KR102473312B1 - System and method for protecting leaked information - Google Patents

System and method for protecting leaked information Download PDF

Info

Publication number
KR102473312B1
KR102473312B1 KR1020220017397A KR20220017397A KR102473312B1 KR 102473312 B1 KR102473312 B1 KR 102473312B1 KR 1020220017397 A KR1020220017397 A KR 1020220017397A KR 20220017397 A KR20220017397 A KR 20220017397A KR 102473312 B1 KR102473312 B1 KR 102473312B1
Authority
KR
South Korea
Prior art keywords
phishing
application
data
information
leaked
Prior art date
Application number
KR1020220017397A
Other languages
Korean (ko)
Inventor
김준엽
Original Assignee
(주)라바웨이브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)라바웨이브 filed Critical (주)라바웨이브
Priority to KR1020220017397A priority Critical patent/KR102473312B1/en
Application granted granted Critical
Publication of KR102473312B1 publication Critical patent/KR102473312B1/en
Priority to PCT/KR2023/001611 priority patent/WO2023153730A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Abstract

According to an embodiment disclosed in the present document, provided is a system for protecting leaked information, which includes: an analysis unit which extracts phishing server information of a phishing application and analyzes leaked data transmitted to the phishing server; and a data management unit which generates dummy data including virtual information based on the leaked data and transmits the dummy data to the phishing server or a device to be operated on.

Description

유출 정보 보호 시스템 및 방법{SYSTEM AND METHOD FOR PROTECTING LEAKED INFORMATION}Leaked information protection system and method {SYSTEM AND METHOD FOR PROTECTING LEAKED INFORMATION}

본 문서에 개시된 실시예들은 유출 정보 보호 시스템 및 방법에 관한 것이다. Embodiments disclosed in this document relate to a leaked information protection system and method.

최근에 윈도우 모바일(windows mobile), i-OS(Operating System), 안드로이드(Android) 등의 모바일 운영체제를 적용하여 스마트폰 기능을 수행하는 통신단말장치의 보급이 활성화되었다. Recently, communication terminal devices that perform smartphone functions by applying mobile operating systems such as Windows Mobile, i-OS (Operating System), and Android have become popular.

이와 같은 모바일 운영체제를 적용한 통신 단말 장치에서는 해당 모바일 운영체제를 기반으로 다양한 어플리케이션(application) 프로그램을 실행하여 사용자에게 다양한 정보 처리 서비스를 제공한다. 그리고, 모바일 운영체제를 적용한 통신단말장치는 어플리케이션 프로그램으로서 브라우저(browser)를 구비하고, 해당 브라우저를 실행하여 인터넷 웹 사이트에 통신 접속함으로써, 다양한 웹 사이트의 정보를 사용 자에게 제공한다. 이러한 모바일 운영체제를 적용한 통신 단말 장치는 어플리케이션 프로그램을 실행하여 문자메시지 수신, 멀티 미디어메시지 수신, 이메일 수신, 콘텐츠 거래 등의 수행 시에 유입된 URL에 의거하여 통신 접속을 시도하는 일이 빈번하다. In a communication terminal device to which such a mobile operating system is applied, various information processing services are provided to users by executing various application programs based on the corresponding mobile operating system. Further, a communication terminal device to which a mobile operating system is applied has a browser as an application program, and provides information on various web sites to users by executing the corresponding browser and accessing Internet web sites through communication. Communication terminal devices to which such a mobile operating system is applied frequently attempt to establish a communication connection based on a URL entered when receiving a text message, receiving a multi-media message, receiving an e-mail, or transacting content by executing an application program.

하지만, 이처럼 수신된 URL에 의거한 통신 접속은 접속 대상 사이트의 유해 여부를 확인하지 않고 있기 때문에 피싱 사이트, 국내외 음란 사이트, 사행성 사이트 등과 같은 유해 사이트에 그대로 통신 접속하게 되는 경우가 발생할 수 있다. 이 중에서도 특히 피싱 사이트의 접속은 금융 범죄로 이어지는 경우가 다반사이기 때문에 사회 문제화되고 있다. 예컨대, 문자메시지에 금융기관으로 위장한 피싱 사이트로의 접속을 유도하는 URL 정보가 포함된 경우에 통신 단말 장치가 URL 정보에 따라 피싱 사이트에 쉽게 접속될 수 있으며, 이러한 피싱 사이트에 의해 개인정보가 유출되는 경우가 빈번하게 발생되고 있다. However, since the communication connection based on the URL received in this way does not check whether or not the site to be accessed is harmful, there may be cases in which communication access is made to harmful sites such as phishing sites, domestic and foreign obscene sites, and speculative sites. Among them, access to phishing sites is becoming a social problem because it often leads to financial crimes. For example, if the text message contains URL information that induces access to a phishing site disguised as a financial institution, the communication terminal device can easily access the phishing site according to the URL information, and personal information is leaked by this phishing site. It happens frequently.

일반적으로 피싱 피해를 방지하기 위한 기술은 통신 단말 장치에 수신되는 유해 단문메시지 등을 차단하는 기술들이나, 유해 단문메시지에 포함된 URL 정보에 의한 피싱 사이트의 접속을 차단하는 기술이 있으나, 피싱 어플리케이션에 의해 이미 개인정보가 유출된 경우에 대처할 수 있는 방법이 없다는 문제점이 있었다.In general, technologies for preventing phishing damage include technologies for blocking harmful short messages received by communication terminal devices or technologies for blocking access to phishing sites by URL information included in harmful short messages, but phishing applications There was a problem that there was no way to deal with the case where personal information was already leaked by

본 문서에 개시되는 실시예에 따르면, 유출 정보 보호 시스템은, 피싱 어플리케이션의 피싱 서버 정보를 추출하고, 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송되는 유출 데이터를 분석하는 분석부; 및 상기 유출 데이터에 기초하여 가상 정보를 포함하는 더미데이터를 생성하고, 상기 더미데이터를 상기 피싱 서버 또는 작업 대상 디바이스로 전송하는 데이터 관리부를 포함할 수 있다. According to an embodiment disclosed in this document, a leaked information protection system includes: an analysis unit that extracts phishing server information of a phishing application and analyzes leaked data transmitted to a phishing server corresponding to the phishing server information; and a data management unit that generates dummy data including virtual information based on the leaked data and transmits the dummy data to the phishing server or device to be operated on.

실시예에 따르면, 유출 정보 보호 시스템은, 상기 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보를 확인하고, 상기 피싱 어플리케이션을 획득하는 어플리케이션 획득부를 더 포함할 수 있다. According to an embodiment, the leaked information protection system may further include an application acquiring unit that checks phishing application information corresponding to the phishing application and acquires the phishing application.

실시예에 따르면, 상기 어플리케이션 획득부는 상기 피싱 어플리케이션을 피해자 디바이스로부터 획득하거나, 데이터베이스로부터 획득할 수 있다. According to an embodiment, the application acquiring unit may acquire the phishing application from a victim device or from a database.

실시예에 따르면, 상기 어플리케이션 획득부는 상기 데이터베이스의 데이터와 피싱 피해에 사용된 계좌번호, 전화번호, 협박 메시지, 웹사이트, 가해자의 프로필 및 상기 피싱 어플리케이션의 HASH 값 중 적어도 하나를 비교한 결과에 기초하여 상기 피싱 어플리케이션을 획득할 수 있다. According to the embodiment, the application acquisition unit based on a result of comparing at least one of the data of the database and the account number, phone number, threat message, website, perpetrator's profile, and HASH value of the phishing application used in the phishing victim. By doing so, the phishing application can be obtained.

실시예에 따르면, 상기 분석부는 상기 피싱 어플리케이션을 디컴파일링한 결과에 기초하여 상기 피싱 정보 및 상기 유출 데이터를 분석할 수 있다. According to an embodiment, the analyzer may analyze the phishing information and the leaked data based on a result of decompiling the phishing application.

실시예에 따르면, 상기 데이터 관리부는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 더미데이터를 생성할 수 있다.According to an embodiment, the data management unit may generate dummy data based on at least one of software, a programming language script, and a user input.

실시예에 따르면, 상기 소프트웨어는 전화번호부 생성 모듈, 문자메시지 생성 모듈 및 고유식별번호 생성 모듈 중 적어도 하나를 포함할 수 있다. According to an embodiment, the software may include at least one of a phone book generating module, a text message generating module, and a unique identification number generating module.

실시예에 따르면, 상기 피싱 서버 정보는 VPS(Virtual Private Server) 정보, C&C(Command & Control) 정보, IP주소, 접근 경로 및 로그 전송 내역 중 적어도 하나를 포함할 수 있다. According to an embodiment, the phishing server information may include at least one of virtual private server (VPS) information, command & control (C&C) information, an IP address, an access route, and log transmission details.

실시예에 따르면, 상기 더미데이터는 누구인지 특정 불가능하거나 식별 불가능한 사진, 사용되지 않는 전화번호 형식의 연락처, 무의미한 내용이 저장된 문서, 식별 불가능한 SMS 데이터 및 사용되지 않는 형식의 고유식별번호 중 적어도 하나를 포함할 수 있다. According to the embodiment, the dummy data includes at least one of a photo that cannot be identified or cannot be identified, a contact in the form of an unused phone number, a document with meaningless content stored, unidentifiable SMS data, and a unique identification number in an unused format. can include

실시예에 따르면, 상기 작업 대상 디바이스는 사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행할 수 있다.According to an embodiment, the work target device may execute the phishing application based on a user input.

실시예에 따르면, 유출 정보 보호 시스템은, 상기 피싱 어플리케이션을 확인하고, 상기 피싱 어플리케이션을 획득하며, 상기 피싱 어플리케이션을 상기 작업 대상 디바이스로 전송하는 어플리케이션 획득부를 더 포함할 수 있다. According to an embodiment, the leaked information protection system may further include an application acquiring unit that checks the phishing application, acquires the phishing application, and transmits the phishing application to the work target device.

실시예에 따르면, 상기 더미데이터는 상기 피싱 어플리케이션을 통해 상기 피싱 서버로 전송될 수 있다. According to an embodiment, the dummy data may be transmitted to the phishing server through the phishing application.

실시예에 따르면, 상기 작업 대상 디바이스는 모바일 디바이스, 가상 머신 및 에뮬레이터 중 적어도 하나를 포함할 수 있다. According to an embodiment, the work target device may include at least one of a mobile device, a virtual machine, and an emulator.

본 문서에 개시되는 실시예에 따르면, 유출 정보 보호 방법은, 피싱 어플리케이션의 피싱 서버 정보를 추출하고, 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송되는 유출 데이터를 분석하는 단계; 상기 유출 데이터에 기초하여 가상 정보를 포함하는 더미데이터를 생성하는 단계; 및 상기 더미데이터를 상기 피싱 서버 또는 작업 대상 디바이스로 전송하는 단계를 포함할 수 있다. According to an embodiment disclosed in this document, a leaked information protection method includes extracting phishing server information of a phishing application and analyzing leaked data transmitted to a phishing server corresponding to the phishing server information; generating dummy data including virtual information based on the leaked data; and transmitting the dummy data to the phishing server or the target device.

실시예에 따르면, 유출 정보 보호 방법은, 상기 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보를 확인하고, 상기 피싱 어플리케이션을 획득하는 단계를 더 포함할 수 있다. According to an embodiment, the leaked information protection method may further include checking phishing application information corresponding to the phishing application and acquiring the phishing application.

실시예에 따르면, 상기 더미데이터를 상기 피싱 서버 또는 작업 대상 디바이스로 전송하는 단계는, 상기 더미데이터를 작업 대상 디바이스로 전송하는 단계; 사용자 입력에 기초하여 상기 작업 대상 디바이스에서 상기 피싱 어플리케이션을 실행하는 단계; 및 상기 더미데이터를 상기 피싱 어플리케이션을 통해 상기 피싱 서버로 전송하는 단계를 포함할 수 있다. According to an embodiment, the transmitting of the dummy data to the phishing server or the target device may include transmitting the dummy data to the target device; Executing the phishing application in the work target device based on a user input; and transmitting the dummy data to the phishing server through the phishing application.

본 문서에 개시되는 실시예들에 따르면, 피해자들이 피싱 어플리케이션을 삭제한 경우에도, 데이터베이스를 통해 피싱 어플리케이션을 획득할 수 있어 피해자로부터 피싱 어플리케이션을 획득할 수 없는 경우에도 유출 정보를 보호할 수 있다. According to the embodiments disclosed in this document, even if victims delete the phishing application, it is possible to obtain the phishing application through the database, so leaked information can be protected even when the phishing application cannot be obtained from the victim.

또한, 피해자 디바이스가 아닌 작업 대상 디바이스를 사용할 수 있어, 피싱 어플리케이션 실행 중에 발생할 수 있는 추가적인 개인 정보 유출을 방지할 수 있다. In addition, it is possible to use a target device other than a victim device, preventing additional leakage of personal information that may occur during execution of a phishing application.

또한, 일반적으로 사용하는 프록시 서버를 구비할 필요가 없어 시간적, 비용적 면에서 효율적이다. In addition, it is efficient in terms of time and cost because there is no need to provide a commonly used proxy server.

또한, 피싱 어플리케이션에 의해 전송되는 데이터를 직접 변조시킬 필요 없이 더미데이터를 생성하여 이를 전송함으로써 편리함을 부여할 수 있다. In addition, convenience can be provided by generating dummy data and transmitting the dummy data without the need to directly modulate the data transmitted by the phishing application.

이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다. In addition, various effects identified directly or indirectly through this document may be provided.

도 1은 본 문서에 개시된 일 실시예에 따른 유출 정보 보호 시스템을 보여주는 도면이다.
도 2는 본 문서에 개시된 일 실시예에 따른 유출 정보 보호 시스템의 피싱 서버로의 전송 과정을 보여주는 도면이다.
도 3은 본 문서에 개시된 일 실시예에 따른 피싱 어플리케이션을 디컴파일링한 결과의 예시를 보여주는 도면이다.
도 4는 본 문서에 개시된 일 실시예에 따른 피싱 어플리케이션의 패킷 스니퍼를 통한 통신 패킷을 분석하는 예시를 보여주는 도면이다.
도 5는 본 문서에 개시된 일 실시예에 따른 어플리케이션 획득부를 보여주는 도면이다.
도 6은 본 문서에 개시된 다른 실시예에 따른 유출 정보 보호 시스템을 보여주는 도면이다.
도 7은 본 문서에 개시된 일 실시예에 따른 유출 정보 보호 방법을 설명하기 위한 흐름도이다.
도 8은 본 문서에 개시된 다른 실시예에 따른 유출 정보 보호 방법을 설명하기 위한 흐름도이다.
도 9는 본 문서에 개시된 또 다른 실시예에 따른 유출 정보 보호 방법을 설명하기 위한 흐름도이다.
도 10은 본 문서에 개시된 일 실시예에 따른 유출 정보 보호 시스템이 유출 정보를 보호하는 과정을 보여주는 도면이다.
도 11은 본 문서에 개시된 다른 실시예에 따른 유출 정보 보호 시스템이 유출 정보를 보호하는 과정을 보여주는 도면이다.1 is a diagram showing a leaked information protection system according to an embodiment disclosed in this document.
2 is a diagram showing a transmission process of a leaked information protection system according to an embodiment disclosed in this document to a phishing server.
3 is a diagram showing an example of a result of decompiling a phishing application according to an embodiment disclosed in this document.
4 is a diagram showing an example of analyzing a communication packet through a packet sniffer of a phishing application according to an embodiment disclosed in this document.
5 is a diagram showing an application acquisition unit according to an embodiment disclosed in this document.
6 is a diagram showing a leaked information protection system according to another embodiment disclosed in this document.
7 is a flowchart illustrating a method for protecting leaked information according to an embodiment disclosed in this document.
8 is a flowchart illustrating a leaked information protection method according to another embodiment disclosed in this document.
9 is a flowchart illustrating a leaked information protection method according to another embodiment disclosed in this document.
10 is a diagram showing a process of protecting leaked information by the leaked information protection system according to an embodiment disclosed in this document.
11 is a diagram showing a process of protecting leaked information by a leaked information protection system according to another embodiment disclosed in this document.

이하, 본 발명의 다양한 실시 예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 실시 예의 다양한 변경(modification), 균등물(equivalent), 및/또는 대체물(alternative)을 포함하는 것으로 이해되어야 한다.Hereinafter, various embodiments of the present invention will be described with reference to the accompanying drawings. However, it should be understood that this is not intended to limit the present invention to the specific embodiments, and includes various modifications, equivalents, and/or alternatives of the embodiments of the present invention.

본 문서에서 아이템에 대응하는 명사의 단수 형은 관련된 문맥상 명백하게 다르게 지시하지 않는 한, 상기 아이템 한 개 또는 복수 개를 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및 B 중 적어도 하나",“A 또는 B 중 적어도 하나”, "A, B 또는 C", "A, B 및 C 중 적어도 하나” 및 “A, B, 또는 C 중 적어도 하나"와 같은 문구들 각각은 그 문구들 중 해당하는 문구에 함께 나열된 항목들 중 어느 하나, 또는 그들의 모든 가능한 조합을 포함할 수 있다. "제 1", "제 2", 또는 "첫째" 또는 "둘째"와 같은 용어들은 단순히 해당 구성요소를 다른 해당 구성요소와 구분하기 위해 사용될 수 있으며, 해당 구성요소들을 다른 측면(예: 중요성 또는 순서)에서 한정하지 않는다. 어떤(예: 제 1) 구성요소가 다른(예: 제 2) 구성요소에, “기능적으로” 또는 “통신적으로”라는 용어와 함께 또는 이런 용어 없이, “커플드” 또는 “커넥티드”라고 언급된 경우, 그것은 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로(예: 유선으로), 무선으로, 또는 제 3 구성요소를 통하여 연결될 수 있다는 것을 의미한다.In this document, the singular form of a noun corresponding to an item may include one item or a plurality of items, unless the context clearly dictates otherwise. In this document, "A or B", "at least one of A and B", "at least one of A or B", "A, B or C", "at least one of A, B and C" and "A, Each of the phrases such as "at least one of B or C" may include any one of the items listed together in the corresponding one of the phrases, or all possible combinations thereof. Terms such as "first", "second", or "first" or "secondary" may simply be used to distinguish a given component from other corresponding components, and may be used to refer to a given component in another aspect (eg, importance or order) is not limited. A (e.g. first) component is said to be “coupled” or “connected” to another (e.g. second) component, with or without the terms “functionally” or “communicatively”. When mentioned, it means that the certain component may be connected to the other component directly (eg by wire), wirelessly, or through a third component.

본 문서에서 설명되는 구성요소들의 각각의 구성요소(예: 모듈 또는 프로그램)는 단수 또는 복수의 개체를 포함할 수 있다. 다양한 실시 예들에 따르면, 해당 구성요소들 중 하나 이상의 구성요소들 또는 동작들이 생략되거나, 또는 하나 이상의 다른 구성요소들 또는 동작들이 추가될 수 있다. 대체적으로 또는 추가적으로, 복수의 구성요소들(예: 모듈 또는 프로그램)은 하나의 구성요소로 통합될 수 있다. 이런 경우, 통합된 구성요소는 상기 복수의 구성요소들 각각의 구성요소의 하나 이상의 기능들을 상기 통합 이전에 상기 복수의 구성요소들 중 해당 구성요소에 의해 수행되는 것과 동일 또는 유사하게 수행할 수 있다. 다양한 실시 예들에 따르면, 모듈, 프로그램 또는 다른 구성요소에 의해 수행되는 동작들은 순차적으로, 병렬적으로, 반복적으로, 또는 휴리스틱하게 실행되거나, 상기 동작들 중 하나 이상이 다른 순서로 실행되거나, 생략되거나, 또는 하나 이상의 다른 동작들이 추가될 수 있다.Each component (eg, module or program) of the components described in this document may include singular or plural entities. According to various embodiments, one or more components or operations among corresponding components may be omitted, or one or more other components or operations may be added. Alternatively or additionally, a plurality of components (eg modules or programs) may be integrated into a single component. In this case, the integrated component may perform one or more functions of each of the plurality of components identically or similarly to those performed by a corresponding component of the plurality of components prior to the integration. . According to various embodiments, operations performed by modules, programs, or other components are executed sequentially, in parallel, iteratively, or heuristically, or one or more of the operations are executed in a different order, omitted, or , or one or more other operations may be added.

본 문서에서 사용되는 용어 "모듈", 또는 “...부”는 하드웨어, 소프트웨어 또는 펌웨어로 구현된 유닛을 포함할 수 있으며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로와 같은 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는, 상기 부품의 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 일 실시 예에 따르면, 모듈은 ASIC(application-specific integrated circuit)의 형태로 구현될 수 있다. As used in this document, the term "module" or "...unit" may include a unit implemented in hardware, software, or firmware, and may include, for example, logic, logic block, component, or circuit. can be used interchangeably. A module may be an integrally constructed component or a minimal unit of components or a portion thereof that performs one or more functions. For example, according to one embodiment, the module may be implemented in the form of an application-specific integrated circuit (ASIC).

본 문서의 다양한 실시 예들은 기기(machine) 의해 읽을 수 있는 저장 매체(storage medium)(예: 메모리)에 저장된 하나 이상의 명령어들을 포함하는 소프트웨어(예: 프로그램 또는 애플리케이션)로서 구현될 수 있다. 예를 들면, 기기의 프로세서는, 저장 매체로부터 저장된 하나 이상의 명령어들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 상기 호출된 적어도 하나의 명령어에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 한다. 상기 하나 이상의 명령어들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장 매체는, 비일시적(non-transitory) 저장 매체의 형태로 제공될 수 있다. 여기서,‘비일시적’은 저장 매체가 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장 매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다. Various embodiments of the present document may be implemented as software (eg, a program or application) including one or more instructions stored in a storage medium (eg, memory) readable by a machine. For example, the processor of the device may call at least one command among one or more commands stored from a storage medium and execute it. This enables the device to be operated to perform at least one function according to the at least one command invoked. The one or more instructions may include code generated by a compiler or code executable by an interpreter. The device-readable storage medium may be provided in the form of a non-transitory storage medium. Here, 'non-temporary' only means that the storage medium is a tangible device and does not contain a signal (e.g. electromagnetic wave), and this term refers to the case where data is stored semi-permanently in the storage medium. It does not discriminate when it is temporarily stored.

도 1은 본 문서에 개시된 일 실시예에 따른 유출 정보 보호 시스템을 보여주는 도면이다. 1 is a diagram showing a leaked information protection system according to an embodiment disclosed in this document.

도 1을 참조하면, 유출 정보 보호 시스템(100)은 고객의 사진, SNS 정보, 문자메시지, 메신저내용, 연락처 정보 등의 개인정보가 피싱 어플리케이션을 통해 유출된 경우, 가상 정보를 포함하는 더미데이터를 피싱 서버(200)로 전송하여, 기 유출된 개인정보를 무력화시켜 더 이상의 유출을 방지함으로써 유출 정보를 보호할 수 있다. Referring to FIG. 1, the leaked information protection system 100 detects dummy data including virtual information when personal information such as customer photos, SNS information, text messages, messenger contents, and contact information is leaked through a phishing application. Leaked information can be protected by transmitting it to the phishing server 200 to neutralize previously leaked personal information to prevent further leakage.

유출 정보 보호 시스템(100)은 더미데이터를 피싱 서버(200)로 직접 전송할 수도 있고, 별도의 작업 대상 디바이스(300)를 사용하여 전송할 수도 있다. 도 1에서 작업 대상 디바이스(300)는 별도의 구성인 것처럼 도시하였으나, 경우에 따라서는, 유출 정보 보호 시스템(100)과 하나의 구성으로 동작할 수도 있다.The leaked information protection system 100 may directly transmit dummy data to the phishing server 200 or may transmit the dummy data using a separate work target device 300 . Although the work target device 300 in FIG. 1 is shown as a separate component, in some cases, it may operate as one component with the leaked information protection system 100.

예를 들어, 일반적인 서버에서 데이터 처리방식은 대부분 LIFO(Last In First Out)형식으로 저장될 수 있다. 즉, 서버에서 시간적으로 제일 나중에 기록된 데이터가 제일 먼저 읽히는 자료 처리 방식을 사용하기 때문에, 유출 정보 보호 시스템(100)은 서버에 저장된 데이터보다 많은 양의 더미데이터 또는 저장용량보다 더 많은 더미데이터를 피싱 서버(200)에 전송하여, 유출 데이터를 밀어내어 대체되도록 하는 것이 가능하다. 예를 들어, 피싱 서버(200)가 데이터 배열의 형식이 1000개 이상일 경우 다음 들어오는 데이터를 저장하고 이후 데이터를 삭제하라는 LIFO 형식으로 구성되어 있을 때, 1000개를 초과하는(예를 들어, 2000개)의 연락처를 더미데이터로 생성하여 피싱 서버(200)로 전송하면 피싱 서버(200)에는 제일 나중에 들어온 1000개의 연락처만 저장되고 나머지 연락처는 삭제가 되게 된다. 이에 따라 기존에 저장되어 있던 유출 데이터인 연락처 정보는 피싱 서버(200)에서 삭제될 수 있다.For example, most data processing methods in a general server can be stored in a Last In First Out (LIFO) format. That is, since the data processing method in which the data recorded last in time in the server is read first is used, the leaked information protection system 100 has a larger amount of dummy data than the data stored in the server or more dummy data than the storage capacity. By sending it to the phishing server 200, it is possible to push out the leaked data so that it is replaced. For example, when the phishing server 200 is configured in a LIFO format to store the next incoming data and delete the data thereafter if the format of the data array is 1000 or more, ) is generated as dummy data and transmitted to the phishing server 200, the phishing server 200 stores only the last 1000 contacts and deletes the remaining contacts. Accordingly, contact information, which is previously stored leaked data, may be deleted from the phishing server 200 .

또한, 유출 정보 보호 시스템(100)은 피싱 서버(200)의 유출 데이터에 더미데이터를 덮어쓰기 하는 방식으로 유출 데이터를 대체할 수 있다. 예를 들어, 유출 데이터와 동일한 파일명을 가지는 더미데이터를 생성하여 피싱 서버(200)로 전송하여 덮어쓰기 방식으로 유출 데이터를 더미데이터로 대체할 수 있다. In addition, the leaked information protection system 100 may replace the leaked data by overwriting the leaked data of the phishing server 200 with dummy data. For example, dummy data having the same file name as the leaked data may be generated and transmitted to the phishing server 200 to replace the leaked data with the dummy data in an overwrite method.

이외에도, 유출 정보 보호 시스템(100)은 더미데이터를 전송함에 의해 피싱 서버(200)에서 유출 데이터를 인식하지 못하도록 하는 방법, 더미데이터를 전송함에 의해 피싱 서버(200)에서 다른 피해자의 개인정보가 유출된 것처럼 오인하도록 하는 방법, 더미데이터를 전송함에 의해 유출된 데이터가 없는 것처럼 피싱 서버(200)가 오인하도록 하는 방법 등을 포함하여 다양한 방법을 통해 유출 정보를 보호할 수 있다.In addition, the leaked information protection system 100 transmits dummy data to prevent the phishing server 200 from recognizing the leaked data, and transmits dummy data so that the personal information of other victims is leaked from the phishing server 200. Leaked information can be protected through various methods, including a method of making the phishing server 200 mistakenly think that there is no leaked data by transmitting dummy data, and the like.

실시예에 따르면, 유출 정보 보호 시스템(100)은 어플리케이션 획득부(110), 분석부(120), 데이터 관리부(130)를 포함할 수 있다. 유출 정보 보호 시스템(100)은 가상 정보를 포함하는 더미데이터를 생성하고, 더미데이터를 피싱 서버(200) 또는 작업 대상 디바이스(300)로 전송할 수 있다. 실시예에 따르면, 유출 정보 보호 시스템(100)은 프로세서(processor)나 CPU(central processing unit)와 같은 하드웨어 장치이거나, 또는 하드웨어 장치에 의하여 구현되는 소프트웨어나 프로그램일 수 있다. According to the embodiment, the leaked information protection system 100 may include an application acquisition unit 110, an analysis unit 120, and a data management unit 130. The leaked information protection system 100 may generate dummy data including virtual information and transmit the dummy data to the phishing server 200 or the work target device 300 . According to an embodiment, the leaked information protection system 100 may be a hardware device such as a processor or a central processing unit (CPU), or may be software or a program implemented by a hardware device.

실시예에 따르면, 어플리케이션 획득부(110)는 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보를 확인하고, 피싱 어플리케이션을 획득할 수 있다. 어플리케이션 획득부(110)는 피싱 피해에 사용된 피싱 어플리케이션 정보를 피해자 디바이스 등을 통해 확인할 수 있다. 피싱 어플리케이션 정보는 예를 들어, 피싱 어플리케이션과 관련된 파일 정보(예를 들어, HASH값, 어플리케이션 이름 등) 또는 피싱 피해에 사용된 계좌번호, 전화번호, 가해자 프로필 등의 정보를 포함할 수 있다. According to an embodiment, the application acquisition unit 110 may check phishing application information corresponding to the phishing application and acquire the phishing application. The application acquisition unit 110 may check phishing application information used for phishing damage through a victim device or the like. The phishing application information may include, for example, file information related to the phishing application (eg, HASH value, application name, etc.) or information such as an account number used for phishing damage, a phone number, a perpetrator's profile, and the like.

실시예에 따르면, 분석부(120)는 피싱 어플리케이션의 피싱 서버 정보를 추출하고, 피싱 서버 정보에 대응되는 피싱 서버(200)로 전송되는 유출 데이터를 분석할 수 있다. 피싱 서버 정보는 예를 들어, 통신에 사용된 IP 대역이나 사이트 주소(URL) 등을 포함할 수 있다. 유출 데이터는 예를 들어, 피해자의 전화번호 데이터, 문자메시지 데이터, 사진 데이터, 영상 데이터, 메신저 데이터 등을 포함할 수 있다. According to an embodiment, the analyzer 120 may extract phishing server information of a phishing application and analyze leaked data transmitted to the phishing server 200 corresponding to the phishing server information. The phishing server information may include, for example, an IP band used for communication or a site address (URL). Leaked data may include, for example, the victim's phone number data, text message data, photo data, video data, messenger data, and the like.

실시예에 따르면, 분석부(120)는 피싱 어플리케이션을 디컴파일링한 결과에 기초하여 피싱 어플리케이션의 피싱 서버 정보 및 유출 데이터를 추출하여 분석할 수 있다. 디컴파일링은 프로그램 파일(예를 들어, APK 파일 또는 IPA 파일)을 컴퓨터 프로그래밍 언어(예를 들어, 자바, C++, C 등)로 구현된 코드로 변환하는 과정을 의미할 수 있다. 프로그램 파일을 디컴파일링하는 경우, 프로그래밍 언어로 구현된 코드를 확인할 수 있고, 해당 코드를 분석하여 프로그램 파일의 구동 방식, 사용하는 서버 주소, 프로그램 파일을 통해 전송되는 정보 등을 확인할 수 있다. 따라서, 분석부(120)는 피싱 어플리케이션을 디컴파일링한 코드를 분석함으로써 해당 피싱 어플리케이션에 의해 전송되는 유출 데이터 및/또는 피싱에 사용되는 피싱 서버 정보를 추출할 수 있다. 도 3은 프로그램 파일을 디컴파일링한 결과의 예시로서, 디컴파일링한 코드에 피싱 서버 정보 등이 포함되어 있음을 확인할 수 있다. According to an embodiment, the analyzer 120 may extract and analyze the phishing server information and leaked data of the phishing application based on the result of decompiling the phishing application. Decompilation may refer to a process of converting a program file (eg, an APK file or an IPA file) into a code implemented in a computer programming language (eg, Java, C++, C, etc.). In the case of decompiling a program file, codes implemented in a programming language can be checked, and by analyzing the code, a driving method of the program file, a server address used, and information transmitted through the program file can be checked. Accordingly, the analyzer 120 may extract leaked data transmitted by the corresponding phishing application and/or phishing server information used for phishing by analyzing the decompiled code of the phishing application. 3 is an example of a result of decompiling a program file, and it can be confirmed that phishing server information and the like are included in the decompiled code.

실시예에 따르면, 분석부(120)는 패킷 스니퍼(Packet Sniffers)를 이용하여 피싱 어플리케이션의 피싱 서버 정보 및/또는 유출 데이터를 분석할 수도 있다. 예를 들어, 패킷 스니퍼는 프로그램 파일의 통신 패킷을 보여주는 프로그램을 의미할 수 있다. 분석부(120)는 패킷 스니퍼를 통해 통신 패킷을 확보하여 피싱 서버 정보 및 피싱 서버(200)로 전송되는 데이터를 분석할 수 있다. 도 4는 패킷 스니퍼를 통해 통신 패킷을 확인하는 예시로서, 통신 패킷을 분석하여 피싱 서버 정보, 유출 데이터 포함되어 있음을 확인할 수 있다. According to an embodiment, the analyzer 120 may analyze phishing server information and/or leaked data of a phishing application using packet sniffers. For example, a packet sniffer may mean a program that shows communication packets of program files. The analyzer 120 may secure a communication packet through a packet sniffer and analyze phishing server information and data transmitted to the phishing server 200 . 4 is an example of confirming a communication packet through a packet sniffer. By analyzing the communication packet, it can be confirmed that phishing server information and exfiltrated data are included.

실시예에 따르면, 분석부(120)는 데이터 관리부(130) 또는 피싱 어플리케이션이 더미데이터를 피싱 서버(200)로 전송하는 과정에서 더미데이터가 피싱 서버(200)로 정상적으로 전송되었는지 확인할 수 있다. 분석부(120)는 피싱 서버 정보 및/또는 유출 데이터를 분석하는 과정과 마찬가지로, 피싱 어플리케이션을 디컴파일링하거나 패킷 스니퍼를 통해 통신 패킷을 분석함으로써 전송하고자 하는 데이터(예를 들어, 더미데이터)가 피싱 서버(200)로 정상적으로 전송되었는지 확인할 수 있다. 이를 통해, 유출 정보 보호 시스템(100)은 기 유출된 개인 정보를 피싱 서버(200)에서 무력화시키는 과정이 정상적으로 이루어지고 있는지를 확인할 수 있다. According to an embodiment, the analyzer 120 may check whether the dummy data is normally transmitted to the phishing server 200 in a process in which the data management unit 130 or the phishing application transmits the dummy data to the phishing server 200 . Similar to the process of analyzing phishing server information and/or leaked data, the analyzer 120 decompiles phishing applications or analyzes communication packets through a packet sniffer so that data to be transmitted (eg, dummy data) It can be confirmed whether or not it is normally transmitted to the phishing server 200 . Through this, the leaked information protection system 100 can check whether the process of neutralizing the previously leaked personal information in the phishing server 200 is normally performed.

실시예에 따르면, 데이터 관리부(130)는 유출 데이터에 기초하여 가상 정보를 포함하는 더미데이터를 생성하고, 더미데이터를 피싱 서버(200) 또는 작업 대상 디바이스(300)로 전송할 수 있다. 유출 정보 보호 시스템(100)은 피싱 어플리케이션에 의해 유출된 정보를 무력화시키는 것이 목적이며, 이를 위해 유출된 정보와 동일한 데이터 형식을 가지는 더미데이터를 피싱 서버(200)로 전송하여 더미데이터가 유출 데이터를 대체하도록 하거나, 유출 데이터와 결합됨에 의해 유출 데이터를 밀어내거나 덮어쓸 수 있다. 즉, 데이터 관리부(130)는 가상 정보를 포함하는 더미데이터가 유출 데이터와 동일한 데이터 형식을 가지도록 생성할 수 있다. According to an embodiment, the data management unit 130 may generate dummy data including virtual information based on leaked data and transmit the dummy data to the phishing server 200 or the work target device 300 . The purpose of the leaked information protection system 100 is to neutralize information leaked by a phishing application, and for this purpose, dummy data having the same data format as the leaked information is transmitted to the phishing server 200 so that the dummy data replaces the leaked data. It can replace or overwrite the outgoing data by being combined with the outgoing data. That is, the data management unit 130 may generate dummy data including virtual information to have the same data format as the leaked data.

실시예에 따르면, 더미데이터는 누구인지 특정 불가능하거나 식별 불가능한 사진, 사용되지 않는 전화번호 형식의 연락처, 무의미한 내용이 저장된 문서, 식별 불가능한 SMS 데이터, 사용되지 않는 형식의 고유식별번호 중 적어도 하나를 포함할 수 있다. 이러한 데이터는 주로 피싱 어플리케이션이 피싱 서버로 전송하는 유출 데이터에 대응되는 데이터일 수 있다. 이에 한정되는 것은 아니며, 피싱 어플리케이션이 다른 형식의 데이터를 전송하는 경우, 그에 대응되는 데이터 형식을 가지는 더미데이터를 생성할 수도 있다. According to the embodiment, the dummy data includes at least one of a photo that cannot be identified or cannot be identified, a contact in the form of an unused phone number, a document with meaningless content stored, unidentifiable SMS data, and a unique identification number in an unused form. can do. Such data may be data corresponding to leaked data mainly transmitted from a phishing application to a phishing server. The present invention is not limited thereto, and when the phishing application transmits data of a different format, dummy data having a data format corresponding thereto may be generated.

실시예에 따르면, 데이터 관리부(130)는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 더미데이터를 생성할 수 있다. 소프트웨어는 정해진 데이터 형식에 가지는 가상 정보를 생성하는 프로그램을 포함할 수 있다. 프로그래밍 언어 스크립트는 프로그래밍 언어로 구현된 코드를 포함할 수 있으며, 프로그래밍 언어는 예를 들어, 자바(Java), 파이썬(Python), 루비(Ruby), C, C++ 등을 포함할 수 있다. 또한, 데이터 관리부(130)는 사용자 입력에 기초하여 데이터를 엑셀 등에 저장함으로써 더미데이터를 생성할 수 있다. 예를 들어, 데이터 관리부(130)는 사용자 입력에 기초하여 가상의 전화번호를 엑셀에 기입함으로써 더미데이터를 생성할 수 있다. According to an embodiment, the data management unit 130 may generate dummy data based on at least one of software, a programming language script, and a user input. The software may include a program that generates virtual information having a defined data format. The programming language script may include code implemented in a programming language, and the programming language may include, for example, Java, Python, Ruby, C, C++, and the like. Also, the data management unit 130 may generate dummy data by storing data in Excel or the like based on a user input. For example, the data management unit 130 may generate dummy data by writing a virtual phone number in Excel based on a user input.

실시예에 따르면, 데이터 관리부(130)는 소프트웨어 또는 프로그래밍 언어 스크립트에 기초하여 생성한 더미데이터를 피싱 서버(200)로 전송할 수 있다. 이 때, 소프트웨어 또는 프로그래밍 언어 스크립트는 분석부(120)에서 추출한 피싱 서버 정보를 입력 받아, 피싱 서버(200)로 더미데이터를 전송할 수 있다. According to an embodiment, the data manager 130 may transmit dummy data generated based on software or a programming language script to the phishing server 200 . At this time, the software or programming language script may receive the phishing server information extracted by the analyzer 120 and transmit dummy data to the phishing server 200 .

실시예에 따르면, 데이터 관리부(130)는 사용자 입력에 기초하여 생성한 더미데이터를 작업 대상 디바이스(300)로 전송할 수 있다. 경우에 따라서, 사용자 입력에 기초하여 생성한 더미데이터를 소프트웨어 또는 프로그래밍 언어 스크립트를 통해 피싱 서버(200)로 전송할 수도 있다. According to an embodiment, the data management unit 130 may transmit dummy data generated based on a user input to the work target device 300 . In some cases, dummy data generated based on user input may be transmitted to the phishing server 200 through software or a programming language script.

