KR102184485B1 - 악성 메일 처리 시스템 및 방법 - Google Patents

악성 메일 처리 시스템 및 방법 Download PDF

Info

Publication number
KR102184485B1
KR102184485B1 KR1020200128175A KR20200128175A KR102184485B1 KR 102184485 B1 KR102184485 B1 KR 102184485B1 KR 1020200128175 A KR1020200128175 A KR 1020200128175A KR 20200128175 A KR20200128175 A KR 20200128175A KR 102184485 B1 KR102184485 B1 KR 102184485B1
Authority
KR
South Korea
Prior art keywords
mail
server
malicious
fingerprint
suspicious
Prior art date
Application number
KR1020200128175A
Other languages
English (en)
Inventor
유병선
Original Assignee
크리니티(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 크리니티(주) filed Critical 크리니티(주)
Priority to KR1020200128175A priority Critical patent/KR102184485B1/ko
Application granted granted Critical
Publication of KR102184485B1 publication Critical patent/KR102184485B1/ko
Priority to PCT/KR2021/009226 priority patent/WO2022075559A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • H04L51/12
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/30Transportation; Communications
    • G06Q50/40
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/23Reliability checks, e.g. acknowledgments or fault reporting
    • H04L51/30
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/2809
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/562Brokering proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC

Abstract

본 발명은 악성 메일 처리 시스템 및 방법에 관한 것으로서, 본 발명에 따른 악성 메일 처리 시스템은 SB(Spam Breaker)서버 및 SB센터서버를 포함하는 악성 메일 처리 시스템으로서, 상기 SB서버는 송신자 클라이언트 메일서버로부터 메일을 수신하고, 상기 메일에 해시(Hash) 알고리즘을 적용하여 상기 메일을 식별하는 핑거프린트(Finger Print)를 생성하여 저장하며, 상기 메일 중 악성 메일로 의심되는 의심 악성 메일을 검출한 뒤 상기 의심 악성 메일과 상기 의심 악성 메일을 식별하는 핑거프린트를 상기 SB센터서버로 전송하고, 상기 SB센터서버는 상기 SB서버로부터 수신한 상기 의심 악성 메일이 실제 악성 메일에 해당하는지 여부를 판단하고, 상기 의심 악성 메일이 악성 메일에 해당하는 경우 상기 악성 메일을 식별하는 핑거프린트를 저장하고 상기 SB서버로 전송하며, 상기 SB서버는 상기 SB센터서버로부터 수신한 상기 악성 메일을 식별하는 핑거프린트와 상이한 핑거프린트로 식별되는 메일만 메일서버로 전송한다.

Description

악성 메일 처리 시스템 및 방법{SYSTEM AND METHOD FOR PROCESSING MALICIOUS MAIL}
본 발명은 악성 메일 처리 시스템 및 방법에 관한 것으로서, 악성 메일이 메일서버로 전송되지 않도록 사전에 차단하고 기 전송된 악성 메일은 열람하지 못하도록 회수함으로써 악성 메일로부터 메일서버와 최종 클라이언트 사용자를 보호하는 악성 메일 처리 시스템 및 방법에 관한 것이다.
인터넷의 대중화와 더불어 고속화가 보편화되면서 대중적인 인터넷 환경은 빠른 PC와 빠른 회선속도가 일반화되어 있는데, 이러한 고속 환경 속에서 정상적인 PC의 사용은 쾌적한 인터넷 사용 환경을 제공하지만, 바이러스 감염 등으로 비정상적으로 사용될 경우 개개의 PC는 그만큼 더 치명적인 공격에 사용될 수 있는 것이 현실이다.
최근 들어, 이러한 성향은 스파이웨어(spyware)를 통한 좀비PC와 같은 비정상적인 형태로 현실화되어 나타나고 있고, 해커나 범죄자에 의해 감염된 정상적인 PC는 사용자의 의도와는 상관없이 때를 막론하고 나쁜 목적의 PC로 사용되고 있으며, 또한 해킹된 서버들 역시 나쁜 목적으로 사용되는 경우가 빈번하게 일어나고 있다.
이러한 좀비PC는 사용자들의 정보를 해킹하여 악의적인 목적으로 사용되고 있고, 이와 같은 좀비PC는 특정하게 한 가지 기능을 수행하는 것이 아니고, 복합적으로 악의적 활동에 사용되고 기술적으로는 서로 동조되어 활동되고 있으며, 그 중에서도 스팸 메일 발송과 DDoS 공격에 주로 사용되고 있는 상태이다.
또한, 국내의 웹 방화벽은 공개 소프트웨어 기반으로 만든 제품이 대부분이기 때문에 상당히 취약함을 노출하고 있으며, 근래 들어 해커들의 공격 성향은 다이나믹(Dynamic)하게 공격 방법을 지속적으로 변형하여 공격을 시도하기 때문에 고정된 차단 방법으로는 효과가 미약하다는 문제를 안고 있다.
또한, 악성코드의 공격 형태에는 피싱(Phishing)이 있는데, 수신자의 거래 은행이나 신용카드 회사 같은 신뢰할 만한 출처로 위장하여 개인정보나 금융정보를 얻기 위해 이메일을 보내는 행위를 말한다. 이러한 'Phishing'은 영어의 'fishing' 이라는 단어와 조합된 것으로 정보를 얻기 위해 낚시질을 한다는 의미로 만들어졌는데, 피싱에서의 전형적인 사기성 이메일은 친숙한 은행이나 전자상거래 사이트를 모방한 웹 사이트로 잠재적 희생자들의 방문을 유도하며, 사이트 방문 후에 사람들은 자신의 계정을 업데이트하거나 확인하라고 요구받게 된다. 그 과정에서 사이트 방문자들이 알지 못하는 사이에 주민등록번호나 신용카드 번호와 같은 비밀정보가 누출된다. 피해자를 직접적으로 속이거나 직접적인 피해를 입히지는 않더라도, 이러한 정보들은 개인정보 도용 범죄에 이용되기도 한다. 피해자는 여러 해 동안 개인정보 도용 사실을 알지 못할 수도 있는 것이다.
또한, 피싱(Phishing)이 진일보한 악성코드의 공격 형태에는 파밍(Pharming)이 있으며, 이 파밍(Pharming)은 새로운 피싱 기법 중 하나이다. 파밍(Pharming)은 사용자가 자신의 웹 브라우저에서 정확한 웹 페이지 주소를 입력해도 가짜 웹 페이지에 접속하게 하여 개인정보를 훔치는 것을 말한다. 그리고 최근에는 메일을 통해 렌섬웨어(Ransomeware)를 수신해서 읽게되는 경우 PC 저장장치에 기록된 모든 파일을 암호화하고 비트코인 등 금품을 요구하는 등의 피해 사례가 급증하고 있어서 큰 사회적 문제가 되고 있다.
상기와 같이, 개인, 금융기관, 각종 업체들은 파싱과 파밍과 파밍 렌섬웨어 등의 공격 형태에 항상 노출되어 있는 실정이고, 외부의 서버 또는 단말기로부터 발송된 해킹코드(또는 악성코드)가 심어져 있는 첨부파일을 포함하는 전자메일이 내부의 서버 또는 단말기로 전송되는 경우, 사용자가 전자메일의 첨부파일을 확인하기 위해 파일을 열 때 해킹코드에 의해 감염되는 경우도 빈번히 발생되고 있는 실정이다.
이에 따라, 이러한 악성 메일이 메일서버로 전송되지 않도록 사전에 차단하고 기 전송된 악성 메일은 열람하지 못하도록 회수함으로써 악성 메일로부터 메일서버뿐만 아니라 최종 클라이언트를 보호하는 악성 메일 처리 시스템 및 방법에 관한 연구가 절실한 상황이다.
대한민국특허청 등록특허공보 제10-0743372호 대한민국특허청 등록특허공보 제10-1907392호
상술한 문제점을 해결하기 위한 본 발명의 목적은, 악성 메일이 메일서버로 전송되지 않도록 사전에 차단하고 기 전송된 악성 메일은 열람하지 못하도록 회수함으로써 악성 메일로부터 메일서버와 최종 클라이언트 사용자를 보호하는 악성 메일 처리 시스템 및 방법을 제공하기 위한 것이다.
본 발명의 다른 목적은, 수신되는 모든 메일에 대하여 각 메일을 식별하는 핑거프린트를 생성하고, 악성 메일이 검출되면 해당 악성 메일에 대한 핑거프린트를 따로 기록해 두었다가, 추후 수신되는 메일에 대해서는 악성 메일로 판별된 핑거프린트와 상이한 핑거프린트를 갖는 수신 메일만 메일 서버로 전송하는 과정을 통해 악성 메일을 보다 빠르고 정확하게 검출하고 차단할 수 있는 악성 메일 처리 시스템 및 방법을 제공하기 위한 것이다.
상술한 목적을 달성하기 위하여, 본 발명의 일 실시예에 따른 악성 메일 처리 시스템은, SB(Spam Breaker)서버 및 SB센터서버를 포함하는 악성 메일 처리 시스템으로서, 상기 SB서버는 송신자 클라이언트 메일서버로부터 메일을 수신하고, 상기 메일에 해시(Hash) 알고리즘을 적용하여 상기 메일을 식별하는 핑거프린트(Finger Print)를 생성하여 저장하며, 상기 메일 중 악성 메일로 의심되는 의심 악성 메일을 검출한 뒤 상기 의심 악성 메일과 상기 의심 악성 메일을 식별하는 핑거프린트를 상기 SB센터서버로 전송하고, 상기 SB센터서버는 상기 SB서버로부터 수신한 상기 의심 악성 메일이 실제 악성 메일에 해당하는지 여부를 판단하고, 상기 의심 악성 메일이 악성 메일에 해당하는 경우 상기 악성 메일을 식별하는 핑거프린트를 저장하고 상기 SB서버로 전송하며, 상기 SB서버는 상기 SB센터서버로부터 수신한 상기 악성 메일을 식별하는 핑거프린트와 상이한 핑거프린트로 식별되는 메일만 메일서버로 전송한다.
바람직하게는, 상기 악성 메일 회수 시스템은 상기 메일서버를 더 포함하고, 상기 메일서버는 상기 SB서버로부터 수신한 메일을 수신자 클라이언트에게 전송하고, 상기 SB서버는 상기 메일서버로 전송되는 모든 메일에 대한 핑거프린트와, 상기 SB센터서버로부터 수신한 상기 악성 메일을 식별하는 핑거프린트를 상기 메일서버로 전송하고, 상기 메일서버는 핑거프린트 비교를 통해 상기 SB서버로부터 기 전송된 메일 중 악성 메일을 검출하여 수신자 클라이언트로부터의 열람을 제한한다.
바람직하게는, 상기 SB서버는 HTTP(HyperText Transfer Protocol)를 이용해 상기 의심 악성 메일과 상기 의심 악성 메일을 식별하는 핑거프린트를 상기 SB센터서버로 전송하고, 상기 SB센터서버는 APT(Advanced Persistent Threat) 검사 및 바이러스 검사를 통해 상기 의심 악성 메일이 실제 악성 메일에 해당하는지 여부를 판단한다.
바람직하게는, 상기 SB센터서버는 SMTP(Simple Mail Transfer Protocol)를 이용해 PUSH 방식으로 상기 악성 메일을 식별하는 핑거프린트를 상기 SB서버로 전송하고, 상기 SB서버의 POLLING 요청에 따라 POLLING 방식으로 상기 악성 메일을 식별하는 핑거프린트를 주기적으로 상기 SB서버로 전송한다.
바람직하게는, 상기 SB서버는 상기 메일에 대한 MIME(Multipurpose Internet Mail Extensions) 데이터의 모든 부분에 대해 SHA(Secure Hash Algorithm)-256 해시 알고리즘을 적용하여 상기 메일에 대한 핑거프린트를 생성한다.
본 발명의 다른 일 실시예에 따른 악성 메일 처리 방법은 SB(Spam Breaker)서버에 의해, 송신자 클라이언트 메일서버로부터 메일을 수신하고, 상기 메일에 해시(Hash) 알고리즘을 적용하여 상기 메일을 식별하는 핑거프린트(Finger Print)를 생성하여 저장하며, 상기 메일 중 악성 메일로 의심되는 의심 악성 메일을 검출한 뒤 상기 의심 악성 메일과 상기 의심 악성 메일을 식별하는 핑거프린트를 SB센터서버로 전송하는 단계; SB센터서버에 의해, 상기 의심 악성 메일이 실제 악성 메일에 해당하는지 여부를 판단하고, 상기 의심 악성 메일이 악성 메일에 해당하는 경우 상기 악성 메일을 식별하는 핑거프린트를 저장하고 상기 SB서버로 전송하는 단계; 및 상기 SB서버에 의해, 상기 악성 메일을 식별하는 핑거프린트와 상이한 핑거프린트로 식별되는 메일만 메일서버로 전송하는 단계를 포함한다.
본 발명은 악성 메일이 메일서버로 전송되지 않도록 사전에 차단하고, 기 전송된 악성 메일은 열람하지 못하도록 회수함으로써, 악성 메일로부터 메일서버와 최종 클라이언트 사용자를 보호하는 악성 메일 처리 시스템 및 방법을 제공할 수 있다.
본 발명은 수신되는 모든 메일에 대하여 각 메일을 식별하는 핑거프린트를 생성하고, 악성 메일이 검출되면 해당 악성 메일에 대한 핑거프린트를 따로 기록해 두었다가, 추후 수신되는 메일에 대해서는 악성 메일로 판별된 핑거프린트와 상이한 핑거프린트를 갖는 수신 메일만 메일 서버로 전송하는 과정을 통해 악성 메일을 보다 빠르고 정확하게 검출하고 차단할 수 있는 악성 메일 처리 시스템 및 방법을 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 악성 메일 처리 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 다른 일 실시예에 따른 메일서버를 더 포함하는 악성 메일 처리 시스템의 구성을 나타낸 도면이다.
도 3은 본 발명의 다른 일 실시예에 따른 수신자 클라이언트 어플리케이션(500)을 더 포함하는 악성 메일 처리 시스템의 구성을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 악성 메일 처리 방법의 순서를 나타낸 도면이다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성 요소들에 참조 부호를 부가함에 있어서, 동일한 구성 요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다.
그리고 본 발명의 실시예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 실시예에 대한 이해를 방해한다고 판단되는 경우에는 그 상세한 설명은 생략한다.
또한, 본 발명의 실시예의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다.
도 1 내지 도 3을 참조하여, 본 발명의 일 실시예에 따른 악성 메일 처리 시스템(이하, '본 악성 메일 처리 시스템'이라 한다)의 구성 및 동작에 대하여, 이하 설명한다.
도 1은 본 악성 메일 처리 시스템(100)의 구성을 나타낸 도면이다.
도 1을 참조하면, 본 악성 메일 처리 시스템(100)은 SB(Spam Breaker)센터서버(110) 및/또는 SB(Spam Breaker)서버(120)를 포함한다.
SB서버(120)는 송신자 클라이언트 메일서버(200)로부터 모든 메일을 수신하고, 수신한 메일에 해시(Hash) 알고리즘을 적용하여 각 메일을 식별하는 핑거프린트(Finger Print)를 생성한다. 즉, 송신자 클라이언트 메일서버(200)로부터 전송되는 모든 메일은 메일서버(300)로 전송되기 전에 SB서버(120)로 전송되는 것이다. 이때, 생성되는 핑거프린트는 수신되는 메일의 고유 식별자로서 해당 메일을 식별하는 정보이다. 이러한 핑거프린트는 메일에 해시 알고리즘을 적용하여 생성되는 해시값일 수 있는데, 해시 알고리즘으로서 SHA(Secure Hash Algorithm)-256 해시 알고리즘이 이용될 수 있다. 즉, SB서버(120)는 수신되는 메일에 대한 MIME(Multipurpose Internet Mail Extensions) 데이터의 모든 부분에 대해 SHA(Secure Hash Algorithm)-256 해시 알고리즘을 적용하여 각 메일에 대한 핑거프린트를 생성한다. 이로써, SB서버(120)로 수신되는 모든 메일은 해당 핑거프린트에 의해 식별될 수 있다. 이렇게 생성된 핑거프린트는 SB서버(120) 내 데이터베이스에 저장된다.
한편, SB서버(120)는 수신되는 메일 중 악성 메일로 의심되는 메일을 검출하여 SB센터서버(110)로 전송하는데 이때 해당 메일에 대한 핑거프린트가 함께 SB센터서버(110)로 전송된다. 이때, SB서버(120)에 의해 검출되는 메일을 의심 악성 메일이라 한다. 즉, SB서버(120)는 의심 악성 메일을 검출한 뒤 검출된 의심 악성 메일과 해당 의심 악성 메일을 식별하는 핑거프린트를 SB센터서버(110)로 전송한다. 이때, SB서버(120)는 HTTP(HyperText Transfer Protocol)를 이용해 검출된 의심 악성 메일과 해당 의심 악성 메일을 식별하는 핑거프린트를 SB센터서버(110)로 전송한다.
SB센터서버(110)는 먼저 SB서버(120)로부터 수신한 의심 악성 메일이 실제 악성 메일에 해당하는지 여부를 판단한다. 이때, SB센터서버(110)는 APT(Advanced Persistent Threat) 검사, 바이러스 검사 및/또는 스팸/파밍/피싱/렌섬 등 악성 여부를 판별하는 검사를 통해 SB서버(120)로부터 수신한 의심 악성 메일이 실제 악성 메일에 해당하는지 여부를 판단한다. 판단 결과, 의심 악성 메일이 실제 악성 메일에 해당하는 경우 해당 악성 메일에 대한 핑거프린트를 수집하여 SB센터서버(110) 내 데이터베이스에 저장하고 해당 악성 메일에 대한 핑거프린트를 SB서버(120)로 전송한다. 이때, SB센터서버(110)는 SMTP(Simple Mail Transfer Protocol)를 이용해 PUSH 방식으로 해당 악성 메일에 대한 핑거프린트를 SB서버(120)로 전송한다. 다만, SMTP에 따른 PUSH 방식으로 핑거프린트를 전송하는 경우 SB서버(120)가 해당 핑거프린트를 제대로 수신했는지 여부를 알 수 없고 중간에 해당 핑거프린트에 대한 데이터가 유실될 가능성 또한 존재하므로, SB센터서버(110)는 핑거프린트 전송에 있어 POLLING 방식을 함께 사용한다. 즉, SB센터서버(110)는 SMTP에 따른 PUSH 방식뿐만 아니라, SB서버(120)의 주기적 POLLING 요청에 따라 POLLING 방식으로 해당 악성 메일을 식별하는 핑거프린트를 주기적으로 SB서버(120)로 전송한다. 이 경우, SB센터서버(110)는 POLLING 요청을 받는 시점까지 수집된 악성 메일에 대한 핑거프린트들을 SB서버(120)로 전송한다.
이후, SB서버(120)는 SB센터서버(110)로부터 수신한 악성 메일에 대한 핑거프린트와 상이한 핑거프린트로 식별되는 메일만 메일서버(300)로 전송한다. 즉, SB서버(120)는 송신자 클라이언트 메일서버(200)로부터 수신한 모든 메일에 대한 핑거프린트들과 SB센터서버(110)로부터 수신한 악성 메일에 대한 핑거프린트를 비교하여 수신한 메일들 중 악성 메일을 추출하여 추출된 악성 메일을 제외한 나머지 메일들에 대해서만 메일서버(300)로 전송한다. SB서버(120)는 SB센터서버(110)로부터 수신한 악성 메일에 대한 핑거프린트를 차단 필터로 등록하여 이후, SB서버(120)로 수신되는 메일들 중 차단 필터로 등록된 핑거프린트를 갖는 메일이 메일서버(300)로 전송되지 않도록 차단한다. 이때, SB서버(120)는 전술한 바와 같이, SB센터서버(110)에게 주기적으로 POLLING 요청을 하여 SB센터서버(110)에 수집되어 저장된 악성 메일에 대한 핑거프린트를 전송받는다. 이로써, 악성 메일이 메일서버(300)로 유입되는 것을 막을 수 있다.
도 2는 메일서버(300)를 더 포함하는 악성 메일 처리 시스템의 구성을 나타낸 도면이다.
도 2를 참조하면, 본 악성 메일 처리 시스템(100)은 메일서버(300)를 더 포함할 수 있다.
메일서버(300)는 SB서버(120)로부터 수신한 메일을 수신자 클라이언트(400)에게 전송하는데, 본 악성 메일 처리 시스템(100)은 메일서버(300)로 기 전송된 메일들에 포함된 악성 메일을 추출하여 회수할 수 있다.
이를 위해, SB서버(120)는 메일서버(300)로 전송되는 모든 메일에 대한 핑거프린트와, SB센터서버(110)로부터 수신한 악성 메일을 식별하는 핑거프린트를 메일서버(300)로 전송한다.
구체적으로, SB서버(120)는 SMTP(Simple Mail Transfer Protocol)를 이용해 PUSH 방식으로 해당 악성 메일에 대한 핑거프린트를 메일서버(300)로 전송한다. 다만, SMTP에 따른 PUSH 방식으로 핑거프린트를 전송하는 경우 메일서버(300)가 해당 핑거프린트를 제대로 수신했는지 여부를 알 수 없고 중간에 해당 핑거프린트에 대한 데이터가 유실될 가능성 또한 존재하므로, SB서버(120)는 핑거프린트 전송에 있어 POLLING 방식을 함께 사용한다. 즉, SB서버(110)는 SMTP에 따른 PUSH 방식뿐만 아니라, 메일서버(300)의 주기적 POLLING 요청에 따라 POLLING 방식으로 해당 악성 메일을 식별하는 핑거프린트를 주기적으로 메일서버(300)로 전송한다. 이 경우, SB서버(120)는 POLLING 요청을 받는 시점까지 수집된 악성 메일에 대한 핑거프린트들을 메일서버(300)로 전송한다.
이후, 메일서버(300)는 핑거프린트 비교를 통해 SB서버(120)로부터 기 전송된 메일 중 악성 메일을 검출하여 해당 악성 메일이 수신자 클라이언트(400)로부터 열람되지 않도록 열람을 제한한다. 이 과정을 악성 메일 회수 과정이라 한다. 구체적으로, 메일서버(300)는 SB서버(120)로부터 수신한 모든 메일에 대한 핑거프린트들과 악성 메일에 대한 핑거프린트를 각각 비교하여 수신한 메일들 중 악성 메일을 추출한 뒤 추출된 악성 메일이 수신자 클라이언트(400)로부터 열람되지 않도록 한다. 즉, 악성 메일에 대한 핑거프린트와 동일한 핑거프린트를 갖는 메일을 악성 메일로 판단하고 판단되 악성 메일을 회수하는 것이다.
일 실시예로서, 이러한 악성 메일 회수를 위해, SB서버(120)는 메일 회수 프로토콜에 따라 회수 요청 메일을 메일서버(300)에 전송하는데 이때, 회수 요청 메일에는 악성 메일 자체 및/또는 악성 메일에 대한 핑거프린트가 포함될 수 있다. 메일서버(300)는 SB서버(120)로부터 수신한 회수 요청 메일에 포함된 악성 메일 자체 및/또는 악성 메일에 대한 핑거프린트를 기초로 메일서버(300)에 기 전송된 메일들 중 악성 메일을 검출하여 회수할 수 있다.
일 실시예로서, 메일서버(300)는 SB서버(120)로부터 수신된 메일에 대한 핑거프린트를 전송받는 대신, SB서버(120)로부터 수신한 메일에 대하여 자체적으로 핑거프린트를 생성할 수 있다. 이 경우, 메일서버(300)는 SB서버(120)가 핑거프린트 생성 시 사용한 해시 알고리즘과 동일한 해시 알고리즘을 사용하여 각 메일을 식별하는 핑거프린트를 생성한다. 따라서, SB서버(120)가 SHA-256 해시 알고리즘을 사용하여 핑거프린트를 생성했다면 메일서버(300)도 동일한 SHA-256 해시 알고리즘을 사용하여 핑거프린트를 생성한다.
이로써, 수신자 클라이언트(400)는 악성 메일이 메일서버(300)로 이미 전송된 상황이라고 하더라도 해당 메일을 열람할 수 없으므로 악성 메일에 따른 피해를 예방할 수 있다.
도 3은 수신자 클라이언트 어플리케이션(500)을 더 포함하는 악성 메일 처리 시스템의 구성을 나타낸 도면이다.
도 3을 참조하면, 본 악성 메일 처리 시스템(100)은 수신자 클라이언트 어플리케이션(500)을 더 포함할 수 있다.
수신자 클라이언트 어플리케이션(500)은 메일서버(300)로부터 수신한 메일을 수신자 클라이언트(400)에게 전송하는데, 본 악성 메일 처리 시스템(100)은 수신자 클라이언트 어플리케이션(500)로 기 전송된 메일들에 포함된 악성 메일을 추출하여 회수할 수 있다. 이때, 수신자 클라이언트 어플리케이션(500)은 마이크로소프트(Micro Soft)사의 아웃룩(Outlook), 애플(Apple)사의 썬더버드(Thunderbird), 또는 이에 상응하는 PC 어플리케이션, Web Application, Mobile App 등 메일 클라이언트 프로그램 등에 해당할 수 있다.
이를 위해, 메일서버(300)는 수신자 클라이언트 어플리케이션(500)로 전송되는 모든 메일에 대한 핑거프린트와, SB센터서버(110)로부터 SB서버(120)를 거쳐 전달된 악성 메일을 식별하는 핑거프린트를 수신자 클라이언트 어플리케이션(500)로 전송한다.
구체적으로, 수신자 클라이언트 어플리케이션(500)는 메일서버(300)에게 주기적으로 POLLING 요청을 하여 메일서버(300)로부터 신규 메일과 악성 메일에 대한 핑거프린트를 전송받는다. 이로써, 악성 메일이 수신자 클라이언트 어플리케이션(500)로 유입되는 것을 막을 수 있다. 즉, 메일서버(300)는 수신자 클라이언트 어플리케이션(500)의 주기적 POLLING 요청에 따라 POLLING 방식으로 신규 메일뿐만 아니라 악성 메일을 식별하는 핑거프린트를 주기적으로 수신자 클라이언트 어플리케이션(500)로 전송한다. 이 경우, 메일서버(300)는 POLLING 요청을 받는 시점까지 수집된 악성 메일에 대한 핑거프린트들을 수신자 클라이언트 어플리케이션(500)로 전송한다. 보다 구체적으로, POLLING 요청을 받은 메일서버(300)는 POP(Post Office Protocol) 및/또는 IMAP(Internet Message Access Protocol)를 통해 데이터 컨테이너의 헤더에 악성 메일을 식별하는 핑거프린트를 삽입하여, 수신자 클라이언트 어플리케이션(500)으로 전송한다.
이후, 수신자 클라이언트 어플리케이션(500)는 핑거프린트 비교를 통해 메일서버(300)로부터 기 전송된 메일 중 악성 메일을 검출하여 해당 악성 메일이 수신자 클라이언트(400)로부터 열람되지 않도록 열람을 제한한다. 이 과정을 악성 메일 회수 과정이라 한다. 구체적으로, 수신자 클라이언트 어플리케이션(500)는 메일서버(300)로부터 수신한 모든 메일에 대한 핑거프린트들과 악성 메일에 대한 핑거프린트를 각각 비교하여 수신한 메일들 중 악성 메일을 추출한 뒤 추출된 악성 메일이 수신자 클라이언트(400)로부터 열람되지 않도록 한다. 즉, 악성 메일에 대한 핑거프린트와 동일한 핑거프린트를 갖는 메일을 악성 메일로 판단하고 판단되 악성 메일을 회수하는 것이다.
일 실시예로서, 이러한 악성 메일 회수를 위해, 메일서버(300)는 메일 회수 프로토콜에 따라 회수 요청 메일을 수신자 클라이언트 어플리케이션(500)에 전송하는데 이때, 회수 요청 메일에는 악성 메일 자체 및/또는 악성 메일에 대한 핑거프린트가 포함될 수 있다. 수신자 클라이언트 어플리케이션(500)는 메일서버(300)로부터 수신한 회수 요청 메일에 포함된 악성 메일 자체 및/또는 악성 메일에 대한 핑거프린트를 기초로 수신자 클라이언트 어플리케이션(500)에 기 전송된 메일들 중 악성 메일을 검출하여 회수할 수 있다.
일 실시예로서, 수신자 클라이언트 어플리케이션(500)는 메일서버(300)로부터 수신된 메일에 대한 핑거프린트를 전송받는 대신, 메일서버(300)로부터 수신한 메일에 대하여 자체적으로 핑거프린트를 생성할 수 있다. 이 경우, 수신자 클라이언트 어플리케이션(500)는 메일서버(300)가 핑거프린트 생성 시 사용한 해시 알고리즘과 동일한 해시 알고리즘을 사용하여 각 메일을 식별하는 핑거프린트를 생성한다. 따라서, 메일서버(300)가 SHA-256 해시 알고리즘을 사용하여 핑거프린트를 생성했다면 수신자 클라이언트 어플리케이션(500)도 동일한 SHA-256 해시 알고리즘을 사용하여 핑거프린트를 생성한다.
이로써, 수신자 클라이언트(400)는 악성 메일이 수신자 클라이언트 어플리케이션(500)로 이미 전송된 상황이라고 하더라도 해당 메일을 열람할 수 없으므로 악성 메일에 따른 피해를 예방할 수 있다.
일 실시예에 따르면, 본 악성 메일 처리 시스템(100)은 핑거프린트 위변조 검증 서버(미도시)를 더 포함할 수 있다.
핑거프린트 위변조 검증 서버는 SB센터서버(110)로부터 전달되는 악성 메일을 식별하는 핑거프린트를 블록체인화하여 블록체인데이터를 생성하는 것으로서, SB센터서버(110)에 통신 가능하게 연결되며, 생성된 블록체인데이터를 분산 저장할 수 있도록 상호 네트워킹 가능한 복수개의 노드를 가지는 단말 집단으로 구성될 수 있다. 이러한 핑거프린트 위변조 검증 서버에 따르면, 시스템 관리자 또는 제3자가 어느 하나의 노드에 저장된 정보를 조작하더라도 나머지 노드에는 조작되지 않은 정보가 그대로 잔존하게 되어 조작이 근원적으로 차단될 수 있고, 정보의 검증을 위해서 핑거프린트 위변조 검증 서버에 접근하기만 하면 되므로 정보의 검증이 자유로운 이점이 있다.
핑거프린트 위변조 검증 서버는 악성 메일을 식별하는 핑거프린트를 검출하여 특정(결정)한 시점에서 SB센터서버(110)로부터 악성 메일을 식별하는 핑거프린트를 전달받아 블록체인화하여 블록체인데이터를 생성한다. 수신된 모든 메일 또는 수신된 모든 메일에 대한 핑거프린트에 블록체인 기법이 적용되는 경우 연산 처리의 속도가 상당 부분 지연된다. 그러므로 악성 메일을 식별하는 핑거프린트가 특정된 시점에서 특정된 핑거프린트에 대해서만 이후 핑거프린트와 비교하는 위변조 검증을 실시하면, 블록체인화 연산처리를 대폭적으로 감소시킬 수 있다. 이는, 제3자가 악성 메일을 식별하는 핑거프린트를 입수한 뒤 이를 변조하여 본 악성 메일 처리 시스템에 의한 필터링(차단) 절차를 회피하는 상황을 방지하기 효율적으로 방지하기 위함이다. 핑거프린트 위변조 검증 서버는 이러한 점에 착안하여, 악성 메일을 식별하는 핑거프린트를 검출하여 특정한 시점에 SB센터서버(110)로부터 해당 핑거프린트를 전달받아 데이터를 블록체인화 하도록 구성되어 있다. 이와 같은 핑거프린트 위변조 검증 서버에 따르면, 수신된 모든 메일에 대한 핑거프린트를 블록체인화하는 것에 비해 데이터 연산이 매우 적다는 이점이 있다.
한편, 핑거프린트 위변조 검증 서버에서의 위변조 검증은 TSA(Time Stamping Authority) 방식으로 처리될 수 있다. TSA 서비스는 데이터(일반적으로는 PDF와 같은 전자문서)의 해시값(Hash value)을 CA(Certificate Authority)기관 또는 제3자회사(Third party company)에 등록하고 결과 값을 받아 원본 데이터에 삽입하여 보관한 다음, 추후 검증하는 일련의 과정을 의미한다. TSA 서비스를 실시하는 기관에서는 데이터의 해시값을 받아 보안성이 높은 독립된 스토리지에 보관하고 그에 대응하는 유일한 값을 리턴해야 한다. 그런데, 데이터의 해시값을 CA 기관 또는 제3자회사에 위탁 처리하면 그 기관이나 업체에 의존성을 갖게 된다. 데이터 해시값에 대응하는 토큰(Token)을 기관에서 만들게 되고, 그 토큰(Token)을 이용하여 진위 여부 검증을 하게 되기 때문이다. 또한 해외 사용자가 TSA 서비스를 이용하기 위해서는 반드시 국내 해당 서비스에 가입을 해야 하기 때문에 문서 등록과 차후 문서 검증이 어려운 문제도 있다. 다만, 블록체인을 기반으로 TSA 서비스를 구성하는 경우, 데이터 해시값 추출 함수(hash function)를 공유하게 되는 것으로 TSA 제공 업체 의존성을 피할 수 있다. 또한 이렇게 블록체인 기반으로 TSA 서비스를 구성하면, 데이터 해시 등록과 문서검증을 위해서 간단히 블록체인 서버에 접근하면 되므로 국제성도 확보될 수 있는 이점이 있다.
핑거프린트 위변조 검증 서버에서 작동되는 TSA 처리는 보다 상세하게 다음과 같다. 먼저, 핑거프린트 위변조 검증 서버가 SB센터서버(110)에 저장된 악성 메일을 식별하는 핑거프린트의 제1 해시값을 전달받아 등록한다. 이후, 핑거프린트 위변조 검증 서버는 외부에서 전달되는 표준시각에 대한 정보를 제1 해시값에 반영하여 제2 해시값을 생성한다. 그 후, 핑거프린트 위변조 검증 서버는 생성된 제2 해시값에 비밀키로 전자서명을 실시한 결과 값을 복권데이터에 적용한 후 저정한 후, 다시 리턴한다. 이때, 제1 해시값은 악성 메일을 식별하는 핑거프린트 자체를 의미할 수 있다.
상술한 과정과 같은 핑거프린트 위변조 검증 서버의 TSA 방식의 데이터 처리에 따르면, 악성 메일을 식별하는 핑거프린트의 검출 및 특정 시점 이후에 해당 핑거프린트의 내용이 특정한 내용으로 존재하고 있음이 확인 되기 때문에, 악성 메일을 식별하는 핑거프린트의 특정 이후 시점에서 시스템 관리자 또는 제3자가 SB센터서버(110)에 저장된 해당 핑거프린트를 조작한다 하더라도 조작 여부가 쉽게 확인될 수 있다.
도 4은 본 발명의 일 실시예에 따른 악성 메일 처리 방법의 순서를 나타낸 도면이다.
도 4을 참조하면, 본 발명의 일 실시예에 따른 악성 메일 처리 방법은 SB(Spam Breaker)서버에 의해, 송신자 클라이언트 메일서버로부터 메일을 수신하고, 상기 메일에 해시(Hash) 알고리즘을 적용하여 상기 메일을 식별하는 핑거프린트(Finger Print)를 생성하여 저장하며, 상기 메일 중 악성 메일로 의심되는 의심 악성 메일을 검출한 뒤 상기 의심 악성 메일과 상기 의심 악성 메일을 식별하는 핑거프린트를 SB센터서버로 전송하는 단계(S310); SB센터서버에 의해, 상기 의심 악성 메일이 실제 악성 메일에 해당하는지 여부를 판단하고, 상기 의심 악성 메일이 악성 메일에 해당하는 경우 상기 악성 메일을 식별하는 핑거프린트를 저장하고 상기 SB서버로 전송하는 단계(S320); 및/또는 상기 SB서버에 의해, 상기 악성 메일을 식별하는 핑거프린트와 상이한 핑거프린트로 식별되는 메일만 메일서버로 전송하는 단계(S330)를 포함한다.
나아가, 본 발명의 일 실시예에 따른 악성 메일 처리 방법은 메일서버에 의해, 악성 메일을 식별하는 핑거프린트와 상이한 핑거프린트로 식별되는 메일만 수신자 클라이언트 어플리케이션 및/또는 수신자 클라이언트로 전송하는 단계(S340)를 더 포함할 수 있다.
상술한 각 단계에 대한 설명은 전술한 도 1 내지 도 3에 대한 설명으로 대체한다.
본 발명의 보호범위가 이상에서 명시적으로 설명한 실시예의 기재와 표현에 제한되는 것은 아니다. 또한, 본 발명이 속하는 기술분야에서 자명한 변경이나 치환으로 말미암아 본 발명이 보호범위가 제한될 수도 없음을 다시 한 번 첨언한다.
100: 악성 메일 처리 시스템 110: SB센터서버
120: SB서버 200: 송신자 클라이언트 메일서버
300: 메일서버 400: 수신자 클라이언트
500: 수신자 클라이언트 어플리케이션

Claims (6)

  1. SB(Spam Breaker)서버 및 SB센터서버를 포함하는 악성 메일 처리 시스템에 있어서,
    상기 SB서버는 송신자 클라이언트 메일서버로부터 메일을 수신하고, 상기 메일에 해시(Hash) 알고리즘을 적용하여 상기 메일을 식별하는 핑거프린트(Finger Print)를 생성하여 저장하며, 상기 메일 중 악성 메일로 의심되는 의심 악성 메일을 검출한 뒤 상기 의심 악성 메일과 상기 의심 악성 메일을 식별하는 핑거프린트를 상기 SB센터서버로 전송하고,
    상기 SB센터서버는 상기 SB서버로부터 수신한 상기 의심 악성 메일이 실제 악성 메일에 해당하는지 여부를 판단하고, 상기 의심 악성 메일이 악성 메일에 해당하는 경우 상기 악성 메일을 식별하는 핑거프린트를 저장하고 상기 SB서버로 전송하며,
    상기 SB서버는 상기 SB센터서버로부터 수신한 상기 악성 메일을 식별하는 핑거프린트와 상이한 핑거프린트로 식별되는 메일만 메일서버로 전송하는, 악성 메일 처리 시스템.
  2. 청구항 1에 있어서,
    상기 악성 메일 처리 시스템은 상기 메일서버를 더 포함하고, 상기 메일서버는 상기 SB서버로부터 수신한 메일을 수신자 클라이언트에게 전송하고,
    상기 SB서버는 상기 메일서버로 전송되는 모든 메일에 대한 핑거프린트와, 상기 SB센터서버로부터 수신한 상기 악성 메일을 식별하는 핑거프린트를 상기 메일서버로 전송하고,
    상기 메일서버는 핑거프린트 비교를 통해 상기 SB서버로부터 기 전송된 메일 중 악성 메일을 검출하여 수신자 클라이언트로부터의 열람을 제한하는 것을 특징으로 하는, 악성 메일 처리 시스템.
  3. 청구항 1에 있어서,
    상기 SB서버는 HTTP(HyperText Transfer Protocol)를 이용해 상기 의심 악성 메일과 상기 의심 악성 메일을 식별하는 핑거프린트를 상기 SB센터서버로 전송하고, 상기 SB센터서버는 APT(Advanced Persistent Threat) 검사 및 바이러스 검사를 통해 상기 의심 악성 메일이 실제 악성 메일에 해당하는지 여부를 판단하는 것을 특징으로 하는, 악성 메일 처리 시스템.
  4. 청구항 1에 있어서,
    상기 SB센터서버는 SMTP(Simple Mail Transfer Protocol)를 이용해 PUSH 방식으로 상기 악성 메일을 식별하는 핑거프린트를 상기 SB서버로 전송하고, 상기 SB서버의 POLLING 요청에 따라 POLLING 방식으로 상기 악성 메일을 식별하는 핑거프린트를 주기적으로 상기 SB서버로 전송하는 것을 특징으로 하는, 악성 메일 처리 시스템.
  5. 청구항 1에 있어서,
    상기 SB서버는 상기 메일에 대한 MIME(Multipurpose Internet Mail Extensions) 데이터의 모든 부분에 대해 SHA(Secure Hash Algorithm)-256 해시 알고리즘을 적용하여 상기 메일에 대한 핑거프린트를 생성하는 것을 특징으로 하는, 악성 메일 처리 시스템.
  6. SB(Spam Breaker)서버에 의해, 송신자 클라이언트 메일서버로부터 메일을 수신하고, 상기 메일에 해시(Hash) 알고리즘을 적용하여 상기 메일을 식별하는 핑거프린트(Finger Print)를 생성하여 저장하며, 상기 메일 중 악성 메일로 의심되는 의심 악성 메일을 검출한 뒤 상기 의심 악성 메일과 상기 의심 악성 메일을 식별하는 핑거프린트를 SB센터서버로 전송하는 단계;
    SB센터서버에 의해, 상기 의심 악성 메일이 실제 악성 메일에 해당하는지 여부를 판단하고, 상기 의심 악성 메일이 악성 메일에 해당하는 경우 상기 악성 메일을 식별하는 핑거프린트를 저장하고 상기 SB서버로 전송하는 단계; 및
    상기 SB서버에 의해, 상기 악성 메일을 식별하는 핑거프린트와 상이한 핑거프린트로 식별되는 메일만 메일서버로 전송하는 단계를 포함하는, 악성 메일 처리 방법.
KR1020200128175A 2020-10-05 2020-10-05 악성 메일 처리 시스템 및 방법 KR102184485B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020200128175A KR102184485B1 (ko) 2020-10-05 2020-10-05 악성 메일 처리 시스템 및 방법
PCT/KR2021/009226 WO2022075559A1 (ko) 2020-10-05 2021-07-19 악성 메일 처리 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200128175A KR102184485B1 (ko) 2020-10-05 2020-10-05 악성 메일 처리 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR102184485B1 true KR102184485B1 (ko) 2020-11-30

Family

ID=73641773

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200128175A KR102184485B1 (ko) 2020-10-05 2020-10-05 악성 메일 처리 시스템 및 방법

Country Status (2)

Country Link
KR (1) KR102184485B1 (ko)
WO (1) WO2022075559A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022075559A1 (ko) * 2020-10-05 2022-04-14 크리니티(주) 악성 메일 처리 시스템 및 방법
KR20220076926A (ko) * 2020-12-01 2022-06-08 주식회사 카카오 전자메일의 유해성을 판단하는 방법 및 시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100743372B1 (ko) 2005-07-04 2007-07-30 주식회사 안철수연구소 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치
KR20170103750A (ko) * 2014-10-17 2017-09-13 아베론 유에스, 인크. 대역 외 데이터로부터 도출되는 디지털 핑거프린트 신호에 기초하는 사용자 검증
KR101907392B1 (ko) 2017-05-19 2018-10-12 소프트캠프(주) 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7310660B1 (en) * 2002-06-25 2007-12-18 Engate Technology Corporation Method for removing unsolicited e-mail messages
KR100571719B1 (ko) * 2004-01-20 2006-04-17 주식회사 디젠트 지문인증을 이용한 전자메일의 보안방법
KR100744559B1 (ko) * 2005-12-07 2007-08-01 한국전자통신연구원 유사성 기반 해싱 알고리즘을 이용한 데이터 해싱 방법,데이터 처리 방법, 및 데이터 처리 시스템
US9106680B2 (en) * 2011-06-27 2015-08-11 Mcafee, Inc. System and method for protocol fingerprinting and reputation correlation
KR102184485B1 (ko) * 2020-10-05 2020-11-30 크리니티(주) 악성 메일 처리 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100743372B1 (ko) 2005-07-04 2007-07-30 주식회사 안철수연구소 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치
KR20170103750A (ko) * 2014-10-17 2017-09-13 아베론 유에스, 인크. 대역 외 데이터로부터 도출되는 디지털 핑거프린트 신호에 기초하는 사용자 검증
KR101907392B1 (ko) 2017-05-19 2018-10-12 소프트캠프(주) 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022075559A1 (ko) * 2020-10-05 2022-04-14 크리니티(주) 악성 메일 처리 시스템 및 방법
KR20220076926A (ko) * 2020-12-01 2022-06-08 주식회사 카카오 전자메일의 유해성을 판단하는 방법 및 시스템
KR102502096B1 (ko) * 2020-12-01 2023-02-20 주식회사 카카오 전자메일의 유해성을 판단하는 방법 및 시스템

Also Published As

Publication number Publication date
WO2022075559A1 (ko) 2022-04-14

Similar Documents

Publication Publication Date Title
Chen et al. Online detection and prevention of phishing attacks
US20190319905A1 (en) Mail protection system
US20180032756A1 (en) System and method for secure use of messaging systems
Banu et al. A comprehensive study of phishing attacks
US8756289B1 (en) Message authentication using signatures
US20100313253A1 (en) Method, system and process for authenticating the sender, source or origin of a desired, authorized or legitimate email or electrinic mail communication
EP3033865A1 (en) Evaluating a questionable network communication
EP3011721B1 (en) System and method for filtering electronic messages
KR102184485B1 (ko) 악성 메일 처리 시스템 및 방법
Broadhurst et al. Malware in spam email: Risks and trends in the Australian Spam Intelligence Database
Iyer et al. Email spoofing detection using volatile memory forensics
Issac et al. Analysis of phishing attacks and countermeasures
EP2587743B1 (en) Hypertext link verification in encrypted e-mail for mobile devices
Qashqari et al. Electronic Mail Security
Elnaim et al. The current state of phishing attacks against Saudi Arabia university students
WO2007016869A2 (en) Systems and methods of enhanced e-commerce,virus detection and antiphishing
KR102164338B1 (ko) 발송자 사칭을 방지하기 위한 전자메일 보안 시스템 및 그 방법
Bhati et al. Prevention approach of phishing on different websites
Plössl et al. Protection mechanisms against phishing attacks
Al-Karaki et al. Blockchain for Email Security: A Perspective on Existing and Potential Solutions for Phishing Attacks
Dhanalakshmi et al. Fraud and Identity Theft Issues
Jakobsson Case study: Business email compromise
EP4280563A1 (en) A trustable e-mail system and method
Patel et al. Take a close look at phishing
Rawat et al. An Integrated Review Study on Efficient Methods for Protecting Users from Phishing Attacks

Legal Events

Date Code Title Description
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant