KR101907392B1 - 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템 - Google Patents

이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템 Download PDF

Info

Publication number
KR101907392B1
KR101907392B1 KR1020170062100A KR20170062100A KR101907392B1 KR 101907392 B1 KR101907392 B1 KR 101907392B1 KR 1020170062100 A KR1020170062100 A KR 1020170062100A KR 20170062100 A KR20170062100 A KR 20170062100A KR 101907392 B1 KR101907392 B1 KR 101907392B1
Authority
KR
South Korea
Prior art keywords
address
link address
module
link
inspection
Prior art date
Application number
KR1020170062100A
Other languages
English (en)
Inventor
배환국
권정혁
이슬기
Original Assignee
소프트캠프(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소프트캠프(주) filed Critical 소프트캠프(주)
Priority to KR1020170062100A priority Critical patent/KR101907392B1/ko
Priority to PCT/KR2018/004071 priority patent/WO2018212455A1/ko
Priority to CN201880033035.1A priority patent/CN110637302A/zh
Priority to US16/614,044 priority patent/US20200074079A1/en
Priority to JP2019563383A priority patent/JP7141643B2/ja
Application granted granted Critical
Publication of KR101907392B1 publication Critical patent/KR101907392B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 이메일 본문에 게시되는 링크주소를 확인해서 악성 여부를 파악하며 상기 링크주소를 통해 이메일 수신자가 악성사이트에 접속하는 것을 방지하는 이메일 본문에 게재된 링크주소의 악성 검사방법과 검사시스템에 관한 것으로, 링크주소와 수신자정보 중 하나 이상과 대체주소를 저장하는 주소DB; 이메일 본문에 게재된 링크주소를 추출해서 대체주소로 대체하고, 해당 링크주소와 수신자정보 중 하나 이상과 상기 대체주소를 상기 주소DB에 저장하는 링크주소 대체모듈; 이메일 서버에 접속한 수신단말에 이메일모듈의 대체주소 실행을 확인하면, 상기 주소DB에서 해당 링크주소를 검색하여 검사 대상 웹사이트에 접속하고 악성 여부를 검사하는 링크주소 검사모듈; 상기 링크주소 검사모듈로부터 상기 검사 대상 웹사이트의 검사 결과를 상기 수신단말에 전송하는 검사정보 안내모듈;을 포함하는 것이다.

Description

이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템{METHOD AND SYSTEM FOR INSPECTING MALICIOUS LINK ADDREE LISTED ON EMAIL}
본 발명은 이메일 본문에 게시되는 링크주소를 확인해서 악성 여부를 파악하며 상기 링크주소를 통해 이메일 수신자가 악성사이트에 접속하는 것을 방지하는 이메일 본문에 게재된 링크주소의 악성 검사방법과 검사시스템에 관한 것이다.
온라인을 통한 메일 수단인 이메일은 시간과 장소 등에 구애 없이 발신자의 메시지를 수신자에게 전달할 수 있는 기본적인 통신 수단으로 일상에 자리매김했고, 이메일을 이용한 개인들 간의 정보 교환은 물론이고, 관공서 또는 일반 기업체의 각종 안내 정보까지도 수신자에게 전달하는 통신수단으로 널리 활용되고 있다.
하지만 이메일은 수신자가 원치 않는 광고성 정보는 물론이고, 수신자에게 금전적/정신적 피해를 줄 수 있는 각종 피싱메일 및 악성코드를 포함하면서, 수신자의 개인정보를 무단으로 유출하거나 수신자에게 금전적인 피해를 주는 악의적인 통신수단으로 활용되었다.
이러한 악성 이메일이 범람하면서 이메일을 대상으로 하는 다양한 종래 보안기술이 개발되었다. 종래 보안기술은 일반적인 스팸메일은 물론이고, 악성코드가 포함된 이메일을 필터링해서, 수신자가 선택적으로 열람할 수 있게 한 것으로, 수신자는 보다 안전하게 이메일을 수신하고 활용할 수 있었다.
한편, 이메일 본문에는 특정 웹사이트의 URL주소(이하 '링크주소')를 게재하도록 되어서, 수신자는 상기 링크주소를 클릭하는 것만으로도 상기 특정 웹사이트에 손쉽게 접속할 수 있다. 이러한 링크주소는 사용자가 웹사이트에 접속하기 위해서 웹브라우저에 해당 URL주소를 일일이 입력하는 번거로움을 해소하는 편리함이 있다.
하지만, 전술한 종래 보안기술의 보안 기능을 피하기 위해서 최근 악성 이메일은 이메일 자체에 악성코드 등을 포함시키지 않고, 이메일 본문에 게재된 링크주소의 해당 웹사이트에 악성코드를 포함시켰다. 결국, 수신자가 링크주소를 통해 해당 웹사이트에 접속하면, 상기 링크주소의 웹사이트에 포함된 악성코드는 수신자의 단말을 오염시켜서 수신단말에 포함된 각종 개인정보 등을 유출시켰다.
물론 종래 보안기술은 악성코드를 포함하는 링크주소를 관리데이터로 저장 및 관리하면서 링크주소 자체의 위험성을 확인하는 기능을 갖추었지만, 악성코드로 오염된 웹사이트의 링크주소는 신규 주소로 계속해서 갱신하므로, 기존 관리데이터만으로는 신규 주소의 악성 링크주소를 필터링하는데 한계가 있었다.
결국, 종래 보안기술은 링크주소를 통한 악성코드 오염을 필터링하는 보안 기능은 갖추지 못하므로, 수신자가 무의식적으로 링크주소 또는 링크주소가 포함된 이미지나 글씨를 클릭하면 단말이 악성코드에 오염되어 피해를 입는 문제가 있었다.
이러한 문제를 해소하기 위해서 샌드박스를 활용해서 악성코드를 탐지하는 다른 종래 보안기술이 개발되었다. 샌드박스 방식은 이메일의 본문이나 첨부파일을 격리된 샌드박스 환경에서 열람하므로, 수신단말(20)의 감염여부를 안전하게 탐지할 수 있었다. 그러나 샌드박스를 활용한 종래 보안기술은 이메일 본문에 게재된 링크주소를 통한 피싱은 감지하지 못한다는 한계가 있었다.
한편, 악성주소 리스트를 기초로 링크주소의 악성여부를 검사하는 다른 종래 보안기술이 개발되었다. 그러나 이러한 보안 방식은 검사 당시에 악성주소 리스트에 포함된 악성주소만 필터링할 수 있었고, 대부분의 악성주소는 생성된 지 수시간에서 수일이 지난후에야 악성주소 리스트를 갱신할 수 있으므로, 신규 악성주소는 필터링할 수 없다는 한계가 있었다.
이외에도 이메일 본문에 게재된 링크주소가 악성주소인 경우에, 수신자가 상기 링크주소를 선택하면 접속 트래픽이 비정상적으로 증가한다는 점을 응용한 다른 종래 보안기술이 개발되었다. 이러한 종래 보안기술은 접속 트래픽이 기준치 이상이 되면 해당 링크주소를 악성주소로 간주해서 실행을 제한했다. 하지만, 상기 종래 보안기술의 보안 방식은 네트워크 부하가 매우 크게 발생하며, 검사 전까지는 수신자가 인터넷에 접속할 수 없게 되는 지연 문제로 인해서, 링크주소의 악성주소 검사 방식이 비효율적이라는 한계가 있었다.
선행기술문헌 1. 특허등록번호 제10-0885634호(2009.02.19 공고)
이에 본 발명은 상기와 같은 문제를 해소하기 위해 발명된 것으로서, 악성코드 또는 스팸 등으로 오염된 이메일의 수신을 방지함은 물론이고 이메일 본문에 포함된 링크주소의 해당 웹사이트 접속도 사전에 확인하고 접속할 수 있도록 해서, 수신자가 안전하게 이메일을 수신하고 정보 통신을 할 수 있게 하는 이메일 본문에 게재된 링크주소의 악성 검사방법과 검사시스템의 제공을 해결하고자 하는 과제로 한다.
상기의 과제를 달성하기 위하여 본 발명은,
링크주소와 수신자정보 중 하나 이상과 대체주소를 저장하는 주소DB;
이메일 본문에 게재된 링크주소를 추출해서 대체주소로 대체하고, 해당 링크주소와 수신자정보 중 하나 이상과 상기 대체주소를 상기 주소DB에 저장하는 링크주소 대체모듈;
이메일 서버에 접속한 수신단말에 이메일모듈의 대체주소 실행을 확인하면, 상기 주소DB에서 해당 링크주소를 검색하여 검사 대상 웹사이트에 접속하고 악성 여부를 검사하는 링크주소 검사모듈; 및
상기 링크주소 검사모듈로부터 상기 검사 대상 웹사이트의 검사 결과를 상기 수신단말에 전송하는 검사정보 안내모듈;
을 포함하는 이메일 본문에 게재된 링크주소의 악성 여부 검사시스템이다.
상기의 다른 기술적 과제를 달성하기 위하여 본 발명은,
대체서버의 링크주소 대체모듈이 이메일 본문에 게재된 링크주소를 추출해서 대체주소로 대체하고, 해당 링크주소와 수신자정보 중 하나 이상과 상기 대체주소를 상기 주소DB에 저장하는 링크주소 대체 단계;
수신단말의 이메일모듈이 이메일 서버에 접속해서 수신 이메일을 확인하는 이메일 확인 단계;
링크주소 검사모듈이 이메일 본문에 게재된 대체주소의 접속 실행을 확인하고, 상기 주소DB에서 상기 대체주소에 대한 링크주소를 검색하는 대상 웹사이트 확인 단계;
상기 링크주소 검사모듈이 상기 주소DB에서 검색한 링크주소의 검사 대상 웹사이트에 접속해서 악성 여부를 검사하는 링크주소 검사모듈; 및
검사정보 안내모듈이 상기 링크주소 검사모듈로부터 수신한 상기 검사 대상 웹사이트의 검사 결과 정보를 상기 수신단말에 전송하는 단계;
를 포함하는 이메일 본문에 게재된 링크주소의 악성 여부 검사방법이다.
본 발명은 악성코드로 오염된 이메일의 수신을 방지함은 물론이고 이메일 본문에 게재된 링크주소의 해당 웹사이트 접속도 사전에 확인하고 접속할 수 있도록 해서 수신자가 안전하게 이메일을 수신하고 정보를 교환할 수 있게 하는 효과가 있다.
또한 본 발명은 수신하는 이메일을 일일이 방역할 필요 없이 사용자가 링크주소를 클릭할 때만 해당 방역을 위한 보안 기능을 수행하면 되므로, 보안시스템의 부하를 크게 줄일 수 있고 보다 빠른 보안 속도로 보안 기능을 실행할 수 있는 효과가 있다.
도 1은 본 발명에 따른 검사시스템의 네트워크 연결 구성을 개략적으로 도시한 도면이고,
도 2는 본 발명에 따른 검사시스템의 일실시 예를 도시한 블록도이고,
도 3은 본 발명에 따른 검사방법의 일실시 예를 순차로 보인 플로차트이고,
도 4는 본 발명에 따른 검사시스템이 검사하는 이메일 본문의 일실시 모습을 보인 이미지이고,
도 5는 도 4에서 보인 이메일 본문의 소스코드의 일실시 모습을 보인 이미지이고,
도 6은 본 발명에 따른 검사시스템이 이메일 링크주소의 웹페이지를 보여 질의하는 일실시 모습을 보인 이미지이고,
도 7은 본 발명에 따른 검사시스템의 다른 실시 예를 도시한 블록도이고,
도 8은 본 발명에 따른 검사방법의 다른 실시 예를 순차로 보인 플로차트이다.
상술한 본 발명의 특징 및 효과는 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시 예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 출원에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.
이하, 본 발명을 구체적인 내용이 첨부된 도면에 의거하여 상세히 설명한다.
도 1은 본 발명에 따른 검사시스템의 네트워크 연결 구성을 개략적으로 도시한 도면이고, 도 2는 본 발명에 따른 검사시스템을 도시한 블록도이다.
본 실시의 검사시스템은 이메일 본문에 포함된 링크주소를 확인해서 대체주소로 대체하는 대체서버(200)와, 대체주소를 통한 웹브라우저의 접근을 확인하고 해당 링크주소의 웹사이트를 검사하는 검사서버(300)를 포함한다.
주지된 바와 같이, 발신자와 수신자는 통신망에 접속 가능한 랩탑(10, 20), 모바일(10', 20'), 태블릿 등의 통신단말을 이용해서 이메일 데이터를 발,수신할 수 있고, 이메일 서버(100)는 발신단말(10, 10'; 이하 10)과 수신단말(20, 20'; 이하 20) 간의 이메일 통신을 중계한다.
대체서버(200)는 이메일 데이터에 구성된 이메일 본문에서 링크주소를 추출하여 대체주소로 대체하는 링크주소 대체모듈(210)과, 링크주소와 대체주소를 짝으로 연결해 저장하는 주소DB(220)를 포함한다.
검사서버(300)는 상기 대체주소를 통한 웹브라우저의 통신시도를 확인하면 주소DB(220)에서 해당 링크주소 및 수신자정보 중 선택된 하나 이상을 검색하여 검사대상 웹사이트(30)의 악성 여부를 확인하는 링크주소 검사모듈(310)과, 링크주소 검사모듈(310)의 검사 결과에 따라 검사대상 웹사이트(30)에 대한 상기 웹브라우저의 통신을 인가하고 검사정보를 안내하는 검사정보 안내모듈(320)을 포함한다. 본 실시의 검사서버(300)는 대체서버(200)와 하드웨어적으로 독립한 서버인 것으로 했으나, 대체서버(200)와 검사서버(300)는 하드웨어적으로 일체일 수 있다.
한편, 본 실시의 검사시스템은, 검사정보 안내모듈(320)과 통신하면서 검사정보를 수신단말(20)에서 출력시키고, 수신단말(20)의 입력정보를 검사서버(300)에 전송시키는 검사정보 확인모듈(22)를 포함한다.
이상 설명한 본 실시의 검사시스템을 통해서 링크주소의 악성 여부를 검사하는 방법을 아래에서 상세히 설명한다.
도 3은 본 발명에 따른 검사방법의 일실시 예를 순차로 보인 플로차트이고, 도 4는 본 발명에 따른 검사시스템이 검사하는 이메일 본문의 일실시 모습을 보인 이미지이고, 도 5는 도 4에서 보인 이메일 본문의 소스코드의 일실시 모습을 보인 이미지이고, 도 6은 본 발명에 따른 검사시스템이 이메일 링크주소의 웹페이지를 보여 질의하는 일실시 모습을 보인 이미지이다.
S10; 링크주소 대체 단계
본 실시의 검사방법은 이메일 본문에 게재된 링크주소를 검사서버(300)의 주소인 대체주소로 변경함으로써 시작한다.
이메일 본문에 게재된 링크주소 대체를 위한 통신 방식은 프락스 방식과 브릿지 방식과 Eml 파일을 통한 주소 대체 방식 등이 예시될 수 있는데, 이하에서는 링크주소 대체를 위한 통신 방식을 프락스 방식으로 해서 설명한다.
참고로, 프락스 방식은 DNS 서버의 MX레코드를 변경해서, 대체서버(200)가 이메일 서버(100)로 유입되던 이메일을 우선 수신하고, 링크주소를 대체주소로 대체하며, 대체주소로 대체된 이메일을 이메일 서버(100)에 전달한다.
브릿지 방식은 대체서버(200)를 이메일 서버(100)와 inline상에 위치시키고, 이메일 서버(100)로의 SMTP 트래픽이 대체서버(200)가 되도록 설정해서 링크주소를 대체주소로 대체한다.
Eml 파일을 통한 주소 대체 방식은 이메일 서버(100)에서 링크주소 대체 대상인 이메일을 eml 파일 형태로 대체서버(200)에 전달해서, 대체서버(200)가 링크주소를 대체주소로 대체하도록 한다.
도 4의 (a)도면은 'naver' 단어가 게재된 이메일 본문이고, 도 4의 (b)도면은 'http://www.naver.com/'의 URL 주소가 링크주소로 게재된 이메일 본문이다.
그런데 도 4의 (a)도면에서 보인 이메일 본문의 내용은 일반 단어이므로, 도 5의 (a)도면에서 보인 소스코드에는 'naver'만 확인된다. 반면, 도 4의 (b)도면에서 보인 이메일 본문은 URL형식의 링크주소이므로, 도 5의 (b)도면에서 보인 소스코드에는 'http://www.naver.com/'로 확인된다.
대체서버(200)의 링크주소 대체모듈(210)은 이메일 서버(100)의 이메일 중계모듈(110)과 연동하여 발신자의 발송 이메일의 소스코드를 분석하며, 이를 통해 도 5의 (b)도면에서 보인 링크주소가 있음을 확인한다.
계속해서, 링크주소 대체모듈(210)은 이메일 본문에서 확인된 링크주소를 검사서버(300)의 대체주소로 변경한다. 일 예를 들어 설명하면, 이메일 본문의 소스코드에 포함된 링크주소인 'http://www.naver.com/'를 검서서버(300)의 URL 주소인 'http://TEST1.com/'으로 변경한다. 결국, 이메일 본문에 게재된 원래의 링크주소인 'http://www.naver.com/'은 대체주소인 'http://TEST1.com/'으로 변경된다.
링크주소에 대한 대체주소 변경이 완료하면, 링크주소 대체모듈(210)은 상기 링크주소와 대체주소 또는 링크주소와 대체주소와 수신자정보를 짝으로 연결해서 주소DB(220)에 저장한다. 여기서 상기 수신자정보는 수신자 이메일주소일 수 있다.
참고로 이메일 서버(100)는 수많은 발신자 및 수신자 간에 이메일 발,수신을 중계하며, 이메일 본문에는 수많은 링크주소가 포함될 수 있다. 그러므로 본 실시의 링크주소 대체모듈(210)은 서로 다른 다양한 형태의 대체주소를 링크주소별로 짝을 짓는다. 즉, 이메일 본문에 게재된 링크주소가 'http://www.naver.com/'와 더불어 'http://www.daum.net/'으로 2개라면, 링크주소 대체모듈(210)은 'http://www.naver.com/'에 'http://TEST1.com/'을 대체주소로 하여 짝을 짓고, 'http://www.daum.net/'에 'http://TEST2.com/'을 대체주소로 하여 짝을 짓는 것이다.
하지만, 서로 다른 형태의 'http://TEST1.com/'과 'http://TEST2.com/'은 동일한 검사서버(300)에 접속할 수 있도록 해서, 수신자가 어떠한 대체주소를 선택하더라도 검사서버(300)로만 접속되도록 한다.
이외에도 다른 실시의 링크주소 대체모듈(210)은 이메일 본문에 게재된 링크주소의 변경을 하나의 대체주소로만 하고, 주소DB(220)에 저장할 때에는 수신자의 이메일주소와 링크주소를 짝으로 할 수 있다.
이외에도 다른 실시의 링크주소 대체모듈(210)은 이메일 본문에 게재된 다수의 링크주소의 변경을 각각 서로 다른 대체주소로 하고, 주소DB(220)에 저장할 때에는 수신자의 이메일주소와 링크주소 및 대체주소를 짝으로 해서, 서로 다른 대체주소의 개수를 크게 줄일 수 있다.
이외에도 다른 실시의 링크주소 대체모듈(210)은 이메일 본문에 게재된 링크주소를 확인해서, 안전한 웹사이트의 링크주소로 관리되는 경우에는 해당 링크주소는 대체주소로로 변경하지 않고 유지되도록 할 수 있다.
이외에도 대체주소의 형식을 'http://TEST.com/링크주소/'로 해서, 대체주소 자체에 해당 링크주소를 포함시키고, 링크주소 검사모듈(310)은 대체주소를 기반으로 해당 링크주소를 확인할 수 있다. 이때, 주소DB(220)는 대체주소와 수신자정보만을 짝으로 연결해 저장할 수 있다.
S20; 이메일 확인 단계
수신자는 수신단말(20)의 웹브라우저를 기반으로 실행하는 이메일모듈(21)이 이메일 서버(100)에 접속해 로그인하면, 이메일 중계모듈(110)은 상기 수신자의 수신 이메일을 검색해서 이메일모듈(21)에 제시하고, 이메일 중계모듈(110)은 제시된 수신 이메일을 수신단말(20)에 출력시킨다.
계속해서, 이메일모듈(21)은 수신자가 선택한 이메일 본문을 이메일 중계모듈(110)에 요청하고, 이메일 중계모듈(110)은 해당 이메일 본문을 검색하여 이메일 모듈(21)에 제시한다.
이메일모듈(21)은 제시된 이메일 본문을 수신하여 출력한다.
이를 통해 수신자는 자신의 수신단말(20)에서 이메일 본문을 확인할 수 있다.
이메일 서버(100)와 수신단말(20) 간의 이메일 본문 출력 기술은 이미 공지의 기술이므로, 여기서는 이메일 본문을 열람하는 구체적인 프로세스 설명은 생략한다.
S30; 대상 웹사이트 확인 단계
수신자는 수신단말(20)에 출력된 이메일 본문에서 대체주소를 선택해 클릭하고, 수신단말(20)의 웹브라우저는 상기 대체주소에 해당하는 검사서버(300)에 접속한다.
검사서버(300)의 링크주소 검사모듈(310)은 상기 대체주소와 수신자 이메일주소 중 선택된 하나 이상을 기초로 주소DB(220)를 검색해서, 수신자가 접속하고자 한 원래의 대상 웹사이트의 링크주소를 확인한다.
S40; 대상 웹사이트 접속 단계
링크주소 검사모듈(310)은 주소DB(220)에서 검색한 링크주소에 따라 원래의 웹사이트에 접속한다.
S50; 링크주소 악성 검사 단계
본 실시의 검사서버(300)는 원격 접속 대행 서버의 일종으로, 링크주소 검사모듈(310)이 자체 웹브라우저를 실행해서 해당 링크주소에 접속한다.
링크주소 검사모듈(310)의 웹브라우저는 해당 링크주소의 웹페이지를 확인하고, 검사정보 안내모듈(320)는 도 6에서 보인 바와 같이 상기 웹페이지의 이미지를 캡처해서 캡처이미지로 수집한다.
여기서 링크주소 검사모듈(310)은 링크주소의 악성코드 실행과 이로 인한 인터넷 트래픽의 발생을 제한하도록 가영영역을 생성시켜서, 상기 링크주소로의 접속이 격리된 가상영역 내에서 이루어진다. 결국, 링크주소에 포함된 악성코드의 실행으로 악성프로그램의 설치가 진행되어도, 상기 가상영역 내에서 그 설치가 이루어지므로, 악성코드는 링크주소 검사모듈(310)은 물론 수신단말(20)에도 영향을 끼치지 않는다. 링크주소 검사모듈(310)은 악성코드로 가상영역이 오염되면, 상기 가상영역 자체를 삭제하거나 가상영역에 저장된 외부데이터 및 추가데이터를 삭제하면 되므로, 검사서버(300)는 악성코드에 의한 부담없이 검사대상 웹사이트(30)와 안전하게 통신할 수 있다.
계속해서, 검사정보 안내모듈(320)은 상기 캡처이미지를 수신단말(20)의 검사정보 확인모듈(22)에 전송하고, 검사정보 확인모듈(22)은 상기 캡처이미지를 도 6에서 보인 대로 수신단말(20)에 출력한다. 수신자는 수신단말(20)에 출력된 상기 캡처이미지를 확인해서 악성사이트 여부를 판단하고, 해당 링크주소의 웹사이트 접속을 결정한다.
S60; 대상 웹사이트 연결 단계
본 실시에서 검사정보 안내모듈(320)은 캡처이미지와 함께 수신자가 선택할 수 있는 '예'와 '아니오' 메뉴를 제시하고, 링크주소에 해당하는 검사 대상 웹사이트로의 접속을 결정하면, 수신단말(20)의 웹브라우저를 상기 링크주소에 해당하는 검사 대상 웹사이트에 접속시킨다.
S70; 검사정보 안내 단계
이외에도 링크주소 검사모듈(310)은 자체 검사를 통해서 링크주소의 웹사이트의 악성 여부를 확인할 수 있고, 악성으로 확인되면 검사정보 안내모듈(320)은 해당 링크주소와 악성코드의 종류와 명칭 등을 게시한 보고서를 생성해서 수신단말(20)의 검사정보 확인모듈(22)에 전송한다.
검사정보 확인모듈(22)은 상기 보고서 형식의 검사정보를 출력해서, 수신자에게 접속 제한 이유를 안내한다.
도 7은 본 발명에 따른 검사시스템의 다른 실시 예를 도시한 블록도이고, 도 8은 본 발명에 따른 검사방법의 다른 실시 예를 순차로 보인 플로차트이다.
본 실시의 검사시스템은 안전한 웹사이트 주소정보와 악성코드로 감염된 웹사이트 주소정보 중 선택된 하나 이상을 저장하는 웹사이트DB(340)와, 수신자가 접속을 허용한 웹사이트 주소정보와 접속을 불허한 웹사이트 주소정보 중 선택된 하나 이상을 저장하는 수신자DB(330)와, 웹사이트DB(340)와 수신자DB(330)를 기준으로 링크주소의 접속 여부를 결정하는 접속관리모듈(350)을 더 포함한다.
웹사이트DB(340)는 공인된 웹사이트인 일반 포털사이트와 기업 웹사이트, 관공서 웹사이트 등의 웹사이트 주소정보를 저장할 수 있고, 악성코드로 감염됨이 확인된 웹사이트 주소정보를 저장할 수 있다.
수신자DB(330)는 수신자가 접속을 승인하거나 불허한 웹사이트의 주소정보를 저장할 수 있다.
접속관리모듈(350)은 링크주소 검사모듈(310)이 확인한 링크주소를 웹사이트DB(340) 및 수신자DB(330)에서 우선 검색해서, 링크주소 검사모듈(310)이 해당 웹사이트에 접속하기 전에 접속 여부를 결정한다(S35, S36). 접속관리모듈(350)이 접속을 승인하면, 검사정보 안내모듈(320)은 수신단말(20)의 웹브라우저가 해당 링크주소의 웹사이트에 접속하게 하고, 접속관리모듈(350)이 접속을 불허하면, 검사정보 안내모듈(320)은 해당 링크주소와 악성코드의 종류와 명칭 등을 게시한 보고서를 생성해서 수신단말(20)의 검사정보 확인모듈(22)에 전송한다.
검사정보 확인모듈(22)은 상기 보고서 형식의 검사정보를 출력해서, 수신자에게 접속 제한 이유를 안내한다.
참고로, 본 실시의 수신자DB(330)는 수신단말(20)의 IP 또는 수신자의 이메일 주소 등의 수신자별 식별정보를 저장하며, 접속관리모듈(350)은 상기 식별정보를 기준으로 수신자별로 입력된 접속 승인 여부 관련 웹사이트 주소정보를 구분할 수 있다.
본 실시에서 웹사이트DB(340)와 수신자DB(330)가 링크주소 검사모듈(310)의 검사에 저장데이터를 반영하는 것으로 했으나, 링크주소 대체모듈(210)의 링크주소 대체시 저장데이터를 반영해서 안전이 공인된 웹사이트의 링크주소 또는 수신자가 승인한 웹사이트의 링크주소는 대체주소로의 대체 없이 그 상태를 유지하도록 할 수도 있다.
앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예들을 참조해 설명했지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 게재된 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (7)

  1. 링크주소와 수신자정보 중 하나 이상과 대체주소를 저장하는 주소DB;
    수신자의 식별정보와, 수신자가 입력한 접속 승인 여부 관련 웹사이트 주소정보를 각각 저장하는 수신자DB;
    이메일 본문의 소스코드를 분석해서 링크주소를 확인하고, 상기 이메일 본문 출력시 링크주소가 대체주소로 출력되도록 해당 링크주소를 대체주소로 대체하며, 상기 링크주소와 수신자정보 중 하나 이상과 해당 대체주소를 주소DB에 저장하는 링크주소 대체모듈;
    이메일 서버에 접속한 수신단말에 이메일모듈의 대체주소 실행을 확인하면, 상기 주소DB에서 대체주소에 해당하는 링크주소를 검색하고, 격리된 가상영역에서 자체 웹브라우저를 이용해 상기 링크주소에 해당하는 검사 대상 웹사이트에 접속하여 악성 여부를 검사하는 링크주소 검사모듈;
    상기 링크주소 검사모듈이 접속한 검사 대상 웹사이트의 화면을 캡처해서 해당 캡처이미지와, 수신자의 접속 여부 선택을 위한 메뉴를 수신단말에 전송하고, 상기 링크주소 검사모듈의 상기 검사 대상 웹사이트의 검사 결과를 상기 수신단말에 전송하며, 상기 메뉴 선택을 통해 검사 대상 웹사이트로의 접속 시도를 확인하면 수신단말의 웹브라우저가 검사 대상 웹사이트에 접속하도록 처리하는 검사정보 안내모듈; 및
    상기 링크주소 검사모듈이 확인한 링크주소를 상기 수신자DB에서 검색해서, 웹사이트 주소별 접속 승인 여부에 따라 해당 웹사이트로의 접속을 결정하는 접속관리모듈;
    을 포함하는 것을 특징으로 하는 이메일 본문에 게재된 링크주소의 악성 여부 검사시스템.
  2. 제 1 항에 있어서,
    상기 링크주소 대체모듈은 이메일 데이터를 이메일 서버보다 우선 수신 후에 링크주소를 대체하고 이메일 서버로 전송하거나, 이메일 데이터를 수신한 이메일 서버가 검사 대상 이메일을 상기 링크주소 대체모듈에 전송하는 것을 특징으로 하는 이메일 본문에 게재된 링크주소의 악성 여부 검사시스템.
  3. 삭제
  4. 삭제
  5. 제 1 항에 있어서,
    상기 링크주소 대체모듈은 대체 대상에서 제외된 링크주소는 대체 없이 이메일 본문에 유지시키는 것을 특징으로 하는 이메일 본문에 게재된 링크주소의 악성 여부 검사시스템.
  6. 제 1 항에 있어서,
    안전성이 확인된 웹사이트 주소정보와 악성코드 오염이 확인된 웹사이트 주소정보 중 하나 이상을 저장하는 웹사이트DB;를 더 포함하고,
    상기 접속관리모듈은, 상기 링크주소 검사모듈이 확인한 링크주소를 웹사이트DB에서 검색하여 해당 웹사이트로의 접속 여부를 결정하는 것;
    을 특징으로 하는 이메일 본문에 게재된 링크주소의 악성 여부 검사시스템.
  7. 대체서버의 링크주소 대체모듈이, 이메일 본문의 소스코드를 분석해서 링크주소를 확인하고, 상기 이메일 본문 출력시 링크주소가 대체주소로 출력되도록 해당 링크주소를 대체주소로 대체하며, 상기 링크주소와 수신자정보 중 하나 이상과 해당 대체주소를 주소DB에 저장하는 링크주소 대체 단계;
    수신단말의 이메일모듈이 이메일 서버에 접속해서 수신 이메일을 확인하는 이메일 확인 단계;
    링크주소 검사모듈이 상기 주소DB에서 상기 대체주소에 대한 링크주소를 검색하고, 수신자의 식별정보와 상기 수신자가 입력한 접속 승인 여부 관련 웹사이트 주소정보를 각각 저장한 수신자DB에서, 접속관리모듈이 상기 링크주소를 검색하여 상기 링크주소의 웹사이트 접속여부를 결정하는 대상 웹사이트 확인 단계;
    상기 대상 웹사이트 확인 단계에서 확인된 상기 링크주소로의 접속 여부에 따라 검사 대상 웹사이트로의 접속이 결정되되, 상기 대상 웹사이트 확인 단계에서 접속 여부가 결정되지 않으면, 격리된 가상영역에서 상기 링크주소 검사모듈이 상기 주소DB에서 검색한 링크주소의 검사 대상 웹사이트에 접속하여 악성 여부를 검사하고, 상기 링크주소 검사모듈이 접속한 검사 대상 웹사이트의 화면을 검사정보 안내모듈이 캡처해서 해당 캡처이미지와, 수신자의 접속 여부 선택을 위한 메뉴와, 상기 검사정보 안내모듈이 상기 링크주소 검사모듈로부터 수신한 상기 검사 대상 웹사이트의 검사 결과 정보를 수신단말에 전송하는 단계;
    상기 검사 결과 정보와 캡처이미지와 메뉴를 수신한 상기 수신단말의 검사정보 확인모듈이 출력하는 단계; 및
    상기 검사정보 안내모듈이, 상기 메뉴 선택을 통해 검사 대상 웹사이트로의 접속 시도를 확인하면, 상기 수신단말의 웹브라우저가 검사 대상 웹사이트에 접속하도록 처리하는 단계;
    를 포함하는 것을 특징으로 하는 이메일 본문에 게재된 링크주소의 악성 여부 검사방법.
KR1020170062100A 2017-05-19 2017-05-19 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템 KR101907392B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020170062100A KR101907392B1 (ko) 2017-05-19 2017-05-19 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템
PCT/KR2018/004071 WO2018212455A1 (ko) 2017-05-19 2018-04-06 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템
CN201880033035.1A CN110637302A (zh) 2017-05-19 2018-04-06 电子邮件正文中恶意超链接的检查方法与检查系统
US16/614,044 US20200074079A1 (en) 2017-05-19 2018-04-06 Method and system for checking malicious hyperlink in email body
JP2019563383A JP7141643B2 (ja) 2017-05-19 2018-04-06 電子メール本文に掲載されたリンクアドレスの悪性検査方法及び検査システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170062100A KR101907392B1 (ko) 2017-05-19 2017-05-19 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템

Publications (1)

Publication Number Publication Date
KR101907392B1 true KR101907392B1 (ko) 2018-10-12

Family

ID=63876650

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170062100A KR101907392B1 (ko) 2017-05-19 2017-05-19 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템

Country Status (5)

Country Link
US (1) US20200074079A1 (ko)
JP (1) JP7141643B2 (ko)
KR (1) KR101907392B1 (ko)
CN (1) CN110637302A (ko)
WO (1) WO2018212455A1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102184485B1 (ko) 2020-10-05 2020-11-30 크리니티(주) 악성 메일 처리 시스템 및 방법
KR20220036270A (ko) * 2020-09-15 2022-03-22 주식회사 카카오 스팸 url을 판단하는 방법 및 시스템
WO2022145501A1 (ko) * 2020-12-29 2022-07-07 (주)기원테크 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법
KR102448188B1 (ko) * 2022-05-06 2022-09-28 (주)지란지교시큐리티 웹 격리 기술 기반의 메일 보안 시스템 및 메일 보안 서비스 제공 방법

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190106044A (ko) * 2018-03-07 2019-09-18 삼성전자주식회사 웹 페이지의 표시 방법 및 전자 장치
KR102232206B1 (ko) * 2020-01-03 2021-03-26 (주)새움소프트 발송메일의 오동작 패턴을 기초로 위험성을 자동 감지하는 방법 및 컴퓨터 프로그램
US10735436B1 (en) * 2020-02-05 2020-08-04 Cyberark Software Ltd. Dynamic display capture to verify encoded visual codes and network address information
US11943257B2 (en) * 2021-12-22 2024-03-26 Abnormal Security Corporation URL rewriting
CN115134147A (zh) * 2022-06-29 2022-09-30 中国工商银行股份有限公司 电子邮件检测方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014513834A (ja) * 2011-04-18 2014-06-05 ファイヤアイ インク マルウェア検出のための電子メッセージ分析

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7516488B1 (en) * 2005-02-23 2009-04-07 Symantec Corporation Preventing data from being submitted to a remote system in response to a malicious e-mail
JP4682855B2 (ja) * 2006-01-30 2011-05-11 日本電気株式会社 不正サイトへの誘導防止システム、方法、プログラム、及び、メール受信装置
KR100885634B1 (ko) * 2006-09-22 2009-02-26 주식회사 소프트런 피싱 방지를 위한 웹 사이트 및 메일 검증 방법과 그 방법에 대한 컴퓨터 프로그램을 저장한 기록매체
US20100299735A1 (en) * 2009-05-19 2010-11-25 Wei Jiang Uniform Resource Locator Redirection
JP5805585B2 (ja) * 2012-05-23 2015-11-04 日本電信電話株式会社 中継サーバおよび代理アクセス方法
JP6361090B2 (ja) * 2013-05-16 2018-07-25 ヤマハ株式会社 中継装置
KR101940310B1 (ko) * 2013-05-24 2019-01-21 한국전자통신연구원 웹 사이트 검증 장치 및 그 방법
KR20150019663A (ko) * 2013-08-14 2015-02-25 소프트캠프(주) 이메일의 첨부파일 처리시스템과 처리방법
KR20150062644A (ko) * 2013-11-29 2015-06-08 (주)노르마 스미싱 메시지 검출 시스템과 이에 사용되는 서버 및 프로그램을 기록한 기록매체
CN105491053A (zh) * 2015-12-21 2016-04-13 用友网络科技股份有限公司 一种Web恶意代码检测方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014513834A (ja) * 2011-04-18 2014-06-05 ファイヤアイ インク マルウェア検出のための電子メッセージ分析

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220036270A (ko) * 2020-09-15 2022-03-22 주식회사 카카오 스팸 url을 판단하는 방법 및 시스템
KR102527260B1 (ko) 2020-09-15 2023-04-27 주식회사 카카오 스팸 url을 판단하는 방법 및 시스템
KR102184485B1 (ko) 2020-10-05 2020-11-30 크리니티(주) 악성 메일 처리 시스템 및 방법
WO2022145501A1 (ko) * 2020-12-29 2022-07-07 (주)기원테크 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법
KR102448188B1 (ko) * 2022-05-06 2022-09-28 (주)지란지교시큐리티 웹 격리 기술 기반의 메일 보안 시스템 및 메일 보안 서비스 제공 방법

Also Published As

Publication number Publication date
CN110637302A (zh) 2019-12-31
JP7141643B2 (ja) 2022-09-26
US20200074079A1 (en) 2020-03-05
JP2020521221A (ja) 2020-07-16
WO2018212455A1 (ko) 2018-11-22

Similar Documents

Publication Publication Date Title
KR101907392B1 (ko) 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템
US11245662B2 (en) Registering for internet-based proxy services
US11321419B2 (en) Internet-based proxy service to limit internet visitor connection speed
CN109495377B (zh) 即时的电子邮件内嵌url的信誉确定设备、系统和方法
US20220078197A1 (en) Using message context to evaluate security of requested data
Englehardt et al. I never signed up for this! Privacy implications of email tracking
US10419478B2 (en) Identifying malicious messages based on received message data of the sender
US20120324094A1 (en) Mobile device dns optimization
US20120324568A1 (en) Mobile web protection
US8862675B1 (en) Method and system for asynchronous analysis of URLs in messages in a live message processing environment
US20110258201A1 (en) Multilevel intent analysis apparatus & method for email filtration
US20160241575A1 (en) Information processing system and information processing method
KR102648653B1 (ko) 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법
RU2693325C2 (ru) Способ и система для обнаружения действий, потенциально связанных с рассылкой спама, при регистрации учетной записи
JP7155332B2 (ja) 情報処理装置、情報処理方法、プログラム及び記録媒体
JP2006268335A (ja) 電子メールシステム、電子メールシステムにおけるリンク先のフィルタ方法およびプログラム
JP2018190374A (ja) 情報処理装置、情報処理システム、プログラム、記録媒体及び情報処理方法
KR20240019669A (ko) 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법

Legal Events

Date Code Title Description
GRNT Written decision to grant