KR100616240B1 - 피싱 방지 방법 - Google Patents

피싱 방지 방법 Download PDF

Info

Publication number
KR100616240B1
KR100616240B1 KR1020040071444A KR20040071444A KR100616240B1 KR 100616240 B1 KR100616240 B1 KR 100616240B1 KR 1020040071444 A KR1020040071444 A KR 1020040071444A KR 20040071444 A KR20040071444 A KR 20040071444A KR 100616240 B1 KR100616240 B1 KR 100616240B1
Authority
KR
South Korea
Prior art keywords
customer
personal information
phishing
site
identification
Prior art date
Application number
KR1020040071444A
Other languages
English (en)
Other versions
KR20060022576A (ko
Inventor
황재엽
양기호
안태호
Original Assignee
황재엽
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 황재엽 filed Critical 황재엽
Priority to KR1020040071444A priority Critical patent/KR100616240B1/ko
Publication of KR20060022576A publication Critical patent/KR20060022576A/ko
Application granted granted Critical
Publication of KR100616240B1 publication Critical patent/KR100616240B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 개인정보 해킹기법인 피싱(phishing)을 방지할 수 있는 진짜 사이트 확인방법에 관한 것으로서, 고객등록단계, 사이트확인용개인정보등록단계, 고객식별단계, 접속IP주소 추적단계, 사이트확인용개인정보단계, 본인확인단계, 정보유출경고메시지송출단계로 이루어져있다.

Description

피싱 방지 방법{Method for Anti-phishing}
도 1은 피싱메일의 예이다.
도 2는 사이트확인용개인정보로서의 이미지의 예이다.
도 3a 및 도 3b는 사이트확인용개인정보로서의 이미지를 확인하는 예이다.
도 4는 텍스트정보를 이미지화한 실시예이다.
본 발명은 개인정보보안에 관한 것으로서, 그 중에서도 최근 사회문제화 되고 있는 피싱을 방지하는 방법에 관한 것이다.
도 1은 피싱메일의 예이다.
피싱이란, 타인의 신용카드번호나 은행계좌번호, 또 그 패스워드 등을 빼내기 위해, 타깃에게 이메일을 보내 진짜 사이트와 똑같이 만든 가짜 사이트로 유인한 다음 개인정보를 입력하게 하여 입력된 정보를 공격자 자신에게 보내도록 하는 신종 기법을 말한다.
이 피싱이 위험한 것은 개인정보 해킹을 방지하기 위해 각 사이트들이 로그인박스에 적용하는 각종 보안기술을 피해서, 아예 직접 개인을 속여서 개인정보를 빼가는 것이기 때문에 방지기술이 통하지 않고, 이런 상황이 진행되면 전자금융서비스 자체가 불안하다는 인식이 퍼져서 그 사업기반이 흔들릴 수 있기 때문이다.
종래 기술로는, 비자안심클릭의 경우, 본인만이 대답할 수 있는 본인확인메시지를 사전에 그 대답과 함께 등록해 두었다가, 고객이 카드결제를 할 때, 상기 등록된 본인확인메시지를 새 윈도우에 띄워서 미리 등록한 대답을 입력하는지를 확인함으로써 본인임을 확인하는 방식인데, 이때, 본인이 직접 등록한 질문이 아닌 다른 질문이 나오면 그 사이트는 피싱용 가짜 사이트임을 알 수 있도록 한 것이다.
하지만 공격자가 미리 본인확인메시지가 무엇이 뜨는지 확인부터 한 다음에, 똑같은 메시지가 뜨도록 만든 가짜 사이트로 피싱을 시도하면 당하게 되며, 또, 본인만이 대답할 수 있는 질문을 만들기라는 것 자체가 상당히 어려운 일이다.
본 발명은 피싱용 가짜 사이트를 만드는 것 자체를 어렵게 함으로써 근본적인 해결을 하고자 함에 있다.
본 발명은 다음과 같은 세부단계로 이루어져 있다.
1. 고객등록단계
2. 사이트확인용개인정보등록단계
3. 고객식별단계
4. 접속IP주소 추적단계
5. 사이트확인용개인정보단계
6. 본인확인단계
7. 정보유출경고메시지송출단계
이하부터는 각 세부단계별로 상세한 설명을 시작하기로 한다.
1. 고객등록단계
고객등록단계에서는 고객에게 식별번호를 부여한다. 식별번호에 대응하는 패스워드가 필요하면 패스워드도 입력받아 저장해 둔다.
이런 단계는 일반적인 기술이므로 상세한 설명은 생략하기로 한다.
2. 사이트확인용개인정보등록단계
사이트확인용개인정보는 본 발명의 가장 중요한 부분으로서, 가짜 사이트에 의해 피싱공격을 받았을 때 가짜임을 쉽게 파악할 수 있도록 해준다.
사이트확인용개인정보는 개인의 신상정보나 기타 개인이 입력한 이미지나 사운드 등의 특정정보인데, 가장 바람직한 것은 이미지이다. 이하에서는 이미지로 실시하는 경우로 설명하기로 한다.
도 2는 사이트확인용개인정보로서의 이미지의 예이다.
이 단계에서는 적절한 인터페이스를 제공하여 고객이 자신만의 이미지(이하 확인용이미지)를 업로드하면 이를 받아 저장해 둔다.
3. 고객식별단계
고객이 사이트에 접속하여 로그인을 시도할 때, 상기 등록된 고객식별번호와 패스워드를 확인하는 단계이다. 이 단계도 일반적인 기술이므로 상세한 설명을 생략하기로 한다.
4. 접속IP주소 추적단계
접속자의 접속IP주소를 추적하여 저장해두는 단계이다. 아래에 설명되어지는 본인확인단계를 통과하지 못하는 경우에는 본인에게 송출되는 정보유출경고메시지에 이 추적된 접속IP주소가 포함되어 신고자료로 쓰이도록 되어 있다.
이미 상기 고객식별단계를 통과한 사람 중에 만약 그가 본인이 아니라면 이미 타인의 개인정보를 도용한 것이 되는 것인데, 곧 이어지는 본인확인단계를 통과하지 못하면 도용의 목적도 이루기 전에 자신의 접속위치가 노출되도록 하여 도용시도의지를 현저히 떨어뜨리고, 또, 피싱을 위해 사이트확인용개인정보를 미리 수집하려는 시도도 감히 엄두를 못 내게 하는 단계이다.
5. 사이트확인용개인정보확인단계
도 3a 및 도 3b는 사이트확인용개인정보로서의 이미지를 확인하는 예이다.
상기 등록된 확인용이미지를 확인하는 단계로서, 상기 고객식별단계에서 확인된 바에 따라 식별된 고객의 확인용이미지를 디스플레이하여 고객이 직접 확인토록 함으로써 진짜 사이트임을 알 수 있도록 한 것이다.
그런데, 이 확인용이미지를 다 보여주면 피싱공격자가 미리 트로이목마 등의 수법으로 확인용이미지를 캡쳐해서 빼간 후, 이를 피싱용 가짜 사이트에 그대로 올려 놓으면 가짜 사이트가 구별하기 힘들게 된다.
그러므로, 이 확인용이미지를 마스킹처리 한 후, 고객의 마우스포인터가 지나가는 부분만 보여주면, 고객은 일부분만으로도 확인을 할 수 있지만, 확인할 때 어느 부분을 선택할지는 알 수 없으므로 피싱공격자는 전체 이미지를 확보하지 않 는 한 피싱용 가짜 사이트를 만들 수 없게 된다.
도 3a는 마우스 포인터가 지나가는 자리를 따라 마스킹이 벗겨지는 효과로 처리한 예이며, 도 3b는 전체 이미지를 몇 조각으로 나누어 놓고 마우스로 선택한 조각을 보여주도록 처리한 예이다.
이를 웹상에서 구현하기 위해서는 윈도즈의 activeX 또는 자바애플릿을 통하여 손쉽게 할 수 있다.
6. 본인확인단계
패스워드를 한번 더 확인한다.
이 패스워드는 상기 고객식별단계에서 확인한 패스워드와는 별개의 패스워드로서, 이 단계의 패스워드까지 모두 통과해야 서비스를 이용할 수 있게 된다.
그러므로, 공격자는 이 본인확인단계의 패스워드까지 알아내어야 도용이 가능하게 되고, 본 발명에 따른 확인용이미지가 가짜 사이트를 구분할 수 있게 해주어 피싱공격으로 이 본인확인용 패스워드를 유출하지 않게 되는 것이다.
7. 정보유출경고메시지송출단계
만약 상기 본인확인단계를 통과하지 못하면 개인정보가 유출된 것 같으니 패스워드와 확인용이미지 등 개인정보를 수정하도록 경고메시지를 메일 또는 SMS(Short Message System) 등의 수단으로 본인에게 송출한다. 이때 상기 접속IP주소도 포함시켜서 타인의 도용시도일 경우 신고자료로써 쓰이도록 한다.
일반적으로 피싱은 개인정보를 유출하고도 공격을 당했는지조차 모르는데, 이상에서 설명되어진 실시예 외에, 접속IP주소 추적단계나 본인확인단계 등을 제외 하고도 적어도 공격을 당한 즉시 가짜에 속았음을 알 수 있어, 후속조치를 빠르게 취하여 피해를 막을 수 있는 효과가 있으므로 몇 가지 단계를 제외한 실시예 또한 본 발명의 범주 안에 포함된다고 보아야 할 것이다.
또한, 확인용이미지 대신 사운드를 이용할 수도 있는데, 확인할 때 고객이 선택한 부분만 재생되도록 하면 된다.
또한, 확인용이미지는 고객이 입력한 텍스트정보를 이미지화하여 보여줄 수도 있는데, 텍스트정보를 이미지화하는 기술은 이미 일반화된 기술이므로 자세한 설명은 생략하기로 한다.
도 4는 텍스트정보를 이미지화한 실시예이다.
이상에서 알 수 있는 바와 같이, 본 발명은 진짜 사이트와 가짜 사이트를 구별할 수 있게 해줌으로써 피싱을 근본적으로 방지하는 효과가 있다.

Claims (7)

  1. 온라인에서 피싱을 방지하는 방법에 있어서,
    고객식별번호를 부여하는 고객등록단계;와,
    상기 고객식별번호에 상응하는 사이트확인용개인정보를 입력받아 저장하는 사이트확인용개인정보등록단계;와,
    고객식별번호를 확인하는 고객식별단계;와,
    상기 고객식별단계에서 확인된 고객에 상응하는 상기 사이트확인용개인정보가 마스킹되어 출력되었다가, 고객이 선택하는 부분만 마스킹이 해제되는 인터페이스가 제공되는 사이트확인용개인정보확인단계;로 이루어진 것을 특징으로 하는 피싱 방지 방법.
  2. 제 1항에 있어서,
    상기 사이트확인용개인정보는 이미지정보인 것을 특징으로 하는 피싱 방지 방법.
  3. 제 1항 및 제 2항에 있어서,
    상기 고객식별단계를 통과한 후, 본인임을 확인하는 암호를 한 번 더 확인하는 본인확인단계가 상기 개인화사이트확인단계와 동시에 또는 그 후에 포함되는 것을 특징으로 하는 피싱 방지 방법.
  4. 제 3항에 있어서,
    상기 본인확인단계를 통과하지 않을 경우 본인에게 정보유출경고메시지를 송출하는 알람단계를 더 포함하는 것을 특징으로 하는 피싱 방지 방법.
  5. 제 4항에 있어서,
    고객의 접속IP주소 획득단계가 더 포함된 것을 특징으로 하는 피싱 방지 방법.
  6. 제 5항에 있어서,
    상기 정보유출경고메시지에 상기 접속IP주소를 포함시키는 단계가 더 포함되는 것을 특징으로 하는 피싱 방지 방법.
  7. 제 1항에 있어서,
    상기 사이트확인용개인정보는 사운드정보인 것을 특징으로 하는 피싱 방지 방법.
KR1020040071444A 2004-09-07 2004-09-07 피싱 방지 방법 KR100616240B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040071444A KR100616240B1 (ko) 2004-09-07 2004-09-07 피싱 방지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040071444A KR100616240B1 (ko) 2004-09-07 2004-09-07 피싱 방지 방법

Publications (2)

Publication Number Publication Date
KR20060022576A KR20060022576A (ko) 2006-03-10
KR100616240B1 true KR100616240B1 (ko) 2006-10-25

Family

ID=37129067

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040071444A KR100616240B1 (ko) 2004-09-07 2004-09-07 피싱 방지 방법

Country Status (1)

Country Link
KR (1) KR100616240B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101455703B1 (ko) * 2013-02-05 2014-11-03 라온시큐어(주) 웹사이트 검증 방법

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100723867B1 (ko) * 2005-11-23 2007-05-31 한국전자통신연구원 피싱웹페이지 차단 장치 및 방법
KR100745044B1 (ko) * 2006-03-29 2007-08-01 한국전자통신연구원 피싱 사이트 접속 방지 장치 및 방법
KR100960719B1 (ko) * 2007-04-04 2010-05-31 (주)씽크에이티 인터넷 서비스 가입시 보안 강화를 위한 본인 인증 방법
KR100974813B1 (ko) * 2007-07-09 2010-08-10 주식회사 비즈모델라인 정보 제공 서버
KR100929693B1 (ko) * 2007-10-10 2009-12-03 김진우 라우팅 포인트를 활용한 피싱 방지 방법
KR100921721B1 (ko) * 2008-02-19 2009-10-29 (주)애니아이디 피싱 및 아이디 도용 방지를 위한 통합 아이디 제공 시스템및 방법
KR100956452B1 (ko) * 2008-07-16 2010-05-06 인하대학교 산학협력단 피싱공격 방지 방법
US20110035317A1 (en) * 2009-08-07 2011-02-10 Mark Carlson Seedless anti phishing authentication using transaction history
KR101134115B1 (ko) * 2010-06-17 2012-04-09 주식회사 잉카인터넷 피싱사이트 접속 방지방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007801A (ja) 2000-06-21 2002-01-11 Nec Corp オンラインショッピングシステム、信用情報提供サーバー、提供方法および提供プログラムを記録した記録媒体

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007801A (ja) 2000-06-21 2002-01-11 Nec Corp オンラインショッピングシステム、信用情報提供サーバー、提供方法および提供プログラムを記録した記録媒体

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
카다로그

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101455703B1 (ko) * 2013-02-05 2014-11-03 라온시큐어(주) 웹사이트 검증 방법

Also Published As

Publication number Publication date
KR20060022576A (ko) 2006-03-10

Similar Documents

Publication Publication Date Title
US6938167B2 (en) Using trusted communication channel to combat user name/password theft
US7073067B2 (en) Authentication system and method based upon random partial digitized path recognition
CA2649015C (en) Graphical image authentication and security system
US8751801B2 (en) System and method for authenticating users using two or more factors
US20060090073A1 (en) System and method of using human friendly representations of mathematical values and activity analysis to confirm authenticity
US20060020812A1 (en) System and method of using human friendly representations of mathematical function results and transaction analysis to prevent fraud
US20080295169A1 (en) Detecting and defending against man-in-the-middle attacks
US20100313253A1 (en) Method, system and process for authenticating the sender, source or origin of a desired, authorized or legitimate email or electrinic mail communication
CN105264537A (zh) 使用装置证实进行生物计量验证的系统和方法
KR20070036125A (ko) 네트워크 보안 및 사기 탐지 시스템 및 방법
US8327420B2 (en) Authentication system and method
KR100616240B1 (ko) 피싱 방지 방법
CN105431843A (zh) 以通信装置识别码作为网络身份验证
US20050238174A1 (en) Method and system for secure communications over a public network
CN102667799A (zh) 访问控制系统、认证服务器系统及访问控制程序
Awale et al. Awareness of sim swap attack
Hoeschele et al. Detecting social engineering
KR20140117838A (ko) 파밍 탐지 및 차단 장치, 이를 이용한 방법
KR20050030541A (ko) 안전인증 방법
KR100625081B1 (ko) 안전인증 방법
Choi Social Engineering Cyber Threats
CN111859362A (zh) 一种移动环境下的多级身份鉴别方法及电子装置
Oseni et al. E-service security: taking proactive measures to guide against theft, case study of developing countries
Blancaflor et al. Social Media Content Compilation of Online Banking Scams in the Philippines: A Literature Review
AU2004323374B2 (en) Authentication system and method based upon random partial digitized path recognition

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee