 있다.
관리자단말기(400)에서 디스플레이 되는 앱보안설정에 대한 인터페이스를 통해 상기 관리자단말기(400)는 관리자가 각각의 엘리먼트에 대한 선택입력 정보를 수신하는 단계(S101)를 수행하고, 다시 관리자단말기(400)는 수신한 1 이상의 선택입력 정보에 기초하여 앱보안설정에 대한 정보를 포털서버(300)로 송신하는 단계(S102)를 수행한다. 이어서 포털서버(300)는 수신한 앱보안설정에 대한 정보를 무결성검증서버(200)로 송신하는 단계(S103)를 수행한다.
한편, 무결성검증서버(200)는 포털서버(300)로부터 수신한 앱보안설정에 기초하여 앱보안정책을 설정하는 단계(S104)를 수행할 수 있다. 상기 앱보안정책은 하기에 기술하는 대상애플리케이션에 포함된 보안모듈에 의해 대상애플리케이션 혹은 해당 사용자단말기(100)에 내장된 운영체제의 무결성을 검증하기 위한 구체적인 정보에 해당한다.
더 구체적으로는 상기 보안모듈이 무결성을 검증하기 위한 과정들을 수행할 수 있고, 상기 앱보안정책은 상기 보안모듈이 무결성을 검증하기 위한 프로세스들을 설정하기 위한 요소에 해당한다.
한편, 사용자단말기(100)는 사용자의 입력에 따라 대상애플리케이션에서 발생하는 이벤트의 수행여부에 대한 요청정보를 무결성검증서버(200)로 송신하는 단계(S105)를 수행한다. 대상애플리케이션에서 발생하는 이벤트는 대상애플리케이션을 구동하거나, 로그인 절차, 서비스 비용 결제 등 대상애플리케이션에서 발생하는 다양한 수행과정을 의미하며, 상기 단계(S105)에서는 대상애플리케이션에 대해 발생하는 모든 이벤트의 수행여부에 대한 요청정보를 무결성검증서버(200)로 송신할 수 있으나, 바람직하게는, 대상애플리케이션의 최초 구동 또는 대상애플리케이션을 통해 결제하려는 경우 등과 같이, 기설정된 중요 이벤트에 대해서만 이벤트의 수행여부에 대한 요청정보를 무결성검증서버(200)로 송신할 수 있다. 또는 기설정된 시간에 따라 발생하는 이벤트의 수행여부에 대한 요청정보를 무결성검증서버(200)로 송신할 수 있다.
한편, 무결성검증서버(200)는 사용자단말기(100)로부터 이벤트의 수행여부에 대한 요청정보를 수신하는 경우, 해당 대상애플리케이션에 대하여 설정된 앱보안정책을 해당 사용자단말기(100)로 송신하는 단계(S106)를 수행한다. 이어서, 사용자단말기(100)는 수신한 앱보안정책에 기초하여 보안점검결과를 도출하는 단계(S107)를 수행할 수 있다.
더 구체적으로 상기 보안점검결과를 도출하는 단계(S107)는 사용자단말기(100)에 포함된 대상애플리케이션에서 도출될 수 있으며, 바람직하게는 대상애플리케이션에 포함된 보안모듈에 의하여 보안점검결과가 도출될 수 있다. 또한 상기 보안모듈은 해당 대상애플리케이션에 라이브러리 형태로 포함되거나, 혹은 사용자단말기(100)에 내장된 운영체제 내에서 라이브러리 형태로 포함될 수 있다.
다음으로, 사용자단말기(100)는 보안점검결과 도출 단계(S107)를 통해 도출된 보안점검결과를 무결성검증서버(200)로 송신하는 단계(S108)를 수행하고, 무결성검증서버(200)는 수신한 보안점검결과에 기초하여 인증토큰을 생성하는 단계(S109)를 수행할 수 있다.
더 구체적으로 인증토큰은 일반적으로 통신 시스템에서 토큰을 기반으로 상호간의 인증을 수행하는 시스템에서 사용하는 토큰에 포함될 수 있으며, 상기 인증토큰은 무결성검증서버(200)에서 수신한 보안점검결과에 기초하여 무결성이 검증되는 것으로 판별되는 경우에 상기 무결성검증서버(200)에서 생성될 수 있다. 이와 같이 토큰방식의 인증 과정은 세션방식의 인증 과정과 비교하여 지속적으로 상호간의 연결이 되지 않아도 통신이 이루어질 수 있으므로, 각각의 서버의 자원을 효율적으로 사용할 수 있고, 각각의 서버가 분리되어 구성된 본 시스템에서 적합하게 구현할 수 있는 인증방식에 해당한다.
이어서, 무결성검증서버(200)는 생성한 인증토큰을 해당 사용자단말기(100)로 송신하는 단계(S110)를 수행할 수 있고, 상기 무결성검증서버(200)는 보안점검결과를 포함하는 보안점검내역을 생성하여 포털서버(300)로 송신하는 단계(S111)를 수행할 수 있다. 더 구체적으로 보안점검내역에는 보안점검결과, 보안점검결과가 도출되거나 무결성검증서버(200)에서 수신한 시각, 보안점검결과를 수행한 사용자단말기(100)의 식별번호, 대상애플리케이션 또는 운영체제 가운데 어떤 요소의 무결성을 검증하였는지에 대한 정보 및 무결성을 검증한 세부 요소 등을 포함할 수 있다. 또한, 포털서버(300)로 보안점검내역을 송신하는 단계(S111)는 무결성검증서버(200)에서 보안점검결과를 수신할 때마다 수행되거나, 기설정된 주기에 맞추어 수행될 수도 있고, 혹은 포털서버(300)에서 보안점검내역을 요청하는 경우에 해당 보안점검내역을 생성하여 송신할 수도 있다. 이후에 포털서버(300)는 무결성검증서버(200)로부터 수신한 보안점검내역을 저장하는 단계(S112)를 수행하며, 상기 보안점검내역은 포털서버(300)에 포함된 메모리 혹은 외부에 구비된 별도의 DB(미도시)에 저장될 수도 있다.
한편, 사용자단말기(100)는 무결성검증서버(200)로부터 수신한 인증토큰을 서비스서버(500)로 송신하는 단계(S113)를 수행한다. 더 구체적으로 상기 단계(S113)에서 인증토큰 외에도 어떤 이벤트가 발생하였는지에 대한 정보가 포함된 상기 이벤트의 수행여부에 대한 요청정보 및 보안점검결과를 포함하여 상기 서비스서버(500)로 송신할 수 있다. 또한 상기 사용자단말기(100)에서 송신하는 상기 보안점검결과는 일 실시예에 따라 무결성검증서버(200)에서 서비스서버(500)로 송신될 수도 있다.
이어서, 사용자단말기(100)로부터 인증토큰을 수신한 서비스서버(500)는 이벤트에 대한 실행허가정보를 도출하는 단계(S114)를 수행할 수 있다. 더 구체적으로 실행허가정보를 도출하기 위하여 서비스서버(500)는 인증토큰을 수신하는 경우에 보안이 이루어진 것으로 판단하여 실행허가정보를 도출할 수 있고, 바람직하게는 인증토큰과 함께 수신한 보안점검결과에 기초하여 상기 서비스서버(500)에서 이벤트를 실행해도 되는지에 대한 판단을 추가적으로 수행하고, 사용자단말기(100)에서 이벤트를 수행해도 괜찮은 것으로 판단하는 경우에 실행허가정보를 도출할 수 있다.
따라서, 무결성검증서버(200)에서 보안점검결과에 기초하여 인증토큰을 생성하는 단계에서 1차적으로 앱 또는 운영체제에 대한 무결성을 검증하고, 서비스서버(500)에서 인증토큰에 기초하여 2차적으로 앱 또는 운영체제에 대한 무결성을 검증하므로, 이원화된 보안 관리를 통해 보안성을 향상시킬 수 있는 효과를 발휘할 수 있다.
이어서, 서비스서버(500)는 도출된 상기 실행허가정보를 사용자단말기(100)로 송신하는 단계(S115)를 수행한다. 마지막으로, 사용자단말기(100)는 수신한 상기 실행허가정보에 기초하여 상기 이벤트 수행여부에 대한 요청정보를 무결성검증서버(200)로 송신하는 단계(S105)에서 송신하였던 상기 이벤트를 대상애플리케이션에서 실행하는 단계(S116)를 수행할 수 있다.
도 3은 본 발명의 일 실시예에 따른 앱보안설정에 대한 인터페이스를 개략적으로 도시한다.
도 2 및 도 3에 도시된 바와 같이, 상기 앱보안설정을 수신하는 단계는, 상기 포털서버(300)에서, 관리자단말기(400)의 디스플레이에 표시되는 앱보안설정에 대한 인터페이스를 제공하는 단계를 더 포함하고, 상기 앱보안설정에 대한 인터페이스는, 상기 관리자로부터 선택될 수 있는, 상기 대상애플리케이션의 무결성을 검증하는 요소에 해당하는 1 이상의 앱무결성엘리먼트(E1, E5) 및 상기 사용자단말기(100)에 내장된 운영체제의 무결성을 검증하는 요소에 해당하는 1 이상의 OS무결성엘리먼트(E2, E6)를 포함할 수 있다.
구체적으로, 도 3의 (A)는 안드로이드(Android) 운영체제에서 구동되는 대상애플리케이션의 앱보안설정에 대한 인터페이스에 해당하고, 도 3의 (B)는 애플(Apple)사에서 제공하는 모바일 운영체제인 iOS 운영체제에서 구동되는 대상애플리케이션의 앱보안설정에 대한 인터페이스에 해당한다. 도 3의 (A) 및 (B)에서 도시한 바와 같이 각각의 운영체제의 고유 속성 및 동일한 기능을 수행하는 대상애플리케이션이라도 서로 다른 운영체제에서 구동됨에 따라 발생하는 차이점 등을 반영하여 상기 각각의 앱보안설정에 대한 인터페이스가 제공될 수 있다.
도 3의 (A) 및 (B)에서 도시된 바와 같이, 무결성을 검증받는 대상은 이벤트를 수행하는 대상애플리케이션과 상기 대상애플리케이션이 구동되는 운영체제를 포함한다. 대상애플리케이션의 무결성을 검증하기 위한 요소에는 '앱 서명 검증' 요소를 포함하고, 안드로이드 운영체제의 경우에는 '네이티브 라이브러리 검증' 요소를 더 포함하고, iOS 운영체제의 경우에는 '리소스 검증' 요소를 더 포함하며, 각각의 요소는 상기 앱보안설정에 대한 인터페이스에서 각각의 상기 앱무결성엘리먼트(E1, E5)에 해당하고, 각각의 상기 앱무결성엘리먼트(E1, E5)는 관리자의 선택 입력에 의해 상기 대상애플리케이션의 무결성을 검증하기 위한 요소로 선택될 수 있다.
또한, 사용자단말기(100)에 내장된 운영체제의 무결성을 검증하기 위한 요소로써 안드로이드 운영체제의 경우에는 '루트매니저앱 탐지' 요소, '루트클로킹앱 탐지' 요소, '위험한앱 탐지' 요소, 'BusyBox 파일 탐지' 요소, 'Su 파일 탐지' 요소, 'Magisk 파일 탐지' 요소, '위험한 Prop 탐지' 요소 및 'Su 명령어 테스트' 요소 등을 포함하며, 각각의 요소는 상기 앱보안설정에 대한 인터페이스에서 안드로이드 운영체제에 대한 각각의 상기 OS무결성엘리먼트(E2)에 해당하고, 각각의 상기 OS무결성엘리먼트(E2)는 관리자의 선택 입력에 의해 안드로이드 운영체제의 무결성을 검증하기 위한 요소로 선택될 수 있다.
반면, 도 3의 (B)에 도시된 바와 같이 사용자단말기(100)에 내장된 운영체제의 무결성을 검증하기 위한 요소로써 iOS 운영체제의 경우에는 '탈옥 파일 탐지' 요소, '심볼릭 링크 방지' 요소, 'Dyld Image 탐지' 요소, 'Fork System Call 탐지' 요소, 'Root Sticky 탐지' 요소, 'Private Write 탐지' 요소 및 'Cydia Scheme 탐지' 요소 등을 포함하며, 각각의 요소는 상기 앱보안설정에 대한 인터페이스에서 iOS 운영체제에 대한 각각의 상기 OS무결성엘리먼트(E6)에 해당하고, 각각의 상기 OS무결성엘리먼트(E6)는 관리자의 선택 입력에 의해 iOS 운영체제의 무결성을 검증하기 위한 요소로 선택될 수 있다.
따라서, 상기 앱보안설정에 대한 인터페이스는 대상애플리케이션이 설치된 운영체제의 고유 속성에 따른 각각의 앱무결성엘리먼트(E1, E5) 및 각각의 OS무결성엘리먼트(E2, E6)를 포함하여 각각의 운영체제에 최적화된 무결성 검증을 수행할 수 있고, 무결성 검증을 수행하는데 있어서도 관리자의 선택에 따라 세부적인 무결성 검증 요소를 선택할 수 있으므로, 관리자가 검증하고자 하는 요소들만 선택적으로 무결성 검증할 수 있는 효과를 발휘할 수 있다.
한편, 상기 앱보안설정에 대한 인터페이스는, 상기 대상애플리케이션의 무결성 또는 상기 사용자단말기(100)에 내장된 운영체제의 무결성에 흠결이 있는 경우, 상기 관리자의 상기 앱보안설정에 대한 선택입력에 따라 상기 대상애플리케이션의 실행을 중지하도록 하는 앱중지엘리먼트(E3, E7) 및 상기 대상애플리케이션의 실행을 허가하되 상기 흠결에 대한 정보를 상기 사용자단말기(100)로 송신하도록 하는 리포팅엘리먼트(E4, E8)를 더 포함할 수 있다.
구체적으로 도 3의 (A) 및 (B)에서 도시된 바와 같이, 각각의 상기 앱보안설정에 대한 인터페이스는 실행설정에 대해 관리자로부터 선택입력을 수신할 수 있는 실행설정에 대한 카테고리를 포함하고, 상기 실행설정에 대한 카테고리는 앱중지엘리먼트(E3, E7) 및 리포팅엘리먼트(E4, E8)를 포함할 수 있다.
더 구체적으로 관리자는 상기 앱보안설정에 대한 인터페이스에서 사용자단말기(100)에 설치된 대상애플리케이션 또는 내장된 운영체제의 무결성에 흠결이 발생하는 경우, 대상애플리케이션에서 이벤트의 실행을 중지하거나 해당 대상애플리케이션의 구동 자체를 중지하도록 상기 앱중지엘리먼트(E3, E7)를 선택할 수 있다. 또한 상기 대상애플리케이션 또는 내장된 운영체제의 무결성에 흠결이 발생하더라도 흠결의 정도가 크지 않아, 해당 이벤트를 실행시키되 상기 흠결에 대한 정보를 상기 사용자단말기(100)로 송신하도록 상기 리포팅엘리먼트(E4, E8)를 선택할 수 있다.
따라서, 관리자는 대상애플리케이션 또는 대상애플리케이션이 설치된 운영체제의 무결성에 흠결이 발생하는 경우 대상애플리케이션의 실행을 중단하거나, 대상애플리케이션의 실행을 허가하되 흠결에 대한 정보를 제공하는 것을 상기 앱보안설정에 대한 인터페이스에 포함된 앱중지엘리먼트(E3, E7) 및 리포팅엘리먼트(E4, E8) 가운데 하나를 선택하여 설정할 수 있으므로, 흠결이 발생하는 경우의 대응 과정을 세부적으로 설정할 수 있는 효과를 발휘할 수 있다.
도 4는 본 발명의 일 실시예에 따른 무결성에 흠결이 발생한 경우 대상애플리케이션의 실행을 중단하는 과정을 개략적으로 도시한다.
도 4에 도시된 사용자단말기(100)에서 무결성검증서버(200)로 보안점검결과를 송신하는 단계(S117)는 도 2에서 전술한 포털서버(300)에서 앱보안설정에 대한 인터페이스를 관리자단말기(400)로 전송하는 단계(S100)에서부터 단계별로 수행되어 사용자단말기(100)에서 무결성검증서버(200)로 보안점검결과를 송신하는 단계(S108)과 동일하다. 따라서, 도 4에서는 사용자단말기(100)에서 무결성검증서버(200)로 보안점검결과를 송신하는 단계(S117) 이후의 단계들을 개략적으로 도시하였다.
한편, 상기 클라우드 기반 앱 보안 서비스 방법은, 흠결정보 제공단계를 더 포함하고, 상기 흠결정보 제공단계는, 상기 무결성검증서버(200)에서, 상기 사용자단말기(100)에 내장된 보안모듈의 상기 앱보안정책에 따른 보안점검결과를 수신하고, 상기 보안점검결과에 따라 상기 대상애플리케이션 또는 상기 사용자단말기(100)에 내장된 운영체제의 무결성에 흠결이 있는 경우 흠결정보를 도출하여 상기 사용자단말기(100)로 송신할 수 있다.
구체적으로, 사용자단말기(100)로부터 보안점검결과를 수신한 무결성검증서버(200)는 상기 보안점검결과에 기초하여 대상애플리케이션 또는 사용자단말기(100)에 내장된 운영체제의 흠결정보를 도출하는 단계(S118)를 수행한다. 흠결정보는 상기 앱보안설정에 대한 인터페이스에서 관리자가 선택한 각각의 요소에 대해 흠결이 있는 경우 해당 요소에 상응하는 1 이상의 흠결에 관한 정보에 해당한다.
이어서, 상기 무결성검증서버(200)는 도출된 흠결정보를 상기 사용자단말기(100)로 송신하는 단계(S119)를 수행하고, 상기 무결성검증서버(200)는 흠결정보를 포함하는 흠결정보내역을 생성하여 포털서버(300)로 송신하는 단계(S120)를 수행할 수 있다. 더 구체적으로 흠결정보내역에는 1 이상의 흠결정보, 흠결정보가 도출된 시각, 흠결정보가 도출된 사용자단말기(100)의 식별번호 등을 포함할 수 있다. 또한, 포털서버(300)로 흠결정보내역을 송신하는 단계(S120)는 무결성검증서버(200)에서 흠결정보를 도출할 때마다 수행되거나, 기설정된 주기에 맞추어 수행될 수도 있고, 혹은 포털서버(300)에서 흠결정보내역을 요청하는 경우에 해당 흠결정보내역을 생성하여 송신할 수도 있다. 이후에 포털서버(300)는 무결성검증서버(200)로부터 수신한 흠결정보내역을 저장하는 단계(S121)를 수행하며, 상기 흠결정보내역은 포털서버(300)에 포함된 메모리 혹은 외부에 구비된 별도의 DB(미도시)에 저장될 수도 있다.
한편, 사용자단말기(100)는 무결성검증서버(200)로부터 수신한 흠결정보를 서비스서버(500)로 송신하는 단계(S122)를 수행한다. 더 구체적으로 상기 단계(S122)에서 흠결정보 외에도 어떤 이벤트가 발생하였는지에 대한 정보가 포함된 상기 이벤트의 수행여부에 대한 요청정보, 보안점검결과 및 앱보안정책을 포함하여 상기 서비스서버(500)로 송신할 수 있다. 또한 상기 사용자단말기(100)에서 송신하는 상기 보안점검결과는 일 실시예에 따라 무결성검증서버(200)에서 서비스서버(500)로 송신될 수도 있다.
이어서, 상기 클라우드 기반 앱 보안 서비스 방법은, 실행중단정보 제공단계를 더 포함하고, 상기 실행중단정보 제공단계는, 상기 서비스서버(500)에서, 상기 사용자단말기(100)로부터 상기 흠결정보를 수신하고, 상기 흠결정보의 검증결과에 따라, 상기 사용자단말기(100)로 상기 대상애플리케이션에 대한 실행중단정보를 송신한다.
구체적으로, 사용자단말기(100)로부터 흠결정보를 수신한 서비스서버(500)는 상기 흠결정보 및 관리자가 상기 앱보안설정에 대한 인터페이스에 포함된 앱중지엘리먼트(E3, E7) 또는 리포팅엘리먼트(E4, E8)에 대한 선택 정보에 기초하여 실행중단정보를 도출한다. 예를 들어, 흠결정보가 존재하고, 관리자가 앱중지엘리먼트(E3, E7)를 선택한 경우, 상기 서비스서버(500)는 실행중단정보를 도출할 수 있다.
더 구체적으로, 상기 실행중단정보 제공단계(S123)는, 상기 서비스서버(500)에서, 상기 흠결정보에 대해 각각의 필수보안요소에 상응하는 1 이상의 필수흠결정보의 포함 여부를 판별하고, 상기 필수흠결정보가 포함되어 있는 경우에 상기 실행중단정보를 생성할 수 있다.
바람직하게는, 상기 서비스서버(500)는 실행중단정보를 도출하는데 있어서, 흠결정보에 1 이상의 필수흠결정보가 포함되어 있는지 여부를 판별하고, 포함되어 있는 경우에 상기 관리자의 앱중지엘리먼트(E3, E7)에 대한 선택입력에 기초하여 실행중단정보를 생성할 수 있다. 필수흠결정보는 해당 요소의 무결성에 흠결이 발생한 경우 보안에 치명적인 영향을 줄 수 있는 정보에 해당하며, 필수흠결정보가 흠결정보에 포함되어 있는 경우, 서비스서버(500)는 실행중단정보를 도출하고, 복수의 필수흠결정보에 흠결이 있는 경우에는 관리자가 리포팅엘리먼트(E4, E8)를 선택하여 대상애플리케이션의 실행을 요구하더라도, 실행중단정보를 도출할 수도 있다.
한편, 상기 서비스서버(500)는 도출된 실행중단정보를 상기 사용자단말기(100)로 송신하는 단계(S124)를 수행하고, 사용자단말기(100)는 수신한 상기 실행중단정보에 기초하여 상기 이벤트의 수행을 중단하거나, 해당 대상애플리케이션의 구동을 중단하는 단계(S125)를 수행할 수 있다. 바람직하게는, 상기 사용자단말기(100)는 상기 이벤트의 수행을 중단하거나, 해당 대상애플리케이션의 구동을 중단하는 경우 별도의 인터페이스(미도시)를 통해 사용자가 흠결이 발생하여 중단되었음을 인지할 수 있도록 디스플레이 할 수 있다.
추가적으로, 관리자는 관리자단말기(400)를 통해 포털서버(300)에 흠결정보내역을 요청하는 단계(S126)를 수행할 수 있고, 흠결정보내역에 대한 요청을 수신받은 포털서버(300)는 해당 요청에 상응하는 흠결정보내역을 저장된 메모리부 혹은 별도의 DB에서 호출하여 해당 관리자단말기(400)로 송신하는 단계(S127)를 수행할 수 있다.
도 5는 본 발명의 일 실시예에 따른 무결성에 흠결이 발생한 경우 사용자단말기로 흠결에 대한 정보를 제공하는 과정을 개략적으로 도시한다.
도 5에 도시된 사용자단말기(100)에서 무결성검증서버(200)로 보안점검결과를 송신하는 단계(S128)에서부터 순차적으로 수행되어 사용자단말기(100)에서 흠결정보를 서비스서버(500)로 송신하는 단계(S133)까지는 도 4에서 사용자단말기(100)에서 보안점검결과를 송신(S117)하고 이후에 순차적으로 수행되어 상기 사용자단말기(100)에서 서비스서버(500)로 흠결정보를 송신하는 단계(S122)까지와 동일하다. 따라서, 이하에서는 사용자단말기(100)에서 서비스서버(500)로 흠결정보를 송신하는 단계(S133)가 수행된 이후의 단계에 대해 기술하도록 한다.
도 5에 도시된 바와 같이, 사용자단말기(100)로부터 흠결정보를 수신한 서비스서버(500)는 상기 흠결정보에 기초하여 흠결에 대한 리포팅정보를 도출하는 단계(S134)를 수행한다. 구체적으로, 상기 흠결에 대한 리포팅정보는 도 3에서 전술한 바와 같이 관리자단말기(400)에 디스플레이 되는 상기 앱보안설정에 대한 인터페이스에 대하여 관리자가 리포팅엘리먼트(E4, E8)를 선택하고, 대상애플리케이션 또는 사용자단말기(100)에 내장된 운영체제에 흠결이 발생하는 경우, 서비스서버(500)에서 사용자단말기(100)에 흠결에 대한 정보들이 표시되도록 하는 정보에 해당한다.
한편, 관리자가 상기 앱보안설정에 대한 인터페이스에 포함된 앱중지엘리먼트(E3, E7)를 선택하였더라도, 서비스서버(500)는 수신한 흠결정보에 기초하여 흠결 정도가 크지 않다고 판단하는 경우, 바람직하게는 상기 흠결정보에 필수흠결정보가 포함되어 있지 않은 경우, 서비스서버(500)는 자체적으로 흠결에 대한 리포팅정보를 도출하여 서비스단말기에 송신할 수 있다.
위와 같이 서비스서버(500)는, 관리자가 앱중지엘리먼트(E3, E7)를 선택하였더라도 자체적으로 흠결정도를 판단하여 앱을 구동시키되, 흠결정보에 대한 리포팅정보를 도출하므로, 무결성검증서버(200) 및 서비스서버(500)에서 이중으로 보안을 관리하여 보안성을 향상시킬 수 있는 효과를 발휘할 수 있다.
이어서, 서비스서버(500)는 도출한 상기 흠결에 대한 리포팅정보를 사용자단말기(100)로 송신하는 단계(S135)를 수행한다. 구체적으로, 흠결에 대한 리포팅정보를 수신한 사용자단말기(100)는 사용자단말기(100)에 포함된 디스플레이에 흠결에 대한 리포팅정보를 표시할 수 있다. 더 구체적으로 상기 디스플레이에는 대상애플리케이션 또는 운영체제 가운데 어느 곳에서 흠결이 발생하였는지에 대한 정보, 어떤 흠결이 발생하였는지에 대한 정보, 흠결이 발생하였으나 대상애플리케이션의 이벤트를 실행하겠다는 것에 대한 정보가 표시되어, 사용자가 사용자단말기(100)를 통해 해당 정보들을 인지할 수 있도록 한다.
도 6은 본 발명의 일 실시예에 따른 서비스내역 관리단계 및 해당 단계의 세부과정을 개략적으로 도시한다.
도 6에서 도시된 바와 같이, 상기 클라우드 기반 앱 보안 서비스 방법은, 서비스내역 관리단계를 더 포함하고, 상기 서비스내역 관리단계는, 상기 포털서버(300)에서, 관리자단말기(400)로 상기 대상애플리케이션에 대한 정보 및 상기 대상애플리케이션에 상응하는 앱보안정책의 내역을 송신하는 단계; 및 상기 포털서버(300)에서, 상기 관리자의 상기 대상애플리케이션에 대한 선택입력에 따라 상기 관리자단말기(400)로 상기 대상애플리케이션에 상응하는 1 이상의 보안점검결과를 송신하는 단계;를 포함한다.
구체적으로, 포털서버(300)는 관리자단말기(400)에서 요청하는 1 이상의 대상애플리케이션에 대해 상기 무결성검증서버(200)에서 수행한 서비스 내역에 관한 정보들을 상기 관리자단말기(400)로 제공하는 역할을 수행한다. 이와 같은 구성은 포털서버(300)에서 관리자단말기(400)로 클라우드 기반으로 요청된 사항에 대한 정보를 제공하므로, 기존의 각각의 대상애플리케이션의 검증을 위하여 별도의 서버를 구축하여, 각각의 서버에서 서비스내역을 제공하는 방법에 비해 보다 편리하게 해당 관리자가 관리하는 1 이상의 대상애플리케이션에 대한 서비스 내역을 수신할 수 있는 효과를 발휘할 수 있다.
더 구체적으로, 관리자단말기(400)를 통해 관리자가 관리하고 있는 1 이상의 대상애플리케이션에 대한 서비스내역을 포털서버(300)로 요청하는 단계(S136)를 수행한다. 1 이상의 대상애플리케이션에 대한 서비스내역을 포털서버(300)로 요청하기 위하여, 상기 관리자단말기(400)는 별도의 인터페이스를 통해 해당 관리자가 관리하고 있는 1 이상의 대상애플리케이션에 대한 목록을 제공하고, 관리자는 상기 목록에서 수신하고자 하는 대상애플리케이션을 선택하여, 포털서버(300)로 서비스내역을 요청할 수 있고, 또는 관리자가 관리자단말기(400)를 통해 수신하고자 하는 대상애플리케이션의 고유값, 예를 들어 대상애플리케이션의 이름 또는 대상애플리케이션의 아이디를 입력하여 해당 대상애플리케이션의 서비스내역을 요청할 수도 있다.
이어서, 포털서버(300)는 수신한 요청에 대하여, 해당 대상애플리케이션에 대한 정보 및 관리자가 입력한 앱보안설정에 기초하여 도출된 해당 대상애플리케이션에 대한 앱보안정책을 송신하는 단계(S137)를 수행한다. 추가적으로, 해당 단계(S137)에서는 대상애플리케이션에 대한 정보 및 해당 앱보안정책 뿐만 아니라 해당 대상애플리케이션의 앱보안설정을 입력하여 대상애플리케이션을 포털서버(300) 및 무결성검증서버(200)에 등록한 날짜, 시간, 해당 대상애플리케이션이 구동되는 운영체제의 종류, 해당 대상애플리케이션의 버전 등을 상기 관리자단말기(400)로 송신할 수 있다.
한편, 상기 대상애플리케이션에 대한 정보 및 해당 대상애플리케이션의 앱보안정책 내역을 수신받은 관리자단말기(400)를 통해 관리자는 무결성검증서버(200)에서 수행한 특정 대상애플리케이션에 대한 서비스내역을 확인하기 위하여 특정 대상애플리케이션을 선택하고, 상기 관리자단말기(400)는 관리자의 선택 입력에 기초하여 특정 대상애플리케이션에 대한 선택입력을 상기 포털서버(300)로 송신하는 단계(S138)를 수행한다.
마지막으로, 상기 포털서버(300)는 수신한 특정 대상애플리케이션에 대한 선택입력에 기초하여 상기 특정 대상애플리케이션에 대해 수행한 서비스 내역, 더 구체적으로는 상기 특정 대상애플리케이션에 대한 보안점검결과를 상기 관리자단말기(400)로 송신하는 단계(S139)를 수행한다. 상기 단계(S139)를 통해 관리자는 관리자단말기(400)에 디스플레이되는 특정 대상애플리케이션에 대한 보안점검결과를 확인할 수 있고, 특정 대상애플리케이션을 사용한 복수의 사용자단말기(100)에서 수행한 보안점검결과를 확인할 수 있다.
본 발명의 일 실시예에 따르면, 포털서버(300)는 클라우드 방식으로 관리자에게 복수의 애플리케이션에 대한 보안점검결과를 종합적으로 제공하므로, 관리자가 각각의 애플리케이션에 대한 정보들을 효율적으로 파악할 수 있는 효과를 발휘할 수 있다.
도 7은 본 발명의 일 실시예에 따른 서비스내역 관리단계에서 관리자단말기에 디스플레이되는 보안관리 인터페이스를 개략적으로 도시한다.
도 6 및 도 7에 도시된 바와 같이, 포털서버(300)에서 1 이상의 대상애플리케이션에 대한 정보 및 해당 대상애플리케이션의 앱보안정책내역을 관리자단말기(400)로 송신하는 단계(S137)를 통해 상기 관리자단말기(400)는 보안관리 인터페이스를 표시할 수 있다.
구체적으로 상기 보안관리 인터페이스는, 관리자가 상기 무결성검증서버(200) 및 상기 포털서버(300)를 통해 관리하고 있는 모든 대상애플리케이션 또는 상기 모든 대상애플리케이션에서 상기 관리자가 선택한 1 이상의 대상애플리케이션에 대한 정보를 관리자에게 제공한다.
한편, 상기 보안관리 인터페이스에 디스플레이되는 요소는 각각의 대상애플리케이션을 상기 무결성검증서버(200) 또는 상기 포털서버(300)에 등록한 등록일, 각각의 대상애플리케이션이 구동되는 운영체제의 종류에 해당하는 플랫폼, 각각의 대상애플리케이션의 명칭, 각각의 대상애플리케이션의 아이디, 각각의 대상애플리케이션의 버전 및 각각의 대상애플리케이션에 대해 관리자가 입력한 앱보안설정에 기초하여 도출된 각각의 앱보안정책을 포함한다. 바람직하게는, 상기 등록일은 각각의 대상애플리케이션에 대해 관리자가 입력한 앱보안설정을 무결성검증서버(200)로 송신한 시각 또는 각각의 앱보안설정에 기초하여 상기 무결성검증서버(200)에서 각각의 대상애플리케이션에 대한 각각의 앱보안정책을 도출한 시각이 해당될 수 있다.
또한, 도 7에서는 도시하지 않았으나 상기 보안관리 인터페이스에는 표시된 각각의 대상애플리케이션에 대해 관리자가 특정 대상애플리케이션을 선택하는 경우, 선택된 특정 대상애플리케이션을 구분할 수 있도록 하는 시각적 요소로써, 체크박스 또는 음영처리와 같은 다양한 시각적 요소를 포함할 수 있다.
본 발명의 일 실시예에 따르면, 포털서버에서 관리자로부터 입력된 앱보안설정에 따라 클라우드 방식으로 사용자단말기의 대상애플리케이션 또는 내장된 운영체제의 무결성을 검증하므로, 각각의 대상애플리케이션과 통신을 수행하는 서비스서버에서 관리자가 직접 앱보안설정을 하지 않고, 포털서버만을 사용하여 복수의 대상애플리케이션 또는 복수의 운영체제의 무결성 검증 및 보안을 관리할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 클라우드 방식으로 포털서버 및 무결성검증서버에서 보안에 관련된 과정들을 수행하므로, 서비스서버에서 수행하는 보안에 관련된 과정들을 대폭적으로 감소시키고, 따라서 서비스서버의 부하를 감소시키는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 앱보안설정에 대한 인터페이스에 포함된 복수의 앱무결성엘리먼트 및 복수의 OS무결성엘리먼트에 대해 관리자가 원하는 요소들만 선택할 수 있고, 선택된 요소들에 따라 대상애플리케이션의 무결성 혹은 운영체제의 무결성을 검증할 수 있으므로, 무결성을 검증하는데 있어 세부적인 항목을 설정할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 앱보안설정에 대한 인터페이스에 포함된 앱중지엘리먼트 및 리포팅엘리먼트에 대해 관리자가 원하는 항목을 선택할 수 있고, 선택된 항목에 따라 무결성에 흠결이 있는 경우 앱을 중단하거나, 앱을 중단하지 않고, 흠결이 발생한 정보를 사용자단말기에 제공할 수 있으므로, 흠결이 발생하였을 때 대상애플리케이션의 동작을 설정할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 무결성검증서버에서 보안점검결과에 따라 대상애플리케이션 또는 사용자단말기에 내장된 운영체제의 흠결정보를 도출하고, 도출된 흠결정보는 사용자단말기를 통해 서비스서버로 전송되어 서비스서버에서 흠결정보에 따라 대상애플리케이션의 실행 중단 여부를 판단하므로, 무결성검증서버 및 서비스서버에서 이중으로 보안을 점검할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 포털서버는 클라우드 방식으로 관리자에게 복수의 애플리케이션에 대한 보안점검결과를 종합적으로 제공하므로, 관리자가 각각의 애플리케이션에 대한 정보들을 효율적으로 파악할 수 있는 효과를 발휘할 수 있다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (7)

  1. 클라우드 기반 앱 보안 서비스 방법으로서,
    포털서버에서, 대상애플리케이션에 대한 관리자의 앱보안설정을 수신하는 단계;
    무결성검증서버에서, 상기 앱보안설정에 기초하여 앱보안정책을 설정하는 단계;
    상기 무결성검증서버에서, 사용자단말기로부터 이벤트발생요청을 수신하고, 상기 사용자단말기로 앱보안정책을 송신하는 단계;
    상기 무결성검증서버에서, 상기 사용자단말기에 내장된 보안모듈의 상기 앱보안정책에 따른 보안점검결과를 수신하고, 상기 보안점검결과에 따라 상기 사용자단말기로 인증토큰을 송신하는 단계; 및
    상기 서비스서버에서, 상기 사용자단말기로부터 상기 인증토큰을 수신하고, 상기 인증토큰의 검증결과에 따라, 상기 사용자단말기로 상기 대상애플리케이션에 대한 실행허가정보를 송신하는 단계;를 포함하는, 클라우드 기반 앱 보안 서비스 방법.
  2. 청구항 1에 있어서,
    상기 앱보안설정을 수신하는 단계는,
    상기 포털서버에서, 관리자단말기의 디스플레이에 표시되는 앱보안설정에 대한 인터페이스를 제공하는 단계를 더 포함하고,
    상기 앱보안설정에 대한 인터페이스는, 상기 관리자로부터 선택될 수 있는, 상기 대상애플리케이션의 무결성을 검증하는 요소에 해당하는 1 이상의 앱무결성엘리먼트 및 상기 사용자단말기에 내장된 운영체제의 무결성을 검증하는 요소에 해당하는 1 이상의 OS무결성엘리먼트를 포함하는, 클라우드 기반 앱 보안 서비스 방법.
  3. 청구항 2에 있어서,
    상기 앱보안설정에 대한 인터페이스는,
    상기 대상애플리케이션의 무결성 또는 상기 사용자단말기에 내장된 운영체제의 무결성에 흠결이 있는 경우, 상기 관리자의 상기 앱보안설정에 대한 선택입력에 따라 상기 대상애플리케이션의 실행을 중지하도록 하는 앱중지엘리먼트 및 상기 대상애플리케이션의 실행을 허가하되 상기 흠결에 대한 정보를 상기 사용자단말기로 송신하도록 하는 리포팅엘리먼트를 더 포함하는, 클라우드 기반 앱 보안 서비스 방법.
  4. 청구항 1에 있어서,
    상기 클라우드 기반 앱 보안 서비스 방법은, 흠결정보 제공단계를 더 포함하고,
    상기 흠결정보 제공단계는,
    상기 무결성검증서버에서, 상기 사용자단말기에 내장된 보안모듈의 상기 앱보안정책에 따른 보안점검결과를 수신하고, 상기 보안점검결과에 따라 상기 대상애플리케이션 또는 상기 사용자단말기에 내장된 운영체제의 무결성에 흠결이 있는 경우 흠결정보를 도출하여 상기 사용자단말기로 송신하는, 클라우드 기반 앱 보안 서비스 방법.
  5. 청구항 4에 있어서,
    상기 클라우드 기반 앱 보안 서비스 방법은, 실행중단정보 제공단계를 더 포함하고,
    상기 실행중단정보 제공단계는,
    상기 서비스서버에서, 상기 사용자단말기로부터 상기 흠결정보를 수신하고, 상기 흠결정보의 검증결과에 따라, 상기 사용자단말기로 상기 대상애플리케이션에 대한 실행중단정보를 송신하는, 클라우드 기반 앱 보안 서비스 방법.
  6. 청구항 5에 있어서,
    상기 실행중단정보 제공단계는,
    상기 서비스서버에서, 상기 흠결정보에 대해 각각의 필수보안요소에 상응하는 1 이상의 필수흠결정보의 포함 여부를 판별하고, 상기 필수흠결정보가 포함되어 있는 경우에 상기 실행중단정보를 생성하는, 클라우드 기반 앱 보안 서비스 방법.
  7. 청구항 1에 있어서,
    상기 클라우드 기반 앱 보안 서비스 방법은, 서비스내역 관리단계를 더 포함하고,
    상기 서비스내역 관리단계는,
    상기 포털서버에서, 관리자단말기로 상기 대상애플리케이션에 대한 정보 및 상기 대상애플리케이션에 상응하는 앱보안정책의 내역을 송신하는 단계; 및
    상기 포털서버에서, 상기 관리자의 상기 대상애플리케이션에 대한 선택입력에 따라 상기 관리자단말기로 상기 대상애플리케이션에 상응하는 1 이상의 보안점검결과를 송신하는 단계;를 포함하는, 클라우드 기반 앱 보안 서비스 방법.
KR1020190130456A 2019-10-21 2019-10-21 클라우드 기반 앱 보안 서비스 방법 KR102286512B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190130456A KR102286512B1 (ko) 2019-10-21 2019-10-21 클라우드 기반 앱 보안 서비스 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190130456A KR102286512B1 (ko) 2019-10-21 2019-10-21 클라우드 기반 앱 보안 서비스 방법

Publications (2)

Publication Number Publication Date
KR20210046979A true KR20210046979A (ko) 2021-04-29
KR102286512B1 KR102286512B1 (ko) 2021-08-05

Family

ID=75728243

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190130456A KR102286512B1 (ko) 2019-10-21 2019-10-21 클라우드 기반 앱 보안 서비스 방법

Country Status (1)

Country Link
KR (1) KR102286512B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102345261B1 (ko) * 2021-05-13 2021-12-29 이수희 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102616704B1 (ko) 2021-12-07 2023-12-27 주식회사 오션블루 분실 단말의 보안을 위한 서비스 제공 시스템 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160019410A (ko) * 2013-03-29 2016-02-19 사이트릭스 시스템스, 인크. 다수의 동작 모드들을 가진 애플리케이션용 데이터 관리
KR20170140630A (ko) * 2016-06-13 2017-12-21 (유)아홉 애플리케이션 무결성 인증 방법 및 인증 서버
KR101934381B1 (ko) * 2017-07-21 2019-01-03 넷마블 주식회사 해킹툴 탐지 방법 및 이를 수행하는 사용자 단말 및 서버

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160019410A (ko) * 2013-03-29 2016-02-19 사이트릭스 시스템스, 인크. 다수의 동작 모드들을 가진 애플리케이션용 데이터 관리
KR20170140630A (ko) * 2016-06-13 2017-12-21 (유)아홉 애플리케이션 무결성 인증 방법 및 인증 서버
KR101934381B1 (ko) * 2017-07-21 2019-01-03 넷마블 주식회사 해킹툴 탐지 방법 및 이를 수행하는 사용자 단말 및 서버

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102345261B1 (ko) * 2021-05-13 2021-12-29 이수희 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법

Also Published As

Publication number Publication date
KR102286512B1 (ko) 2021-08-05

Similar Documents

Publication Publication Date Title
US11875342B2 (en) Security broker
US11616803B2 (en) Hybrid deployment of ephemeral scanners
US10511623B2 (en) Network security system with remediation based on value of attacked assets
US8832840B2 (en) Mobile application security and management service
US10375572B2 (en) User interface for security protection and remote management of network endpoints
US10841337B2 (en) Computer implemented system and method, and computer program product for reversibly remediating a security risk
US11757920B2 (en) User and entity behavioral analysis with network topology enhancements
US10609038B2 (en) Discovering and evaluating privileged entities in a network environment
US10348755B1 (en) Systems and methods for detecting network security deficiencies on endpoint devices
US9471469B2 (en) Software automation and regression management systems and methods
CN109155774B (zh) 用于检测安全威胁的***和方法
US20170118239A1 (en) Detection of cyber threats against cloud-based applications
KR20150006042A (ko) 동적 인증을 기반으로 하여 모바일 보안을 제공하는 시스템 및 방법
JP2022530288A (ja) rootレベルアクセス攻撃を防止する方法および測定可能なSLAセキュリティおよびコンプライアンスプラットフォーム
US20200267146A1 (en) Network analytics for network security enforcement
KR102286512B1 (ko) 클라우드 기반 앱 보안 서비스 방법
US10909516B2 (en) Basic input/output system (BIOS) credential management
US11678261B2 (en) Distributed wireless communication access security
CN105933467A (zh) 一种客户端主机信息变更的周期性检测方法
KR102275065B1 (ko) 보안 통제 장치 및 방법
US11784996B2 (en) Runtime credential requirement identification for incident response
US20200174995A1 (en) Measurement Update Method, Apparatus, System, Storage Media, and Computing Device
US20240143708A1 (en) Dynamic transitioning among device security states based on server availability
CN108289085B (zh) 一种文档安全管理***登录方法及装置
Baulenas Gallego SOC setup with Splunk

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right