실시예에 따르면, 데이터 관리부(130)의 소프트웨어는 전화번호부 생성 모듈(131), 문자메시지 생성 모듈(132) 및 고유식별번호 생성 모듈(133) 중 적어도 하나를 포함할 수 있다. 전화번호부 생성 모듈(131)은 실제로는 사용되지 않는 전화번호 형식을 가지는 가상의 전화번호를 생성할 수 있다. 문자메시지 생성 모듈(132)은 임의의 문자메시지를 생성할 수 있다. 이 때 임의의, 문자메시지는 아무 의미 없는 문자열을 나열하는 등의 텍스트를 포함할 수 있다. 고유식별번호 생성 모듈(133)은 사용되지 않는 형식의 고유식별번호를 생성할 수 있다. 이 때, 고유식별번호(International Mobile Equipment Identity, IMEI)는 모바일 디바이스가 가지는 고유의 일련번호를 포함할 수 있다. According to the embodiment, the software of the data management unit 130 may include at least one of a phonebook generating module 131, a text message generating module 132, and a unique identification number generating module 133. The phone book generation module 131 may generate a virtual phone number having a phone number format that is not actually used. The text message generation module 132 may generate an arbitrary text message. At this time, the random text message may include text such as listing meaningless strings. The unique identification number generation module 133 may generate a unique identification number in an unused format. At this time, the unique identification number (International Mobile Equipment Identity, IMEI) may include a unique serial number of the mobile device.

실시예에 따르면, 전화번호부 생성 모듈(131), 문자메시지 생성 모듈(132), 고유식별번호 생성 모듈(133) 각각은 소프트웨어, 프로그래밍 언어 스크립트 등을 통해 자동으로 더미데이터를 생성할 수 있으며, 사용자 입력에 기초하여 수동으로 더미데이터를 생성할 수도 있다.According to the embodiment, each of the phone book generation module 131, text message generation module 132, and unique identification number generation module 133 may automatically generate dummy data through software, programming language scripts, etc., and user Dummy data may be manually generated based on the input.

실시예에 따르면, 피싱 서버(200)는 피싱 범죄에 사용된 피싱 어플리케이션과 송수신하여 유출 데이터를 전송 받거나 저장하는 서버를 포함할 수 있다. According to an embodiment, the phishing server 200 may include a server that transmits/receives leaked data to/from a phishing application used in a phishing crime or stores it.

실시예에 따르면, 피싱 서버 정보는 VPS(Virtual Private Server) 정보, C&C(Command & Control) 정보, IP주소, 접근 경로, 로그 전송 내역 중 적어도 하나를 포함할 수 있다. 개인정보를 유출하도록 하는 피싱 서버(200)는 C&C 서버일 수 있고, 일반적으로 VPS 서버를 통해 접속하여 C&C 서버에 접근하는 방식으로 이루어질 수 있다.According to an embodiment, the phishing server information may include at least one of virtual private server (VPS) information, command & control (C&C) information, an IP address, an access route, and log transmission details. The phishing server 200 that leaks personal information may be a C&C server, and may generally be made by accessing the C&C server through a VPS server.

실시예에 따르면, 작업 대상 디바이스(300)는 모바일 디바이스, 가상 머신 및 에뮬레이터 중 적어도 하나를 포함할 수 있다. 이 때, 모바일 디바이스는 피해자 디바이스가 아닌, 개인정보가 저장되어 있지 않은 디바이스일 수 있다. 다만 경우에 따라서 유출 정보 보호 시스템(100)은 피해자 디바이스(10)에서 유출 정보 보호 작업을 진행할 수 있고, 이 경우 작업 대상 디바이스(300)와 피해자 디바이스(10)는 실질적으로 동일할 수도 있을 것이다. According to an embodiment, the work target device 300 may include at least one of a mobile device, a virtual machine, and an emulator. In this case, the mobile device may be a device in which personal information is not stored, rather than a victim device. However, in some cases, the leaked information protection system 100 may proceed with the leaked information protection task in the victim device 10, and in this case, the device 300 to be operated and the victim device 10 may be substantially the same.

실시예에 따르면, 가상 머신 및/또는 에뮬레이터는 PC에서 모바일 어플리케이션의 구동을 가능케 하는 프로그램을 포함할 수 있다. 일반적으로 피싱 어플리케이션은 모바일 어플리케이션일 수 있고, 모바일 어플리케이션은 호환성 문제 등으로 PC에서 실행 되지 않을 수 있다. 따라서, 모바일 어플리케이션의 구동을 가능케 하는 가상 머신, 에뮬레이터 등을 사용하여, 가상 머신 내에서 피싱 어플리케이션을 실행하여 유출 정보 보호 작업을 가능하게 할 수 있다. According to an embodiment, the virtual machine and/or the emulator may include a program enabling driving of a mobile application on a PC. In general, a phishing application may be a mobile application, and the mobile application may not be executed on a PC due to a compatibility problem or the like. Accordingly, it is possible to protect leaked information by executing a phishing application in a virtual machine using a virtual machine, an emulator, or the like that enables driving of a mobile application.

유출 정보 보호 시스템(100)이 피해자 디바이스(10)에서 유출 정보 보호 작업을 하는 경우, 피해자 디바이스(10)에는 여전히 피싱 어플리케이션이 설치되어 있고 피해자 개인 정보가 남아 있을 수 있으므로, 의도치 않은 추가 개인정보 유출이 발생할 가능성이 있다. 이에 비해, 작업 대상 디바이스(300)로 에뮬레이터나 가상 머신(310)을 사용하는 경우, 피해자 개인 정보 데이터가 없어 만일의 추가 유출 사태를 방지할 수 있다. 또한, 별도의 프록시 서버를 구비할 필요가 없어 시간적, 비용적 면에서 효율적인 작업이 가능하며, 분석부(120) 또는 어플리케이션 획득부(110)등의 동작이 이루어지는 디바이스(예를 들어, PC)와 같은 디바이스에서 작업이 가능하여 효율적으로 작업을 수행할 수도 있다. When the leaked information protection system 100 protects the leaked information in the victim device 10, the victim device 10 may still have a phishing application installed and the victim's personal information may remain, so additional unintentional personal information Spillage is likely. In contrast, in the case of using the emulator or the virtual machine 310 as the work target device 300, there is no victim's personal information data, so additional leakage can be prevented. In addition, it is not necessary to have a separate proxy server, so it is possible to work efficiently in terms of time and cost, and the device (eg, PC) in which the operation of the analysis unit 120 or the application acquisition unit 110 is performed and It is possible to work on the same device, so you can work efficiently.

도 2는 본 문서에 개시된 일 실시예에 따른 유출 정보 보호 시스템의 피싱 서버로의 전송 과정을 보여주는 도면이다. 2 is a diagram showing a transmission process of a leaked information protection system according to an embodiment disclosed in this document to a phishing server.

도 2를 참조하면, 데이터 관리부(130)는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 더미데이터를 생성할 수 있다. 실시예에 따르면, 소프트웨어 또는 프로그래밍 언어 스크립트는 더미데이터를 피싱 서버(200)로 직접 전송할 수 있고, 사용자 입력에 기초하여 생성된 더미데이터는 작업 대상 디바이스(300)로 전송되어 피싱 어플리케이션에 의해 피싱 서버(200)로 전송될 수 있다. Referring to FIG. 2 , the data management unit 130 may generate dummy data based on at least one of software, a programming language script, and a user input. According to the embodiment, the software or programming language script may directly transmit dummy data to the phishing server 200, and the dummy data generated based on user input is transmitted to the target device 300 and used by the phishing application to transmit the dummy data to the phishing server. (200).

도 5는 본 문서에 개시된 일 실시예에 따른 어플리케이션 획득부를 보여주는 도면이다. 5 is a diagram showing an application acquisition unit according to an embodiment disclosed in this document.

도 5를 참조하면, 어플리케이션 획득부(110)는 피해자 디바이스(10) 또는 데이터베이스(20)로부터 피싱 어플리케이션을 획득할 수 있다. Referring to FIG. 5 , the application acquisition unit 110 may acquire a phishing application from the victim device 10 or the database 20 .

만약, 피싱 피해자가 피싱 어플리케이션을 피해자 디바이스(10)에서 삭제하지 않은 경우, 어플리케이션 획득부(110)는 피해자 디바이스(10)로부터 피싱 어플리케이션을 전송 받을 수 있다. 이 때, 어플리케이션 획득부(110)와 피해자 디바이스(10)는 유선 또는 무선으로 통신할 수 있으며, 블루투스 통신, Wi-Fi 통신, USB 통신 등 일반적으로 사용되는 통신 방법을 통해 피싱 어플리케이션을 전송 받을 수 있다. If the phishing victim does not delete the phishing application from the victim device 10 , the application acquirer 110 may receive the phishing application from the victim device 10 . At this time, the application acquisition unit 110 and the victim device 10 may communicate wired or wirelessly, and phishing applications may be transmitted through commonly used communication methods such as Bluetooth communication, Wi-Fi communication, and USB communication. have.

하지만, 피싱 피해자가 피해자 디바이스(10)에서 피싱 어플리케이션을 삭제한 경우, 피싱 어플리케이션을 피해자 디바이스(10)로부터 직접 전송 받지 못한다는 문제가 있다. 이 때, 어플리케이션 획득부(110)는 데이터베이스(20)의 데이터와 피싱 피해 정보를 비교함으로써 피싱 피해에 사용된 피싱 어플리케이션을 추정하고, 이를 데이터베이스(20)로부터 전송 받을 수 있다. However, when the phishing victim deletes the phishing application from the victim device 10, there is a problem that the phishing application cannot be directly transmitted from the victim device 10. At this time, the application acquisition unit 110 may estimate the phishing application used for the phishing damage by comparing the data of the database 20 with the phishing victim information, and receive the phishing application from the database 20 .

즉, 실시예에 따르면, 어플리케이션 획득부(110)는 데이터베이스(20)의 데이터와 피싱 피해에 사용된 계좌번호, 전화번호, 협박 메시지, 웹사이트, 가해자의 프로필, APK 파일의 HASH 값 중 적어도 하나를 비교한 결과에 기초하여 상기 피싱 어플리케이션을 획득할 수 있다. 이러한 피싱 피해 정보는 피해자로부터 획득할 수 있을 것이며, 이외에도 피싱 피해와 관련된 각종 정보를 포함할 수 있다. 예를 들어, 피해자로부터 획득한 계좌번호 정보와 일치하는 데이터가 데이터베이스(20)에 존재하는 경우, 해당 데이터에 매칭된 어플리케이션을 피싱 피해에 사용된 피싱 어플리케이션이라고 추정할 수 있다. 이를 위해 데이터베이스(20)는 기존 피싱 피해에 사용되었던 계좌번호, 전화번호, 협박 메시지, 웹사이트, 가해자의 프로필 등의 정보와 피싱 어플리케이션을 매칭시켜 저장할 수 있다. That is, according to the embodiment, the application acquisition unit 110 may obtain at least one of the data of the database 20, the account number used for the phishing damage, the phone number, the threatening message, the website, the perpetrator's profile, and the HASH value of the APK file. The phishing application may be obtained based on a result of comparing the . Such phishing damage information may be obtained from the victim, and may include various types of information related to phishing damage. For example, if data matching the account number information acquired from the victim exists in the database 20, it can be estimated that the application matching the data is a phishing application used for the phishing damage. To this end, the database 20 may match and store information such as an account number, phone number, threatening message, website, and perpetrator's profile, which have been used for existing phishing victims, with phishing applications.

실시예에 따르면, 유출 정보 보호 시스템(100)은 데이터베이스(20)의 데이터를 항상 최신 정보로 유지하기 위해, 기존에 가지고 있던 데이터베이스(20)의 데이터에 기초하여 지속적으로 가해자 또는 피싱 서버(200)에 접근하여 정보의 변동을 확인하고 변동이 있을 경우 이를 반영하여 데이터를 최신화 할 수 있다. According to the embodiment, the leaked information protection system 100 constantly maintains the data of the database 20 up to date, based on the data of the existing database 20, the perpetrator or the phishing server 200. You can access and check changes in information, and if there are changes, you can update the data by reflecting them.

이를 통해, 유출 정보 보호 시스템(100)은 피해자가 피싱 어플리케이션을 삭제한 경우에도, 피싱 어플리케이션을 획득하여 유출 정보를 보호할 수 있다. Through this, the leaked information protection system 100 may protect leaked information by acquiring the phishing application even when the victim deletes the phishing application.

도 6은 본 문서에 개시된 다른 실시예에 따른 유출 정보 보호 시스템을 보여주는 도면이다. 6 is a diagram showing a leaked information protection system according to another embodiment disclosed in this document.

도 6을 참조하면, 유출 정보 보호 시스템(100)은 작업 대상 디바이스(300)에서 더미데이터를 피싱 서버(200)로 전송되도록 할 수 있다. Referring to FIG. 6 , the leaked information protection system 100 may transmit dummy data from the work target device 300 to the phishing server 200 .

실시예에 따르면, 데이터 관리부(130)는 유출 데이터에 기초하여 가상 정보를 포함하는 더미데이터를 생성하고, 더미데이터를 작업 대상 디바이스(300)로 전송할 수 있다. According to an embodiment, the data management unit 130 may generate dummy data including virtual information based on the leaked data and transmit the dummy data to the work target device 300 .

실시예에 따르면, 어플리케이션 획득부(140)는 피싱 어플리케이션을 확인하고, 피싱 어플리케이션을 획득하며, 획득한 피싱 어플리케이션을 작업 대상 디바이스(300)로 전송할 수 있다. 실시예에 따르면, 도 3에 도시된 어플리케이션 획득부(140)는 도 1에 도시된 어플리케이션 획득부(110)와 실질적으로 동일할 수 있다. According to an embodiment, the application acquiring unit 140 may check a phishing application, acquire the phishing application, and transmit the obtained phishing application to the device 300 to be operated on. According to the embodiment, the application obtaining unit 140 shown in FIG. 3 may be substantially the same as the application obtaining unit 110 shown in FIG. 1 .

실시예에 따르면, 작업 대상 디바이스(300)는 사용자 입력에 기초하여 피싱 어플리케이션을 실행할 수 있다. 이를 통해, 피싱 어플리케이션이 스스로 더미데이터를 작업 대상 디바이스(300)에서 피싱 서버(200)로 전송하게 할 수 있다. 피싱 어플리케이션은 디바이스 내 특정 데이터를 자동적으로 피싱 서버(200)로 전송하도록 설계되어 있기 때문에, 작업 대상 디바이스(300)에서 피싱 어플리케이션을 실행하는 것만으로도 피싱 어플리케이션이 더미데이터를 작업 대상 디바이스(300)에서 피싱 서버(200)로 스스로 전송하게 할 수 있다. According to an embodiment, the work target device 300 may execute a phishing application based on a user input. Through this, the phishing application can transmit dummy data from the work target device 300 to the phishing server 200 by itself. Since the phishing application is designed to automatically transmit specific data within the device to the phishing server 200, the phishing application sends dummy data to the work target device 300 simply by executing the phishing application on the work target device 300. can be transmitted to the phishing server 200 by itself.

이처럼, 피싱 어플리케이션이 스스로 더미데이터를 피싱 서버(200)로 전송하는 경우, 가해자가 피싱 서버(200)를 모니터링하는 경우에도 유출 정보 보호 작업이 이루어지고 있다는 사실을 알아차리지 못할 것이므로, 가해자의 의심 없이 유출 정보를 보호할 수 있다. In this way, when the phishing application itself transmits dummy data to the phishing server 200, even if the perpetrator monitors the phishing server 200, he will not notice that the leaked information protection operation is being performed, so that the perpetrator will not be suspicious. leaked information can be protected.

도 7은 본 문서에 개시된 일 실시예에 따른 유출 정보 보호 방법을 설명하기 위한 흐름도이다. 7 is a flowchart illustrating a method for protecting leaked information according to an embodiment disclosed in this document.

도 7을 참조하면, 유출 정보 보호 방법은 피싱 어플리케이션의 피싱 서버 정보를 추출하고, 피싱 서버 정보에 대응되는 피싱 서버로 전송되는 유출 데이터를 분석하는 단계(S100), 유출 데이터에 기초하여 가상 정보를 포함하는 더미데이터를 생성하는 단계(S200), 더미데이터를 피싱 서버 또는 작업 대상 디바이스로 전송 하는 단계(S300)를 포함할 수 있다. Referring to FIG. 7, the leaked information protection method extracts phishing server information of a phishing application, analyzes leaked data transmitted to the phishing server corresponding to the phishing server information (S100), and creates virtual information based on the leaked data. It may include generating dummy data including (S200) and transmitting the dummy data to a phishing server or a device to be operated (S300).

S100 단계에서, 분석부(120)는 피싱 어플리케이션의 피싱 서버 정보를 추출하고, 피싱 서버 정보에 대응되는 피싱 서버(200)로 전송되는 유출 데이터를 분석할 수 있다. 이 때, 분석부(120)는 피싱 어플리케이션을 디컴파일링하거나 패킷 스니퍼를 통해 통신 패킷을 분석함으로써 피싱 서버 정보 및/또는 유출 데이터를 분석할 수 있다. In step S100, the analyzer 120 may extract phishing server information of the phishing application and analyze leaked data transmitted to the phishing server 200 corresponding to the phishing server information. At this time, the analyzer 120 may analyze the phishing server information and/or leaked data by decompiling the phishing application or analyzing the communication packet through a packet sniffer.

S200 단계에서, 데이터 관리부(130)는 유출 데이터에 기초하여 가상 정보를 포함하는 더미데이터를 생성할 수 있다. 이 때, 데이터 관리부(130)는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 더미데이터를 생성할 수 있다. In step S200, the data management unit 130 may generate dummy data including virtual information based on the leaked data. In this case, the data management unit 130 may generate dummy data based on at least one of software, programming language script, and user input.

S300 단계에서, 데이터 관리부(130)는 더미데이터를 피싱 서버(200) 또는 작업 대상 디바이스(300)로 전송할 수 있다. In step S300, the data management unit 130 may transmit dummy data to the phishing server 200 or the work target device 300.

도 8은 본 문서에 개시된 다른 실시예에 따른 유출 정보 보호 방법을 설명하기 위한 흐름도이다. 8 is a flowchart illustrating a leaked information protection method according to another embodiment disclosed in this document.

도 8을 참조하면, 유출 정보 보호 방법은 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보를 확인하고, 피싱 어플리케이션을 획득하는 단계(S10)를 더 포함할 수 있다. 실시예에 따르면, 도 8에 도시된 S100, S200, S300 단계는 도 7에 도시된 S100, S200, S300 단계와 각각 실질적으로 동일할 수 있다. Referring to FIG. 8 , the leaked information protection method may further include checking phishing application information corresponding to the phishing application and acquiring the phishing application (S10). According to an embodiment, steps S100, S200, and S300 shown in FIG. 8 may be substantially the same as steps S100, S200, and S300 shown in FIG. 7, respectively.

S10 단계에서, 어플리케이션 획득부(110)는 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보를 확인하고, 피싱 어플리케이션을 획득할 수 있다. 이 때, 어플리케이션 획득부(110)는 피해자 디바이스(10) 또는 데이터베이스(20)로부터 피싱 어플리케이션을 획득할 수 있다.In step S10 , the application obtaining unit 110 may check phishing application information corresponding to the phishing application and acquire the phishing application. At this time, the application acquisition unit 110 may obtain a phishing application from the victim device 10 or the database 20 .

실시예에 따르면, 어플리케이션 획득부(110)는 데이터베이스(20)의 데이터와 피싱 피해에 사용된 계좌번호, 전화번호, 협박 메시지, 웹사이트, 가해자의 프로필, APK 파일의 HASH 값 중 적어도 하나를 비교한 결과에 기초하여 상기 피싱 어플리케이션을 획득할 수 있다. 이러한 피싱 피해 정보는 피해자로부터 획득할 수 있을 것이며, 이외에도 피싱 피해와 관련된 각종 정보를 포함할 수 있다. 예를 들어, 피해자로부터 획득한 계좌번호 정보와 일치하는 데이터가 데이터베이스(20)에 존재하는 경우, 해당 데이터에 매칭된 어플리케이션을 피싱 피해에 사용된 피싱 어플리케이션이라고 추정할 수 있다. 이를 위해 데이터베이스(20)는 기존 피싱 피해에 사용되었던 계좌번호, 전화번호, 협박 메시지, 웹사이트, 가해자의 프로필 등의 정보와 피싱 어플리케이션을 매칭시켜 저장할 수 있다. According to the embodiment, the application acquisition unit 110 compares the data of the database 20 with at least one of the account number, phone number, threat message, website, perpetrator's profile, and HASH value of the APK file used for the phishing damage. The phishing application may be obtained based on one result. Such phishing damage information may be obtained from the victim, and may include various types of information related to phishing damage. For example, if data matching the account number information acquired from the victim exists in the database 20, it can be estimated that the application matching the data is a phishing application used for the phishing damage. To this end, the database 20 may match and store information such as an account number, phone number, threatening message, website, and perpetrator's profile, which have been used for existing phishing victims, with phishing applications.

도 9는 본 문서에 개시된 또 다른 실시예에 따른 유출 정보 보호 방법을 설명하기 위한 흐름도이다. 9 is a flowchart illustrating a leaked information protection method according to another embodiment disclosed in this document.

도 9를 참조하면, 유출 정보 보호 방법은 더미데이터를 작업 대상 디바이스로 전송하는 단계(S310), 사용자 입력에 기초하여 작업 대상 디바이스에서 피싱 어플리케이션을 실행하는 단계(S320), 더미데이터를 피싱 어플리케이션을 통해 피싱 서버로 전송하는 단계(S330)를 포함할 수 있다. Referring to FIG. 9 , the leaked information protection method includes transmitting dummy data to a device to be operated on (S310), executing a phishing application in the device to be operated based on a user input (S320), and converting the dummy data to a phishing application. It may include transmitting to the phishing server through (S330).

S310 단계에서, 데이터 관리부(130)는 더미데이터를 작업 대상 디바이스(300)로 전송할 수 있다. In step S310 , the data management unit 130 may transmit dummy data to the work target device 300 .

S320 단계에서, 작업 대상 디바이스(300)는 사용자 입력에 기초하여 피싱 어플리케이션을 실행할 수 있다. 이 때, 작업 대상 디바이스(300)는 에뮬레이터 또는 가상 머신(310)을 포함할 수 있다. In step S320, the work target device 300 may execute a phishing application based on a user input. At this time, the work target device 300 may include an emulator or a virtual machine 310 .

S330 단계에서, 더미데이터를 피싱 어플리케이션을 통해 작업 대상 디바이스(300)에서 피싱 서버(200)로 전송할 수 있다. 피싱 어플리케이션은 디바이스 내 특정 데이터를 자동적으로 피싱 서버(200)로 전송하도록 설계되어 있기 때문에, 작업 대상 디바이스(300)에서 피싱 어플리케이션을 실행하는 것만으로도 피싱 어플리케이션이 더미데이터를 작업 대상 디바이스(300)에서 피싱 서버(200)로 스스로 전송하게 할 수 있다.In step S330 , dummy data may be transmitted from the device 300 to the phishing server 200 through the phishing application. Since the phishing application is designed to automatically transmit specific data within the device to the phishing server 200, the phishing application sends dummy data to the work target device 300 simply by executing the phishing application on the work target device 300. can be transmitted to the phishing server 200 by itself.

도 10은 본 문서에 개시된 일 실시예에 따른 유출 정보 보호 시스템이 유출 정보를 보호하는 과정을 보여주는 도면이다. 10 is a diagram showing a process of protecting leaked information by the leaked information protection system according to an embodiment disclosed in this document.

도 10을 참조하면, 유출 정보 보호 시스템(100)이 가상 머신(310)을 작업 대상 디바이스(300)로 하여 더미데이터를 피싱 서버(200)로 전송하는 것을 확인할 수 있다. Referring to FIG. 10 , it can be confirmed that the leaked information protection system 100 transmits dummy data to the phishing server 200 using the virtual machine 310 as the device 300 to be operated on.

실시예에 따르면, 유출 정보 보호 시스템(100)에서, 어플리케이션 획득부(110)는 피싱 어플리케이션을 가상 머신(310)으로 전송할 수 있다. 데이터 관리부(130)는 더미데이터를 생성하고, 이를 가상 머신(310)으로 전송할 수 있다. 이 때, 가상 머신(310) 내에서 피싱 어플리케이션을 실행시킴으로써 더미데이터가 피싱 어플리케이션에 의해 피싱 서버(200)로 전송될 수 있다. 더미데이터가 피싱 어플리케이션에 의해 피싱 서버(200)로 전송되는 과정은 분석부(120)에서 피싱 어플리케이션을 디컴파일링하거나 패킷 스니퍼를 통해 통신 패킷을 분석함으로써 정상적으로 전송되는지 확인할 수 있다. 이를 통해, 더미데이터가 피싱 서버(200)로 전송되어 기존 정보인 유출 데이터를 밀어내거나 덮어써서 유출 정보를 보호할 수 있다. According to an embodiment, in the leaked information protection system 100 , the application acquiring unit 110 may transmit a phishing application to the virtual machine 310 . The data management unit 130 may generate dummy data and transmit it to the virtual machine 310 . At this time, by executing the phishing application in the virtual machine 310, dummy data may be transmitted to the phishing server 200 by the phishing application. In the process of transmitting the dummy data to the phishing server 200 by the phishing application, the analysis unit 120 decompiles the phishing application or analyzes the communication packet through a packet sniffer to check whether the dummy data is normally transmitted. Through this, the dummy data is transmitted to the phishing server 200, and leaked information can be protected by pushing or overwriting leaked data, which is existing information.

도 11은 본 문서에 개시된 다른 실시예에 따른 유출 정보 보호 시스템이 유출 정보를 보호하는 과정을 보여주는 도면이다.11 is a diagram showing a process of protecting leaked information by a leaked information protection system according to another embodiment disclosed in this document.

도 11을 참조하면, 유출 정보 보호 시스템(100)은 소프트웨어를 통해 더미데이터를 피싱 서버(200)로 전송하여 유출 정보를 보호할 수 있다.Referring to FIG. 11 , the leaked information protection system 100 may protect leaked information by transmitting dummy data to the phishing server 200 through software.

실시예에 따르면, 유출 정보 보호 시스템(100)에서, 데이터 관리부(130)는 소프트웨어에 기초하여 더미데이터를 생성할 수 있고, 소프트웨어는 전화번호부 생성 모듈(131), 문자메시지 생성 모듈(132) 및 고유식별번호 생성 모듈(133) 중 적어도 하나를 포함할 수 있다. 이 때, 소프트웨어 또는 프로그래밍 언어 스크립트는 더미데이터를 피싱 서버(200)로 전송할 수 있다. According to the embodiment, in the leaked information protection system 100, the data management unit 130 may generate dummy data based on software, and the software includes a phone book creation module 131, a text message creation module 132, and At least one of the unique identification number generation module 133 may be included. At this time, software or programming language scripts may transmit dummy data to the phishing server 200 .

이상에서, 본 문서에 개시된 실시예를 구성하는 모든 구성 요소들이 하나로 결합하거나 결합하여 동작하는 것으로 설명되었다고 해서, 본 문서에 개시된 실시예들이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 문서에 개시된 실시예들의 목적 범위 안에서라면, 그 모든 구성 요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. In the above, even though all the components constituting the embodiments disclosed in this document have been described as being combined or operated as one, the embodiments disclosed in this document are not necessarily limited to these embodiments. That is, within the scope of the objectives of the embodiments disclosed in this document, all of the components may be selectively combined with one or more to operate.

또한, 이상에서 기재된 "포함하다", "구성하다", 또는 "가지다" 등의 용어는, 특별히 반대되는 기재가 없는 한, 해당 구성 요소를 내재할 수 있음을 의미하는 것이므로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것으로 해석되어야 한다. 기술적이거나 과학적인 용어를 포함한 모든 용어들은, 다르게 정의되지 않는 한, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다. 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥상의 의미와 일치하는 것으로 해석되어야 하며, 본 문서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다. In addition, terms such as "comprise", "comprise", or "having" described above mean that the corresponding component may be inherent unless otherwise stated, excluding other components. It should be construed as being able to further include other components. All terms, including technical or scientific terms, have the same meaning as commonly understood by a person of ordinary skill in the art to which the embodiments disclosed in this document belong, unless defined otherwise. Commonly used terms, such as terms defined in a dictionary, should be interpreted as consistent with the contextual meaning of the related art, and unless explicitly defined in this document, they are not interpreted in an ideal or excessively formal meaning.

이상의 설명은 본 문서에 개시된 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 문서에 개시된 실시예들의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 문서에 개시된 실시예들은 본 문서에 개시된 실시예들의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 문서에 개시된 기술 사상의 범위가 한정되는 것은 아니다. 본 문서에 개시된 기술사상의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 문서의 권리 범위에 포함되는 것으로 해석되어야 할 것이다.The above description is only an illustrative example of the technical idea disclosed in this document, and those skilled in the art to which the embodiments disclosed in this document belong will be within the scope of the essential characteristics of the embodiments disclosed in this document. Many modifications and variations will be possible. Therefore, the embodiments disclosed in this document are not intended to limit the technical spirit of the embodiments disclosed in this document, but to explain, and the scope of the technical spirit disclosed in this document is not limited by these embodiments. The protection scope of the technical ideas disclosed in this document should be interpreted according to the claims below, and all technical ideas within the equivalent range should be construed as being included in the scope of rights of this document.

10 : 피해자 디바이스
20 : 데이터베이스
100 : 유출 정보 보호 시스템
110 : 어플리케이션 획득부
120 : 분석부
130 : 데이터 관리부
131 : 전화번호부 생성 모듈
132 : 문자메시지 생성 모듈
133 : 고유식별번호 생성 모듈
140 : 어플리케이션 획득부
200 : 피싱 서버
300 : 작업 대상 디바이스
310 : 가상 머신10: Victim device
20: database
100: leak information protection system
110: application acquisition unit
120: analysis unit
130: data management unit
131: phone book creation module
132: text message generation module
133: unique identification number generation module
140: application acquisition unit
200: phishing server
300: work target device
310: virtual machine

Claims (16)

피싱 어플리케이션의 피싱 서버 정보를 추출하고, 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송되는 유출 데이터를 분석하는 분석부; 및
상기 유출 데이터에 기초하여 가상 정보를 포함하는 더미데이터를 생성하고, 상기 더미데이터를 가상 머신 및 에뮬레이터 중 적어도 하나를 포함하는 작업 대상 디바이스로 전송하는 데이터 관리부를 포함하고,
상기 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보를 확인하고, 피싱 피해와 관련된 정보를 저장하는 데이터베이스로부터 상기 피싱 어플리케이션을 획득하는 어플리케이션 획득부를 포함하고,
상기 어플리케이션 획득부는 상기 데이터베이스에 저장된 데이터에 대응하는 피싱 서버와 관련된 정보의 변동을 반영하여 상기 데이터를 최신화하고,
상기 작업 대상 디바이스는 사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하며, 상기 더미데이터는 상기 피싱 어플리케이션을 통해 상기 피싱 서버로 전송되는 유출 정보 보호 시스템.
an analysis unit that extracts phishing server information of a phishing application and analyzes leaked data transmitted to a phishing server corresponding to the phishing server information; and
A data management unit generating dummy data including virtual information based on the leaked data and transmitting the dummy data to a work target device including at least one of a virtual machine and an emulator;
An application acquiring unit that checks phishing application information corresponding to the phishing application and obtains the phishing application from a database storing information related to phishing damage;
The application acquisition unit updates the data by reflecting changes in information related to the phishing server corresponding to the data stored in the database;
The work target device executes the phishing application based on a user input, and the dummy data is transmitted to the phishing server through the phishing application.
 삭제delete 삭제delete 제1항에 있어서,
상기 어플리케이션 획득부는 상기 데이터베이스에 저장된 데이터와 피싱 피해에 사용된 계좌번호, 전화번호, 협박 메시지, 웹사이트, 가해자의 프로필 및 상기 피싱 어플리케이션의 HASH 값 중 적어도 하나를 비교한 결과에 기초하여 상기 피싱 어플리케이션을 획득하는 유출 정보 보호 시스템.
According to claim 1,
The application acquisition unit compares the data stored in the database with at least one of the account number, phone number, threat message, website, perpetrator's profile, and HASH value of the phishing application used for the phishing damage, and the phishing application leaked information protection system to obtain.
 제1항에 있어서,
상기 분석부는 상기 피싱 어플리케이션을 디컴파일링한 결과에 기초하여 상기 피싱 서버 정보 및 상기 유출 데이터를 분석하는 유출 정보 보호 시스템.
According to claim 1,
The analysis unit analyzes the phishing server information and the leaked data based on a result of decompiling the phishing application.
 제1항에 있어서,
상기 데이터 관리부는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 더미데이터를 생성하는 유출 정보 보호 시스템.
According to claim 1,
The data management unit generates dummy data based on at least one of software, a programming language script, and a user input.
 제6항에 있어서,
상기 소프트웨어는 전화번호부 생성 모듈, 문자메시지 생성 모듈 및 고유식별번호 생성 모듈 중 적어도 하나를 포함하는 유출 정보 보호 시스템.
According to claim 6,
The software leaked information protection system including at least one of a phone book generating module, a text message generating module, and a unique identification number generating module.
 제1항에 있어서,
상기 피싱 서버 정보는 VPS(Virtual Private Server) 정보, C&C(Command & Control) 정보, IP주소, 접근 경로 및 로그 전송 내역 중 적어도 하나를 포함하는 유출 정보 보호 시스템.
According to claim 1,
The phishing server information includes at least one of virtual private server (VPS) information, command & control (C&C) information, an IP address, an access route, and log transmission details.
 제1항에 있어서,
상기 더미데이터는 누구인지 특정 불가능하거나 식별 불가능한 사진, 사용되지 않는 전화번호 형식의 연락처, 무의미한 내용이 저장된 문서, 식별 불가능한 SMS 데이터 및 사용되지 않는 형식의 고유식별번호 중 적어도 하나를 포함하는 유출 정보 보호 시스템.
According to claim 1,
The dummy data protects leaked information including at least one of a photo that cannot be identified or cannot be identified, a contact in the form of an unused phone number, a document with meaningless content stored, unidentifiable SMS data, and a unique identification number in an unused format. system.
 삭제delete 제1항에 있어서,
상기 어플리케이션 획득부는 상기 피싱 어플리케이션을 상기 작업 대상 디바이스로 전송하는 유출 정보 보호 시스템.
According to claim 1,
The leaked information protection system for transmitting the application acquisition unit to the phishing application to the work target device.
 삭제delete 삭제delete 피싱 어플리케이션의 피싱 서버 정보를 추출하고, 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송되는 유출 데이터를 분석하는 단계;
상기 유출 데이터에 기초하여 가상 정보를 포함하는 더미데이터를 생성하는 단계; 및
상기 더미데이터를 가상 머신 및 에뮬레이터 중 적어도 하나를 포함하는 작업 대상 디바이스로 전송하는 단계;
상기 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보를 확인하고, 피싱 피해와 관련된 정보를 저장하는 데이터베이스로부터 상기 피싱 어플리케이션을 획득하는 단계;
상기 데이터베이스에 저장된 데이터에 대응하는 피싱 서버와 관련된 정보의 변동을 반영하여 상기 데이터를 최신화하는 단계;
사용자 입력에 기초하여 상기 작업 대상 디바이스에서 상기 피싱 어플리케이션을 실행하는 단계; 및
상기 더미데이터를 상기 피싱 어플리케이션을 통해 상기 피싱 서버로 전송하는 단계를 포함하는 유출 정보 보호 방법. extracting phishing server information of a phishing application and analyzing leaked data transmitted to a phishing server corresponding to the phishing server information;
generating dummy data including virtual information based on the leaked data; and
transmitting the dummy data to a work target device including at least one of a virtual machine and an emulator;
checking phishing application information corresponding to the phishing application and obtaining the phishing application from a database storing information related to phishing damage;
Updating the data by reflecting changes in information related to the phishing server corresponding to the data stored in the database;
Executing the phishing application in the work target device based on a user input; and
and transmitting the dummy data to the phishing server through the phishing application. 삭제delete 삭제delete
KR1020220017397A 2022-02-10 2022-02-10 System and method for protecting leaked information KR102473312B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020220017397A KR102473312B1 (en) 2022-02-10 2022-02-10 System and method for protecting leaked information
PCT/KR2023/001611 WO2023153730A1 (en) 2022-02-10 2023-02-03 System and method for protecting leakage information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220017397A KR102473312B1 (en) 2022-02-10 2022-02-10 System and method for protecting leaked information

Publications (1)

Publication Number Publication Date
KR102473312B1 true KR102473312B1 (en) 2022-12-05

Family

ID=84392177

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220017397A KR102473312B1 (en) 2022-02-10 2022-02-10 System and method for protecting leaked information

Country Status (2)

Country Link
KR (1) KR102473312B1 (en)
WO (1) WO2023153730A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102521677B1 (en) * 2022-12-07 2023-04-18 (주)라바웨이브 System and method for monitoring phising damage
WO2023153730A1 (en) * 2022-02-10 2023-08-17 ㈜라바웨이브 System and method for protecting leakage information

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130080831A (en) * 2013-06-25 2013-07-15 엔에이치엔비즈니스플랫폼 주식회사 System, method and computer readable recording medium for detecting malicious message
KR20130108855A (en) * 2012-03-26 2013-10-07 연세대학교 원주산학협력단 Method and system for deciding harmfulness of software application
KR20180102387A (en) * 2017-03-07 2018-09-17 주식회사 케이비금융지주 Method for application security and system for executing the method
KR102197005B1 (en) * 2020-07-31 2020-12-30 (주)라바웨이브 Apparatus for protecting personal information leaked by phishing application and method using the same

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101286767B1 (en) * 2013-01-21 2013-07-16 주식회사 엔에스에이치씨 Verification method for application program using dynamic hashing
KR102473312B1 (en) * 2022-02-10 2022-12-05 (주)라바웨이브 System and method for protecting leaked information

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130108855A (en) * 2012-03-26 2013-10-07 연세대학교 원주산학협력단 Method and system for deciding harmfulness of software application
KR20130080831A (en) * 2013-06-25 2013-07-15 엔에이치엔비즈니스플랫폼 주식회사 System, method and computer readable recording medium for detecting malicious message
KR20180102387A (en) * 2017-03-07 2018-09-17 주식회사 케이비금융지주 Method for application security and system for executing the method
KR102197005B1 (en) * 2020-07-31 2020-12-30 (주)라바웨이브 Apparatus for protecting personal information leaked by phishing application and method using the same

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023153730A1 (en) * 2022-02-10 2023-08-17 ㈜라바웨이브 System and method for protecting leakage information
KR102521677B1 (en) * 2022-12-07 2023-04-18 (주)라바웨이브 System and method for monitoring phising damage

Also Published As

Publication number Publication date
WO2023153730A1 (en) 2023-08-17

Similar Documents

Publication Publication Date Title
US9614863B2 (en) System and method for analyzing mobile cyber incident
KR102473312B1 (en) System and method for protecting leaked information
Mulliner Vulnerability analysis and attacks on NFC-enabled mobile phones
US20150033342A1 (en) Security detection method and system
KR102197005B1 (en) Apparatus for protecting personal information leaked by phishing application and method using the same
US20220217169A1 (en) Malware detection at endpoint devices
US20090113548A1 (en) Executable Download Tracking System
KR102093274B1 (en) Content scanning agent, content scanning method, and storage media on which the program is recorded
CN104063673A (en) Method for inputting information in browser and browser device
CN109891415B (en) Securing a Web server for an unauthorized client application
US9584537B2 (en) System and method for detecting mobile cyber incident
CN114626061A (en) Webpage Trojan horse detection method and device, electronic equipment and medium
CN112416395A (en) Hot repair updating method and device
CN113922972B (en) Data forwarding method and device based on MD5 identification code
KR102521677B1 (en) System and method for monitoring phising damage
US20140096211A1 (en) Secure identification of intranet network
US20220021691A1 (en) Creation of generalized code templates to protect web application components
CN111695113B (en) Terminal software installation compliance detection method and device and computer equipment
CN115174192A (en) Application security protection method and device, electronic equipment and storage medium
CN104158893A (en) Method and system for transmitting clipboard content based on WiFi (Wireless Fidelity) equipment
JP5941745B2 (en) Application analysis apparatus, application analysis system, and program
KR20150098123A (en) package application including self-defense security module and method therof
KR102145324B1 (en) Method and server for analyzing weak point through library injection
CN113312577A (en) Webpage resource processing method and device, electronic equipment and storage medium
KR101667117B1 (en) Method and device to defend against the phishing of short message service based on operating system

Legal Events

Date Code Title Description
AMND Amendment
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant