KR20070006559A - 안티피싱 방법 - Google Patents

안티피싱 방법 Download PDF

Info

Publication number
KR20070006559A
KR20070006559A KR1020060059271A KR20060059271A KR20070006559A KR 20070006559 A KR20070006559 A KR 20070006559A KR 1020060059271 A KR1020060059271 A KR 1020060059271A KR 20060059271 A KR20060059271 A KR 20060059271A KR 20070006559 A KR20070006559 A KR 20070006559A
Authority
KR
South Korea
Prior art keywords
phishing
site
program
user
registered
Prior art date
Application number
KR1020060059271A
Other languages
English (en)
Inventor
양기호
황재엽
Original Assignee
(주)화이트코어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)화이트코어 filed Critical (주)화이트코어
Publication of KR20070006559A publication Critical patent/KR20070006559A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 피싱(phishing)을 차단하는 방법에 관한 것으로서,
피싱공격의 대상이 되는 유명사이트들의 공식 URL들로 구성된 화이트리스트를 기반으로, 이용자가 현재 접속해 있거나, 또는 링크된 웹사이트의 주소를 상기 화이트리스트와 비교하여, 리스트에 존재하는 경우 해당 사이트명을 이용자의 화면에 표시하여, 이용자로 하여금 화면에 보이는 사이트가 진짜 자신이 접속하고자 한 사이트가 맞는지 자신의 눈으로 직접 확인토록 한 자가판단형 안티피싱 방법이다. 만약 화이트리스트에 존재하지 않는 주소일 경우에는 등록되지 않는 주소임을 이용자의 화면에 표시하여 피싱공격에 당하지 않도록 적절한 주의를 제공하며, 또한, 등록되지 않은 주소일 경우, 화면에 보이는 사이트의 명칭을 직접 입력하여 화이트리스트 등록여부를 즉석에서 확인토록 조회서비스를 제공함으로써, 등록되지 않은 주소를 이용하여 등록된 유명사이트를 사칭하는 것을 이용자 스스로 알아채도록 해주는 방법이 제시되어 있다.
피싱, phishing

Description

안티피싱 방법 {Method of Anti-phishing}
도 1은 새로운 피싱 공격의 예이다.
도 2는 또 다른 공격예이다.
도 3은 본 발명의 기본 원리도이다.
도 4는 본 발명의 흐름도이다.
도 5 내지 도 11은 말풍선 표시의 예이다.
도 12는 말풍선 표시의 또 다른 예이다.
도 13은 본 발명의 다른 실시예이다.
도 14는 본 발명의 또 다른 실시예이다.
본 발명은 피싱(phishing)을 방지하는 방법에 관한 것이다. 피싱이란 private data와 fishing의 합성어로서 유명사이트의 운영자를 사칭하는 메일을 보내 가짜 사이트로 접속하도록 유도한 다음 개인정보를 입력하게 하여 고객의 계좌번호나 비밀번호 등의 중요한 개인정보를 빼내가는 신종 사기기법을 말한다.
이하, 안티피싱은 피싱을 방지하는 기술을 뜻하는 말로 쓰기로 한다.
안티피싱은 미국 등의 주요 대기업이 주축이 되어 안티피싱워킹그룹이나 TECF(피싱방지포럼)을 결성하며 대대적인 활동을 펼쳐왔지만, 이렇다할 방지기술을 찾지 못하고 있는 실정이다.
하나의 예를 들면, netcraft.com에서 제공하고 있는 툴바(toolbar)형식의 방식은 해당 툴바를 설치한 사람들끼리 피싱메일을 발견했을 때 해당 사이트를 서로 신고하여 다른 회원들이 그 신고된 사이트로 접속했을 경우 브라우저가 피싱을 경고해줄 수 있도록 하는 방식이다. 이는 누군가 피싱사이트를 발견하여 신고까지 해주기 전에는 많은 사람들이 피싱에 속아 피해를 볼 수 있다는 단점이 있었다. 또한, 정상적인 사이트를 피싱사이트라고 누군가 오인할 경우의 피해도 생각해 볼 수 있어, 운영하는 방식에 따라 그 효과도 차이가 존재할 수 있었다.
또 다른 방식으로는, 피싱사이트로 판명된 사이트들의 주소가 수집된 DB와 대조하여 방문중인 사이트가 피싱사이트인지를 미리 알려주는 블랙리스트방식 등이 있으나, 피싱사이트의 짧은 생존주기를 생각하면 실효성면에서 많이 부족하였다.
또 다른 방식으로는 미국공개특허 2006-021031의 예를 들 수 있다. 이 방식은 스풉사이트 리스트와 신뢰된 사이트 리스트, 즉, 블랙리스트와 화이트리스트를 서버로부터 수신하여 저장하고, 다운로드된 페이지의 URL을 리스트의 URL과 비교하여 유저에게 경고 또는 보안지시를 표시해주는 방식이다. 화이트 리스트를 적용한 방식이긴 하지만 화이트리스트에 존재하는 경우 "안전한 사이트"라는 표시를 함으로써 화이트리스트에 존재하는 사이트가 다른 유명사이트를 사칭하는 경우에도 "안전한 사이트"라는 잘못된 표시를 하게 되어 있어, 오히려 공격자를 도와주는 위험 을 안고 있다. 또한, 화이트리스트나 블랙리스트 어디에도 등록되지 않은 수많은 회색사이트들은 "중립"이라는 표시를 함으로써 유명하지 않은 사이트(화이트리스트에 등록되지 않은 사이트)를 사칭하는 피싱공격에 대해서는 아무런 역할을 하지 못하고 있다. 설사 유명한 사이트를 사칭하는 경우라 하더라도 "중립"이라는 표시 정도로는 피싱공격에 대한 충분한 경고가 되기에는 부족함이 있다 할 것이다.
다음은 본 발명이 방어해야 할 피싱공격 기법에 대해 설명하기로 한다. 여기에는 잘 알려진 기법도 있지만, 트로이목마등과 결합한 형태의, 향후 얼마든지 출현할 수 있는 위험한 공격기법까지 기술하기로 한다.
[ 공격예 1]
현재 가장 잘 알려진 피싱기법은, 유명사이트의 운영자가 보낸 것으로 위장한 가짜이메일을 이용하는 것으로서, 이메일 안에 개인정보를 입력받는 입력폼을 담아 보내거나, 가짜사이트로 유인하는 링크주소를 담아 보내는 방법이다.
[ 공격예 2]
잘 알려지지 않은 기법으로서, 피해자의 컴퓨터에 트로이목마를 먼저 설치하여, 이용자가 특정 사이트에 접속하면 설치된 트로이목마가 공격자가 미리 만들어 놓은 웹페이지로 자동으로 포워딩시켜 거기서 이용자가 개인정보를 입력토록 유도하는 방법이 가능하다. 이 방법은 이용자 스스로 일단 정상사이트에 접속하였기 때문에 그 이후로 나타나는 가짜 웹페이지를 의심할 아무런 이유가 없다는 점에서 매우 위험하다 할 수 있다.
[ 공격예 3]
도 1은 새로운 피싱 공격의 예이다.
이 또한 잘 알려지지 않은 기법으로서, 피해자의 컴퓨터에 트로이목마를 먼저 설치하여, 이용자가 특정 사이트(1)에 접속하여 로그인하면, 설치된 트로이목마가 현재 접속 페이지 위에 팝업창으로 보이는 가짜이미지(2)를 띄워, 세션이 끊겼으니 다시 접속하라는 메시지와 함께 새로운 로그인박스(3)를 보여준다. 이때 피해자는 이 트로이목마가 띄운 가짜화면(2)이 팝업창으로 보이는데다 정상사이트 위에 떠 있으므로 당연히 정상사이트에서 띄운 정상팝업창이라고 믿게 된다. 이 또한 가짜라고 의심할 만한 아무런 이유가 없다는 점에서 매우 위험하다 할 수 있다.
[ 공격예 4]
이 또한 잘 알려지지 않은 기법인데, 많은 프로그램들이 흔히 온라인업데이트 기능이나 정식버전을 구매할 수 있는 인터페이스를 담은 메시지를 제공하고 있다는 것을 역이용하는 기법이다.
피해자의 컴퓨터에 트로이목마를 먼저 설치하여, 피해자가 컴퓨터를 켜서 일반적으로 각종 온라인업데이트 확인과정들이 진행될만한 시기에, 가짜 온라인업데이트 창이나 정식버전 구매안내창을 화면에 띄운다. 이때 해당 프로그램에 관심이 지대한 이용자라면 공격자가 유도하는대로 해당 가짜창에 자신의 개인정보를 의심없이 입력하게 되는 것이다.
[ 공격예 5]
도 2는 또 다른 공격예이다.
이 또한 잘 알려지지 않은 기법인데, 요즘은 안전결제서비스나 PKI인증 등의 서비스를 제공하기 위한 모달창(4)들이 많이 발달되어 있다. 소개할 기법은 바로 이런 특정서비스를 사칭하는 기법으로서, 실제로는 안전결제서비스에 가맹되지 않은 사이트(1)에서 마치 안전결제서비스에 가맹되어 있는 것처럼 안전결제서비스용 모달창(4)을 피해자에게 띄워 이에 속은 피해자가 입력하는 결제정보(3)를 탈취하는 것 등을 예로 들 수 있다. 이와 같은 기법을 이용하면 이용자의 PKI인증서 패스워드 등도 쉽게 탈취할 수 있다.
이상으로 현재 알려지거나 또는 앞으로 출현할 수 있는 여러 가지 피싱기법을 기술하였는데, 앞서 기술한 기존 기술들은 이러한 피싱기법들을 어느 한 가지라도 제대로 막을 수 있는 기술이 전혀 없었다.
본 발명의 목적은, 앞서 기술한 모든 유형의 피싱공격에 대해, 빈틈없이, 최적의 경고메시지를 이용자에게 제공할 수 있는 방법을 제시하는 것이며,
또한, 본 발명의 또 다른 목적은 안티피싱프로그램 자체가 공격자의 공격에 대해서도 정상적인 작동을 할 수 있도록 자체 보안기능을 갖추는 것이다.
먼저, 본 발명의 기본 원리에 대해서 설명한 다음에 바람직한 실시예 및 다른 실시예를 설명하는 순으로 기술하기로 한다.
[기본 원리]
피싱은 화면에 보이는 사이트의 내용과 그 주소가 사실과 다른 경우이다. 그러므로, 사이트의 내용과 그 주소를 정확히 판단할 수 있다면 피싱은 100% 방지할 수 있는 것이다. 그러나 현실은 그렇지 못하다.
피싱사이트에 대한 사람과 컴퓨터의 차이를 살펴 보면, 사람은 화면에 보이는 사이트가 어떤 사이트를 표현하고 있는지 정확히 구별할 수 있지만 해당 웹페이지의 주소가 진짜 사이트의 주소인지 아닌지 판단하는 능력이 약하고, 반면에, 컴퓨터는 해당 웹페이지가 진짜 사이트의 주소인지 아닌지 아는 것은 간단한 DB 조회만으로 쉽고도 정확히 판별할 수 있는 반면, 화면에 보이는 사이트가 어떤 사이트를 표현하고 있는지 구별하기는 곤란하다는 특징이 있다.
따라서, 컴퓨터로는 주소의 진위판단을 하고, 화면판단은 사람에게 맡겨, 컴퓨터의 주소판단 결과와 자신의 화면판단 결과를 종합하여 피싱사이트 판별을 정확히 할 수 있도록 하는 방법이 가장 정확한 방법이 된다 할 것이다.
이러한 생각에서 출발한 방식이 바로, 본 발명에 적용된 화이트리스트 기반의 자가판단 방식이다. 이하에서부터 화이트리스트기반의 자가판단 방식에 대해서 상세히 설명하기로 한다.
도 3은 본 발명의 기본 원리도이다.
서버에는 피싱공격의 대상이 되는 유명사이트들의 주소들이 해당 사이트의 알려진 명칭과 연관되어 데이터베이스로 구축되어 있다. 상기 주소는 도메인네임이 바람직하다.
본 발명에 따른 프로그램은 이용자의 컴퓨터에 설치되어, 이용자의 컴퓨터에서 키입력이 일어나는지 감시하다가 키입력이 일어나는 것이 감지되면(100), 이용자가 접속한 웹페이지의 실제주소를 수집한 뒤(110), 이 주소가 상기 데이터베이 스(화이트리스트)에 존재하는지 확인한다(120).
이때 만약, 화이트리스트에 존재하는 주소라면 이용자의 화면에 해당 사이트의 명칭을 표시하여(130) 이용자 스스로 실제 접속주소의 원래 사이트 명칭과 자신의 화면에서 눈으로 보이는 사이트가 일치하는지의 여부에 따라 정상사이트인지 피싱사이트인지 자가판단하도록 한다. 만약 실제접속주소를 화이트리스트에 등록한 사이트명칭이 화면에서 눈에 보이는 사이트와 일치할 경우에는 정상사이트인 것이고(140), 반대로, 일치하지 않을 경우에는 피싱사이트가 되는 것이다(150).
만약, 화이트리스트에 존재하지 않는 주소라면, 이용자의 화면에 "등록되지 않은 주소"라고 안내하여(160) 이용자로 하여금 '유명사이트라면 주소가 등록되어 있을텐데' 하는 의구심을 갖게 하여 피싱에 속지 않도록 도와준다. 또한, 화면에 보이는 사이트의 화이트리스트 등록여부를 직접 확인하고 싶은 이용자에게 즉석에서 조회서비스를 이용할 수 있도록 인터페이스를 제공한다(170). 즉, "등록되지 않은 주소입니다. 만약 화면에 보이는 사이트가 안티피싱서비스에 가입한 사이트인지 확인하고 싶으면 입력란에 사이트명을 입력한 후 조회버튼을 누르세요."와 같은 안내 및 입력폼과 조회버튼을 제공한다. 이때 만약 이용자가 입력한 화면상의 사이트명이 화이트리스트에 등록되어 있는 사이트라면, 결과적으로 가짜주소로 화이트리스트에 등록된 유명사이트를 사칭한 피싱사이트인 셈이 되므로 이용자의 화면에 "입력하신 사이트는 안티피싱서비스에 가입되어 있으며, 귀하가 현재 접속한 웹페이지는 해당 사이트가 사용하는 주소가 아닙니다. 피싱공격으로 보이니 주의하시기 바랍니다."라는 취지의 안내를 하여(180) 피싱에 속지 않도록 한다. 만약, 입력한 사이트명이 화이트리스트에 진짜 없는 경우에는 단순무명사이트인 경우이거나 무명사이트를 피싱하는 경우라고 볼 수 있으므로, "입력하신 사이트는 피싱방지서비스에 가입한 사이트가 아닙니다. 메일로 개인정보를 입력토록 하는 운영자메일은 피싱일 수 있으니 주의하시기 바랍니다."라는 취지의 안내를 하여(190) 이용자의 주의를 환기시킨다.
이상으로 본 발명의 기본 원리에 대해서 기술하였는데, 주소의 판단은 철저히 컴퓨터가 담당하고, 화면 판단은 이용자가 담당하여 그 종합적인 정보로써 이용자가 최종적으로 스스로 판단토록 한 것이 특징이다. 또한 그렇게 함으로써 항상 정확한 판단을 할 수 있다는 것을 알 수 있다.
또한, 이 기본 원리는 웹페이지 내에 삽입된 링크주소를 추출하여 이용자가 해당 링크사이트로 이동하기 전에 안내문을 출력하는 경우에도 그대로 적용된다 할 수 있다.
[바람직한 실시예 ]
이하에서부터는 본 발명의 바람직한 실시예에 대하여 설명하기로 한다.
안티피싱서버에는 등록된 사이트들의 사용 URL과 등록된 프로그램 명단이 기록된 DB가 구비되어 있다. 상기 안티피싱서버와 교신하여 이용자에게 안티피싱안내를 해주는 역할을 수행하는 안티피싱프로그램은 이용자의 컴퓨터에서 작동하는 클라이언트 프로그램이다.
이용자의 컴퓨터에 설치되어 실행되는 안티피싱프로그램은 이용자가 키보드 입력을 하는지 지속적으로 감시한다.
감시하는 중에 키보드 입력을 위한 예비동작(예를 들어, 마우스를 텍스트박스 안으로 옮겨 버튼을 누름으로써 입력커서를 활성화시키는 동작 등)이 감지되거나, 키보드를 입력하는 이벤트(텍스트박스 등에 디폴트로 포커스가 세팅되어 있도록 한 웹페이지들이 많이 있다.)가 감지되면 현재 감지된 이벤트가 일어난 프로그램이 웹브라우저인지 응용프로그램인지 판단한다.
만약, 웹브라우저라면 현재의 웹페이지 URL이 등록된 사이트의 URL인지 미등록 URL인지를 DB를 조회하여 판단하여 이용자의 커서 혹은 마우스가 클릭된 위치 근처에 말풍선 형태로 디스플레이 해준다. 이렇게 함으로써, 개인정보를 입력하고자 할 때 현재 웹페이지가 자신이 알고 있는 바로 그 사이트인지 아닌지 눈으로 확인토록 정확한 정보를 제공하는 것이다.
만약, 키보드 입력 관련 이벤트가 감지된 윈도우가 응용프로그램이라면, 현재 그 프로그램명을 커서 혹은 마우스가 클릭된 위치 근처에 말풍선 형태로 디스플레이 해준다. 이렇게 함으로써, 유명사이트에 종속된 팝업창인 것처럼 위장하여 개인정보를 탈취하려는 응용프로그램의 윈도우로부터 안전해질 수 있다. 피싱용 응용프로그램이 띄운 윈도우라면, 자신이 입력하려고 하는 그 유명사이트의 웹페이지라는 안내문구가 아니라, "알 수 없는 응용프로그램입니다. 피싱에 주의하세요."라는 경고문을 보고 다시 한번 확인하게 되는 것이다.
키보드 입력 예비동작이나, 커서가 세팅되는 이벤트는 윈도즈 프로그램 개발툴 중 SPY++과 같은 프로그램처럼, 해당 윈도우 및 해당 윈도우메시지를 후킹하면 된다.
윈도우 후킹으로 해당 프로그램의 속성정보를 알 수 있는데, 속성정보는 해당 윈도우프로그램이 어떤 컨트롤을 가지고 있는지 타이틀이 무엇인지 등을 알 수 있다. 또한, 윈도우 메시지 후킹으로 해당 프로그램에 대한 마우스동작정보, 포커스셋, 커서셋, 자식창 열기 등을 알 수가 있다.
다음은 그 예이다.
(SPY++의 후킹정보 예)
키 입력:
<00153> 000201D0 P WM_KEYDOWN nVirtKey:'A' cRepeat:1 ScanCode:1E fExtended:0 fAltDown:0 fRe
<00154> 000201D0 P WM_CHAR chCharCode:'a' (97) cRepeat:1 ScanCode:1E fExtended:0 fAltDown:0
<00155> 000201D0 P WM_PAINT hdc:00000000
<00156> 000201D0 P WM_TIMER wTimerID:1 tmprc:00000000
<00157> 000201D0 P WM_TIMER wTimerID:4096 tmprc:00000000
커서 셋:
<00003> 000201D0 S WM_SETCURSOR hwnd:000201D0 nHittest:HTCLIENT wMouseMsg:WM_MOUSEMOVE
<00004> 000201D0 R .WM_SETCURSOR fHaltProcessing:False
이제 본 발명이 이루어지는 과정을 그림과 함께 설명하면 다음과 같다.
도 4는 본 발명의 흐름도이다.
도 5 내지 도 11은 말풍선 표시의 예이다.
앞서 설명한 바와 같이, 안티피싱서버에는 등록된 사이트들의 사용 URL과 등록된 프로그램 명단이 기록된 DB가 구비되어 있다.
200. 사용자의 컴퓨터에 안티피싱프로그램을 설치하는 과정
이 안티피싱프로그램은 컴퓨터에 직접 설치하는 일반 응용프로그램일 수도 있고, 웹페이지에 삽입되는 액티브엑스나 자바애플릿일 수도 있는데, 액티브엑스나 자바애플릿일 경우 런처기능으로 상기 안티피싱프로그램을 다운로드하여 설치하고 주기적으로 스마트업데이트가 가능하도록 한다.
210. 사용자의 컴퓨터에서 안티피싱프로그램이 실행되는 과정
컴퓨터가 부팅될 때 상기 안티피싱프로그램이 항상 백그라운드로 계속하여 실행되도록 구현함이 바람직하다. 또, 상기 액티브엑스나 자바애플릿일 경우 런처기능을 통해 만약 상기 안티피싱프로그램이 실행되지 않았을 때, 실행시키도록 되어있다.
220. 키보드 입력 이벤트 감지 과정
설치되어 실행되는 안티피싱프로그램은 이용자의 컴퓨터에서 발생하는 이벤트를 지속적으로 감시하여, 키보드 입력을 위한 예비동작이나 키보드 입력 동작을 감지한다.
230. 웹브라우저인지 응용프로그램인지 판단 과정
키보드 입력 관련 이벤트가 감지된 윈도우가 웹브라우저인지 응용프로그램인지 판단한다.
240. URL주소 추출, DB 등록여부 판단 과정
키보드 입력 관련 이벤트가 감지된 윈도우가 웹브라우저라면 현재 웹페이지의 URL주소를 추출하여 URL정보DB에 조회하여 그 등록여부를 판단한다.
250. 등록된 사이트명 안내
추출된 URL이 DB에 등록된 URL일 경우에는 DB에 매칭되어 있는 해당 사이트명을 말풍선(5)으로 안내한다. 이때 말풍선(5)은 입력하고자 하는 박스(3)에 가까운 공간에 표시되도록 하여 입력할 때 쉽게 눈에 띌 수 있도록 하는 것이 바람직하다. 여기서의 말풍선(5)은 상징적인 의미의 말풍선이며, 말풍선과 그 효과가 유사하게 나올 수 있는 다양한 표시기법이 모두 이 발명의 범주 안에 포함되어야 한다.
260. 말풍선 표시 모니터
상기 말풍선(5)을 가짜 말풍선으로 고의로 가리는 피싱공격을 차단하기 위한 것으로서, 말풍선을 Always on top으로 설정하고, 말풍선이 떠 있는 동안 활성화를 유지하는지를 계속 감시한다. 만약 활성포커스를 잃게 되면 화면에 에러메시지를 출력하여 피싱공격이 있을지도 모른다는 경고를 한다.
241. 미등록 주소 안내
상기 웹페이지의 URL이 만약 DB내에 존재하지 않을 경우, 현재 URL이 등록되지 않은 주소임을 말풍선(5)에 표시하여 이용자가 유명 사이트를 가장한 페이지에 속지 않도록 한다. 유명 사이트라면 등록되어 있지 않을 리가 없다고 생각할 수 있 기 때문이다.
242. 사이트 등록여부 조회
등록되지 않은 주소라고 표시되는 동시에 사이트 등록여부 조회란(텍스트 입력창)(7)을 하나 띄워 화면에 보이는 사이트명(8)을 입력하면(9) 해당 사이트가 등록된 사이트인지 등록되지 않은 사이트인지 곧바로 확인할 수 있도록 한다. 만약 조회결과가 등록된 사이트로 나온다면, 현재의 웹페이지는 등록되지 않은 주소로 등록된 유명사이트를 위장한 피싱사이트가 확실하게 되는 것이다.
231. 응용프로그램 이름 추출, DB 등록 여부 판단
230단계에서 판단 결과가 응용프로그램인 경우, 그 응용프로그램의 이름을 추출, DB를 조회하여 그 응용프로그램이 등록된 것인지 확인한다.
250. 등록된 응용프로그램 안내
만약 DB에 존재하는 응용프로그램이면, 말풍선으로 등록된 응용프로그램명을 안내한다.
232. 미등록 프로그램 안내
만약, DB에 존재하지 않는 응용프로그램이면, 말풍선으로 "알 수 없는 응용프로그램입니다. 피싱에 주의하세요."라는 경고(5)를 내보낸다. 이용자는 자신이 알고 있던 유명사이트의 웹페이지가 아니라 알 수 없는 응용프로그램이라는 경고문을 보고 다시 한번 확인하게 되어 피싱에 당하지 않게 되는 것이다.
다음은, 앞서 설명한 공격예 5와 같은 특정서비스를 사칭하여 개인정보를 탈 취하는 것(이하, 서비스사칭)을 방지하는 기능에 대한 설명이다.
도 12는 말풍선 표시의 또 다른 예이다.
상기 과정 중, 240이나 231의 다음, 즉, 말풍선 안내가 표시되기 직전에 현재 등록된 서비스(해당 서비스를 사칭하는 공격을 감시해 달라고 등록된 서비스)가 작동되고 있는지를 조회하여 그 결과를 말풍선(5)에 함께 표시함으로써 서비스사칭을 좀 더 확실히 방지할 수 있다.
이를 위해서는, 등록된 서비스서버에 실시간 조회하여 현재 컴퓨터에 해당 서비스가 제공되는 중인지를 조회하면 되는데, 즉, 실시간 조회를 하여 제공중이라면 해당 서비스가 현재 '제공중'이라는 안내를, 제공중이 아니라면 해당 서비스는 현재 '꺼짐'이라는 안내를 할 수 있는 것이다. 또는, 등록된 서비스서버가 서비스창이 열릴 때 이용자의 컴퓨터에서 실행중인 본 발명에 의한 안티피싱클라이언트에게 보고를 하면 되는데, 안티피싱클라이언트는 말풍선(5)을 표시하기 직전 해당 보고가 있을 때에는 해당 서비스가 제공중이라는 표시를 하고, 해당 보고가 없을 때에는 해당 서비스는 현재 제공중이지 않다는 표시를 하면 되는 것이다.
도 12의 예에서는 안티피싱서비스에 등록된 정당한 사이트가 가짜 전자지불결제창을 띄워 이용자의 지불결제정보를 가로채려는 시도를 하는 예이다. 이용자는 현재의 사이트가 전자지불결제서비스에 가맹된 사이트이든 아니든 상관 없이 말풍선(5)에 표시된 '안전결제서비스 - 꺼짐'이라는 문구를 보고 이러한 사기에 당하지 않게 되는 것이다.
위에서 기술된 방법들 이외에, URL정보DB 및 프로그램정보가 서버에 구축되 어 있는 것이 아니라, 안티피싱프로그램 자체내에 내장되어 있어도 무방하다. 새로 업데이트 되는 신규 URL은 주기적으로 온라인업데이트를 하면 된다. 즉, 등록된 URL인지 아닌지, 등록된 프로그램인지 아닌지의 여부는 서버의 도움 없이 스탠드얼론 타입의 안티피싱프로그램이 처리하는 것이며, 서비스사칭을 방지하는 경우에만 서버와 교신하면 되는 것이다.
이상으로, 본 발명의 바람직한 실시예가 작동하는 과정을 설명하였다.
[다른 실시예 1]
다음은 본 발명의 다른 실시예를 설명하기로 한다.
도 13은 본 발명의 다른 실시예이다.
도 13에서 보는 바와 같이 말풍선 안내에 사이트의 상징이미지(13)를 함께 출력하여 이용자에게 더 쉽고 빠르게 인식될 수 있도록 한다. 무엇보다도 이 방식이 좋은 점은 '씨티뱅크'를 흉내 낸 '써티뱀크'와 같은 사이트를 쉽게 가려낼 수 있다는 것이다. 또한, 텍스트로만 안내를 할 경우에는 '써티뱀크', '씨티뱀코', '시터뱅크' 등 수많은 유사 명칭을 등록시키기 곤란하다는 점을 극복할 수 있는 것이다.
이 실시예를 구현하기 위해서는 화이트리스트에 사이트의 상징이미지(13)를 추가하고, 텍스트 방식의 말풍선 방식을 이미지출력방식으로 하면 된다.
[다른 실시예 2]
다음은 입력값이 전송될 타깃주소를 이용하는 실시예를 설명하기로 한다.
도 14는 본 발명의 또 다른 실시예이다.
이메일본문(14)에 있는 입력폼(3)에 키보드입력이나 또는 키보드입력을 위한 예비동작이 일어나면, 그 입력값이 전송될 타깃주소를 추출하여 이를 화이트리스트에 조회한 결과에 따라 앞서 설명한 본 발명에 따른 안티피싱 안내를 한다. 이렇게 함으로써 이메일본문에 직접 입력폼이 있는 경우에도 적절한 안내가 가능하다.
그런데, 공격자는 안티피싱 안내를 피하기 위해, 타깃주소를 일부러 숨길 수 있다.
이런 경우에도 적절한 안내로 피싱피해를 없애기 위해, 입력폼이 있되 그 타깃주소가 추출되지 않는 경우에는 "여기에 입력되는 정보가 어디로 제출되는지 주소가 숨겨져 있습니다. 피싱이 의심되오니 주의하시기 바랍니다." 라는 취지의 안내를 한다(5). 타깃주소를 추출할 수 없는 경우에는 주소를 숨기고 있다는 사실과 싱으로 의심된다는 안내를 하여 피싱피해를 방지한다는 것이다. 즉, 정당한 사이트라면 떳떳이 주소를 드러내 놓을 것이기 때문에 주소를 숨기는 사이트는 피싱사이트라고 간주해도 잘못되는 일은 없을 것이다.
이상으로 본 발명이 구현되는 전 과정을 설명하였다. 본 발명이 구현되려면 네트워크 상에 서비스를 제공할 안티피싱서버가 있어야 하고, 이용자의 컴퓨터가 네트워크 상에 접속해 있어야 하며, 이용자의 컴퓨터에 설치되어 실행되는 안티피싱프로그램과는 서버-클라이언트 방식에 의해 작동되어야 한다. 이러한 기술은 일반적인 기술이므로 여기서는 그 상세한 설명을 생략하기로 한다.
이상의 설명으로 알 수 있는 바와 같이, 본 발명은 지금까지 어떤 기술도 제 대로 방지하지 못했던 앞서 소개된 피싱 공격예들을 모두 완벽하게 방지할 수 있는 효과가 탁월하다.

Claims (7)

  1. 안티피싱 방법에 있어서,
    피싱공격의 대상이 되는 유명사이트 및 응용프로그램의 목록이 관리되는 화이트리스트가 작성되는 과정;과,
    이용자의 컴퓨터에 다운로드된 웹페이지 혹은 그 웹페이지 내에 링크된 웹페이지의 URL, 또는 현재 키입력중인 프로그램의 정보를 수집하는 과정;과,
    상기 수집된 정보와 상기 화이트리스트 내의 목록을 비교하는 과정;과,
    그 비교 결과, 화이트리스트 내에 존재하는 경우, 화이트리스트 내에 등록된 해당하는 사이트명이나 등록된 프로그램명을 이용자의 화면에 표시해주고, 화이트리스트에 존재하지 않는 경우 등록되지 않은 URL 또는 프로그램이라는 표시를 이용자의 화면에 표시하는 과정;과,
    상기 등록되지 않은 URL 또는 프로그램일 경우, 이용자의 화면에 보이는 사이트명 또는 도메인네임, 또는 프로그램명을 입력하여 등록된 사이트인지 또는 등록된 프로그램인지의 여부를 즉석에서 확인할 수 있는 조회서비스를 제공하는 과정;으로 구성되는 것을 특징으로 하는 안티피싱 방법.
  2. 제1항에 있어서,
    상기 조회서비스를 제공하는 과정은,
    입력된 사이트명 또는 도메인네임, 또는 프로그램명이 화이트리스트에 등록 되어 있는 경우, 피싱사이트 또는 피싱프로그램으로 의심된다는 경고문을 화면에 표시하는 것을 특징으로 하는 안티피싱 방법.
  3. 제1항 또는 제2항에 있어서,
    안티피싱 클라이언트 프로그램이 이용자의 컴퓨터에 설치되어 백그라운드로 항상 실행되는 과정;과
    이용자의 컴퓨터에서 키보드입력이 일어나는지 감시하는 과정;이 더 포함되고,
    이용자의 컴퓨터에서 키보드입력이 일어나는 것이 감지될 경우에 키입력 커서 근처에 말풍선 형태로 안내문을 표시하는 것을 특징으로 하는 안티피싱 방법.
  4. 제3항에 있어서,
    상기 안내문에 등록된 사이트의 상징이미지를 더 표시하는 것을 특징으로 하는 안티피싱 방법.
  5. 제3항에 있어서,
    말풍선을 Always on top으로 설정하고, 말풍선이 떠 있는 동안 활성화가 유지되느지 감시하여, 말풍선이 떠 있는 동안 활성화를 잃을 시에는 에러메시지를 출력하여 피싱을 경고하는 것을 더 포함하는 것을 특징으로 하는 안티피싱 방법.
  6. 제3항에 있어서,
    피싱을 방지하기 위해 감시가 신청된 특정 서비스를 제공하는 서버와의 교신을 통해 현재의 컴퓨터에 해당 서비스가 현재 제공중인지의 여부를 판단하여 그 결과를 말풍선에 함께 표시하되, 말풍선에는 상기 감시신청된 모든 서비스가 항상 확인목록에 표시되는 과정이 더 포함된 것을 특징으로 하는 안티피싱 방법.
  7. 안티피싱 방법에 있어서,
    피싱공격의 대상이 되는 유명사이트의 목록이 관리되는 화이트리스트가 작성되는 과정;과,
    입력되는 값이 전송될 타깃주소를 추출하는 과정;과,
    상기 타깃주소와 상기 화이트리스트와 비교하는 과정;과,
    그 비교 결과, 화이트리스트 내에 존재하는 경우, 화이트리스트 내에 등록된 해당하는 사이트명을 이용자의 화면에 표시해주고, 화이트리스트에 존재하지 않는 경우 등록되지 않은 URL 이라는 표시를 이용자의 화면에 표시하는 과정;과,
    상기 등록되지 않은 URL 일 경우, 이용자의 화면에 보이는 사이트명 또는 도메인네임을 입력하여 등록된 사이트인지의 여부를 즉석에서 확인할 수 있는 조회서비스를 제공하는 과정;과,
    타깃주소를 추출하지 못했을 경우에는 피싱사이트로 의심된다는 경고문을 이용자의 화면에 표시하는 과정;으로 구성되는 것을 특징으로 하는 안티피싱 방법.
KR1020060059271A 2005-07-07 2006-06-29 안티피싱 방법 KR20070006559A (ko)

Applications Claiming Priority (10)

Application Number Priority Date Filing Date Title
KR1020050061357 2005-07-07
KR20050061357 2005-07-07
KR1020050070857 2005-08-03
KR20050070857 2005-08-03
KR1020050104821 2005-11-03
KR20050104821 2005-11-03
KR1020060017130 2006-02-22
KR20060017130 2006-02-22
KR20060053310 2006-06-14
KR1020060053310 2006-06-14

Publications (1)

Publication Number Publication Date
KR20070006559A true KR20070006559A (ko) 2007-01-11

Family

ID=37637605

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060059271A KR20070006559A (ko) 2005-07-07 2006-06-29 안티피싱 방법

Country Status (2)

Country Link
KR (1) KR20070006559A (ko)
WO (1) WO2007007988A2 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100904311B1 (ko) * 2006-09-15 2009-06-23 인포섹(주) 트러스티드 네트워크를 이용한 파밍 방지 방법
KR100929693B1 (ko) * 2007-10-10 2009-12-03 김진우 라우팅 포인트를 활용한 피싱 방지 방법
WO2010090357A1 (ko) * 2009-02-04 2010-08-12 주식회사 이스트소프트 웹사이트 주소 검증 시스템 및 주소 검증 방법
KR101226408B1 (ko) * 2009-12-24 2013-01-24 인텔 코오퍼레이션 모바일 디바이스 상에서의 더 안전한 브라우징을 위한 신뢰 그래픽 렌더링을 위한 장치, 시스템 및 방법
KR101436495B1 (ko) * 2013-02-25 2014-09-02 주식회사 안랩 컴퓨터시스템 및 컴퓨터시스템의 악성사이트 여부 판단 방법
KR20150029973A (ko) * 2013-09-11 2015-03-19 삼성전자주식회사 Url 분석 방법 및 그 전자 장치

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8091118B2 (en) * 2007-12-21 2012-01-03 At & T Intellectual Property I, Lp Method and system to optimize efficiency when managing lists of untrusted network sites
US20100042687A1 (en) 2008-08-12 2010-02-18 Yahoo! Inc. System and method for combating phishing
US9038171B2 (en) 2008-10-20 2015-05-19 International Business Machines Corporation Visual display of website trustworthiness to a user
US9621566B2 (en) 2013-05-31 2017-04-11 Adi Labs Incorporated System and method for detecting phishing webpages
KR102348217B1 (ko) * 2014-04-11 2022-01-10 삼성전자 주식회사 전자장치에서 보안화면을 제어하는 방법 및 장치
US10002255B2 (en) 2014-04-11 2018-06-19 Samsung Electronics Co., Ltd. Method and device for controlling security screen in electronic device
US11381597B2 (en) * 2019-07-19 2022-07-05 Mcafee, Llc Expedition of web phishing detection for suspicious sites

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100904311B1 (ko) * 2006-09-15 2009-06-23 인포섹(주) 트러스티드 네트워크를 이용한 파밍 방지 방법
KR100929693B1 (ko) * 2007-10-10 2009-12-03 김진우 라우팅 포인트를 활용한 피싱 방지 방법
WO2010090357A1 (ko) * 2009-02-04 2010-08-12 주식회사 이스트소프트 웹사이트 주소 검증 시스템 및 주소 검증 방법
KR101226408B1 (ko) * 2009-12-24 2013-01-24 인텔 코오퍼레이션 모바일 디바이스 상에서의 더 안전한 브라우징을 위한 신뢰 그래픽 렌더링을 위한 장치, 시스템 및 방법
US8650653B2 (en) 2009-12-24 2014-02-11 Intel Corporation Trusted graphics rendering for safer browsing on mobile devices
KR101436495B1 (ko) * 2013-02-25 2014-09-02 주식회사 안랩 컴퓨터시스템 및 컴퓨터시스템의 악성사이트 여부 판단 방법
KR20150029973A (ko) * 2013-09-11 2015-03-19 삼성전자주식회사 Url 분석 방법 및 그 전자 장치
US11522870B2 (en) 2013-09-11 2022-12-06 Samsung Electronics Co., Ltd. Method for URL analysis and electronic device thereof

Also Published As

Publication number Publication date
WO2007007988A3 (en) 2007-03-08
WO2007007988A2 (en) 2007-01-18

Similar Documents

Publication Publication Date Title
KR20070006559A (ko) 안티피싱 방법
Jain et al. A survey of phishing attack techniques, defence mechanisms and open research challenges
Wu et al. Effective defense schemes for phishing attacks on mobile computing platforms
Wu et al. MobiFish: A lightweight anti-phishing scheme for mobile phones
US9501639B2 (en) Methods, systems, and media for baiting inside attackers
Ludl et al. On the effectiveness of techniques to detect phishing sites
US7769820B1 (en) Universal resource locator verification services using web site attributes
US9270691B2 (en) Web based remote malware detection
US20060070126A1 (en) A system and methods for blocking submission of online forms.
US20110055922A1 (en) Method for Detecting and Blocking Phishing Attacks
US20110126289A1 (en) Client side username/password credential protection
JP2007122692A (ja) セキュリティ管理装置、通信システムおよびアクセス制御方法
JP2012108947A (ja) セキュリティ管理装置、通信システムおよびアクセス制御方法
US8996485B1 (en) Web site verification service
Salem et al. Awareness program and ai based tool to reduce risk of phishing attacks
SatheeshKumar et al. A lightweight and proactive rule-based incremental construction approach to detect phishing scam
Dong et al. User behaviour based phishing websites detection
KR20070019896A (ko) 유알엘과 중요정보 필터링을 통한 피싱방지 기법 및프로그램
KR20070067651A (ko) 인터넷 사이트 패턴 분석을 통한 피싱방지 방법
KR20090017306A (ko) 피싱 및 파밍 방지 방법
Sonowal et al. Usability evaluation of active anti-phishing browser extensions for persons with visual impairments
Bashir et al. The Fuzzy Experiment Approach for Detection and Prevention of Phishing attacks in online Domain
Chaudhary Recognition of phishing attacks utilizing anomalies in phishing websites
Rakesh et al. Detection of URL based attacks using reduced feature set and modified C4. 5 algorithm
Xu et al. Gemini: An emergency line of defense against phishing attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
E601 Decision to refuse application