KR20140126633A - 악성 메시지 검사 방법 및 장치 - Google Patents

악성 메시지 검사 방법 및 장치 Download PDF

Info

Publication number
KR20140126633A
KR20140126633A KR20130045051A KR20130045051A KR20140126633A KR 20140126633 A KR20140126633 A KR 20140126633A KR 20130045051 A KR20130045051 A KR 20130045051A KR 20130045051 A KR20130045051 A KR 20130045051A KR 20140126633 A KR20140126633 A KR 20140126633A
Authority
KR
South Korea
Prior art keywords
identification information
information data
received message
communication terminal
data
Prior art date
Application number
KR20130045051A
Other languages
English (en)
Other versions
KR101473652B1 (ko
Inventor
주설우
강동현
이승원
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020130045051A priority Critical patent/KR101473652B1/ko
Priority to PCT/KR2014/003107 priority patent/WO2014175583A1/ko
Publication of KR20140126633A publication Critical patent/KR20140126633A/ko
Application granted granted Critical
Publication of KR101473652B1 publication Critical patent/KR101473652B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]

Abstract

본 발명은 악성 메시지 검사 방법 및 장치에 관한 것이다. 이를 위한 악성 메시지 검사 방법은 다수의 통신 단말 장치를 대상으로 하여 수신 메시지에 포함된 네트워크 접속위치 정보와 수신 메시지의 식별 정보 데이터를 수집하는 단계와, 수집된 수신 메시지의 식별 정보 데이터를 동일한 네트워크 접속위치 정보별로 분류하는 단계와, 수신 메시지의 식별 정보 데이터를 동일한 네트워크 접속위치 정보별로 계수하는 단계와, 수신 메시지의 식별 정보 데이터를 대상으로 하는 계수에 의한 계수값과 기 설정된 기준값과의 비교 결과에 따라 수신 메시지의 악성 여부를 판정하는 단계를 포함한다. 이에, 악의적인 목적으로 발송되는 메시지들이 사용자에게 유익한 내용을 가장하더라도 URL 정보 등의 네트워크 접속위치 정보를 포함하는 메시지의 경우에는 악성 메시지로 판정할 수 있기 때문에 높은 보안성을 제공하는 이점이 있다.

Description

악성 메시지 검사 방법 및 장치{METHOD AND APPRATUS FOR DETECTING MALICIOUS MESSAGE}
본 발명은 악성 메시지 검사 방법 및 장치에 관한 것으로서, 더 상세하게는 통신 단말 장치에 수신되는 메시지 중에서 URL(uniform resource locator) 정보가 포함된 메시지를 대상으로 하여 악성 여부를 판정하는 악성 메시지 검사 방법 및 장치에 관한 것이다.
최근에 안드로이드(Android), 윈도우 모바일(windows mobile), i-OS(Operating System) 등의 모바일 운영체제를 적용하여 스마트 폰 기능을 수행하는 통신 단말 장치의 보급이 활성화되었다.
이와 같은 모바일 운영체제를 적용한 통신 단말 장치에서는 해당 모바일 운영체제를 기반으로 다양한 응용 프로그램(application)을 실행하여 사용자에게 다양한 정보 처리 서비스를 제공한다.
그리고, 모바일 운영체제를 적용한 통신 단말 장치에는 응용 프로그램으로서 브라우저(browser)를 구비하고, 해당 브라우저를 실행하여서 URL에 의거하여 인터넷 웹 사이트에 통신 접속함으로써, 다양한 웹 사이트의 정보를 사용자에게 제공한다.
이러한 모바일 운영체제를 적용한 통신 단말 장치는 응용 프로그램을 실행하여 문자메시지 수신, 멀티미디어메시지 수신, 이메일 수신, 콘텐츠 거래 등의 수행 시에 유입된 URL에 의거하여 통신 접속을 시도하는 일이 빈번하다.
하지만, 이처럼 수신된 URL에 의거한 통신 접속은 접속 대상 사이트의 유해 여부를 확인하지 않고 있기 때문에 피싱(phishing) 사이트, 국내외 음란 사이트, 사행성 사이트 등과 같은 유해 사이트에 그대로 통신 접속하게 되는 경우가 발생할 수 있다.
이 중에서도 특히 피싱 사이트의 접속은 금융 범죄로 이어지는 경우가 다반사이다. 예컨대, 문자메시지에 금융기관으로 위장한 피싱 사이트로의 접속을 유도하는 URL 정보가 포함된 경우에 통신 단말 장치가 URL 정보에 따라 피싱 사이트에 쉽게 접속될 수 있으며, 이러한 피싱 사이트의 안내에 따라 비정상적인 송금이 이루어지는 금융 범죄가 발생된다.
이러한 피싱 문자메시지 등과 같은 악성 메시지는 단문 메시지 또는 멀티미디어 메시지의 형태로 수신되거나 메신저 어플리케이션 프로그램을 통해 채팅 메시지의 형태로 수신될 수 있으며, 이러한 악성 메시지들은 심각한 사회 문제화가 되고 있다.
종래 기술에 따른 악성 메시지 검사 기술은 사용자에 의해 사전에 등록된 키워드를 포함하는 메시지를 악성으로 판정하는 방안, 수신 메시지를 사전에 신고된 악성 메시지들로부터 추출한 악성 패턴과 비교하여 악성 여부를 판정하는 방안 등이 있다.
그러나, 악의적인 목적으로 발송되는 메시지들은 대부분 사용자에게 유익한 내용으로 가장하기 때문에 종래 기술에 따른 악성 메시지 검사 기술들로는 악성 메시지를 제대로 판정할 수가 없다.
특히, URL 정보를 포함하는 피싱 메시지의 경우에는 URL 정보 자체는 피싱 사이트에 접속될 수 있는 매우 위험한 정보이지만 함께 포함된 문자 정보는 지극히 정상적인 것으로 위장되기 때문에 종래 기술에 따른 내용 기반의 악성 메시지 검사 기술들로는 악성 메시지가 악성으로 판정되지 않는 문제점이 있었다.
이처럼 URL 정보를 포함하는 피싱 메시지 중에서도 실행속성을 가지는 파일이 연결되어 있는 악성 메시지의 경우에는 해당 URL에 접속하면 실행속성을 가지는 파일이 다운로드되며, 다운로드된 파일이 실행되어 금융 관련 정보 등과 같은 개인정보를 탈취하기 때문에 심각한 사회 문제로 대두되고 있는 실정이다.
대한민국 공개특허공보 2005-0046885, 공개일자 2005년 05월 19일.
본 발명의 실시예는, 다수의 통신 단말 장치를 대상으로 수신 메시지에 포함된 URL 정보 등의 네트워크 접속위치 정보를 수집하여 통계 기반으로 악성 메시지를 판정하는 악성 메시지 검사 방법 및 장치를 제공한다.
본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 관점에 따른 악성 메시지 검사 방법은, 다수의 통신 단말 장치를 대상으로 하여 수신 메시지에 포함된 네트워크 접속위치 정보와 상기 수신 메시지의 식별 정보 데이터를 수집하는 단계와, 수집된 상기 수신 메시지의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 분류하는 단계와, 상기 수신 메시지의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 계수하는 단계와, 상기 수신 메시지의 식별 정보 데이터를 대상으로 하는 상기 계수에 따른 제 1 계수값과 기 설정된 제 1 기준값과의 비교 결과에 따라 상기 수신 메시지의 악성 여부를 판정하는 단계를 포함할 수 있다.
여기서, 상기 수집하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 수집하며, 상기 분류하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 분류하고, 상기 계수하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 계수하며, 상기 판정하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 대상으로 하는 상기 계수에 따른 제 2 계수값과 기 설정된 제 2 기준값과의 비교 결과에 따라 상기 수신 메시지의 악성 여부를 판정할 수 있다.
또한, 상기 통신 단말 장치의 식별 정보 데이터는 맥(Mac) 주소 또는 IMEI(International Mobile Equipment Identity)를 이용할 수 있다.
또한, 상기 수집하는 단계는, 상기 네트워크 접속위치 정보로서 URL 정보를 수집하며, 상기 분류하는 단계는, 동일한 상기 URL 정보별로 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 분류하고, 상기 계수하는 단계는, 동일한 상기 URL 정보를 가지는 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 계수할 수 있다.
또한, 상기 수집하는 단계는, 상기 네트워크 접속위치 정보로서 URL 정보를 수집하며, 상기 분류하는 단계는, 수집한 상기 URL 정보에 대응하는 IP 주소 정보를 획득한 후에 동일한 상기 IP 주소 정보별로 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 분류하고, 상기 계수하는 단계는, 동일한 상기 IP 주소 정보를 가지는 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 계수할 수 있다.
또한, 상기 수집하는 단계는, 상기 네트워크 접속위치 정보로서 URL 정보를 수집하며, 상기 분류하는 단계는, 수집한 상기 URL 정보에 대응하는 도메인 네임 정보를 획득한 후에 동일한 상기 도메인 네임 정보별로 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 분류하고, 상기 계수하는 단계는, 동일한 상기 도메인 네임 정보를 가지는 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 계수할 수 있다.
또한, 상기 판정하는 단계는, 기 확보된 블랙 리스트에 포함된 상기 네트워크 접속위치 정보에 대해서는 상기 제 1 계수값과 상기 제 1 기준값과의 비교 결과 또는 상기 제 2 계수값과 상기 제 2 계수값과의 비교 결과와는 무관하게 악성 메시지로 판정할 수 있다.
또한, 상기 수신 메시지의 식별 정보 데이터는 상기 수신 메시지의 수신 시각 정보를 포함하며, 상기 계수하는 단계는 상기 수신 시각 정보가 기 설정된 단위 시간 범위에 포함되는 상기 수신 메시지의 식별 정보 데이터를 계수할 수 있다.
또한, 상기 수신 메시지의 식별 정보 데이터는 상기 수신 메시지의 발신 번호가 상기 통신 단말 장치에 기 등록된 전화번호인지를 나타내는 등록 여부 정보를 포함하며, 상기 계수하는 단계는 상기 등록 여부 정보에 따라 상기 통신 단말 장치에 등록되지 않은 발신 번호에 해당하는 상기 수신 메시지의 식별 정보 데이터를 계수할 수 있다.
본 발명의 다른 관점에 따르면, 다수의 통신 단말 장치를 대상으로 하여 수신 메시지에 포함된 네트워크 접속위치 정보와 상기 수신 메시지의 식별 정보 데이터를 수집하는 단계와, 수집된 상기 수신 메시지의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 분류하는 단계와, 상기 수신 메시지의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 계수하는 단계와, 상기 수신 메시지의 식별 정보 데이터에 대한 상기 계수의 따른 제 1 계수값과 기 설정된 제 1 기준값과의 비교 결과에 따라 상기 수신 메시지의 악성 여부를 판정하는 단계를 포함하는 악성 메시지 검사 방법을 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체를 제공한다.
여기서, 상기 수집하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 수집하며, 상기 분류하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 분류하고, 상기 계수하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 계수하며, 상기 판정하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터에 대한 상기 계수의 따른 제 2 계수값과 기 설정된 제 2 기준값과의 비교 결과에 따라 상기 수신 메시지의 악성 여부를 판정할 수 있다.
본 발명의 또 다른 관점에 따른 악성 메시지 검사 장치는, 다수의 통신 단말 장치를 대상으로 하여 수신 메시지에 포함된 네트워크 접속위치 정보와 상기 수신 메시지의 식별 정보 데이터를 수집하는 데이터 수집부와, 수집된 상기 수신 메시지의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 분류하는 데이터 분류부와, 분류된 상기 수신 메시지의 식별 정보 데이터를 저장하는 데이터 저장부와, 상기 데이터 저장부에 저장된 상기 수신 메시지의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 계수부와, 상기 수신 메시지의 식별 정보 데이터를 대상으로 하는 상기 계수에 따른 제 1 계수값과 기 설정된 제 1 기준값과의 비교 결과에 따라 상기 수신 메시지의 악성 여부를 판정하는 판정부를 포함할 수 있다.
여기서, 상기 데이터 수집부는, 상기 통신 단말 장치의 식별 정보 데이터를 수집하며, 상기 데이터 분류부는, 상기 통신 단말 장치의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 분류하고, 상기 계수부는, 상기 통신 단말 장치의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 계수하며, 상기 판정부는, 상기 통신 단말 장치의 식별 정보 데이터를 대상으로 하는 상기 계수에 따른 제 2 계수값과 기 설정된 제 2 기준값과의 비교 결과에 따라 상기 수신 메시지의 악성 여부를 판정할 수 있다.
또한, 상기 통신 단말 장치의 식별 정보 데이터는 맥 주소 또는 IMEI를 이용할 수 있다.
또한, 상기 데이터 수집부는, 상기 네트워크 접속위치 정보로서 URL 정보를 수집하며, 상기 데이터 분류부는, 동일한 상기 URL 정보별로 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 분류하고, 상기 계수부는, 동일한 상기 URL 정보를 가지는 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 계수할 수 있다.
또한, 상기 데이터 수집부는, 상기 네트워크 접속위치 정보로서 URL 정보를 수집하며, 상기 데이터 분류부는, 수집한 상기 URL 정보에 대응하는 IP 주소 정보를 획득한 후에 동일한 상기 IP 주소 정보별로 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 분류하고, 상기 계수부는, 동일한 상기 IP 주소 정보를 가지는 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 계수할 수 있다.
또한, 상기 데이터 수집부는, 상기 네트워크 접속위치 정보로서 URL 정보를 수집하며, 상기 데이터 분류부는, 수집한 상기 URL 정보에 대응하는 도메인 네임 정보를 획득한 후에 동일한 상기 도메인 네임 정보별로 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 분류하고, 상기 계수부는, 동일한 상기 도메인 네임 정보를 가지는 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 계수할 수 있다.
또한, 상기 판정부는, 기 확보된 블랙 리스트에 포함된 상기 네트워크 접속위치 정보에 대해서는 상기 제 1 계수값과 상기 제 1 기준값과의 비교 결과 또는 상기 제 2 계수값과 상기 제 2 계수값과의 비교 결과와는 무관하게 악성 메시지로 판정할 수 있다.
또한, 상기 수신 메시지의 식별 정보 데이터는 상기 수신 메시지의 수신 시각 정보를 포함하며, 상기 계수부는 상기 수신 시각 정보가 기 설정된 단위 시간 범위에 포함되는 상기 수신 메시지의 식별 정보 데이터를 계수할 수 있다.
또한, 상기 수신 메시지의 식별 정보 데이터는 상기 수신 메시지의 발신 번호가 상기 통신 단말 장치에 기 등록된 전화번호인지를 나타내는 등록 여부 정보를 포함하며, 상기 계수부는 상기 등록 여부 정보에 따라 상기 통신 단말 장치에 등록되지 않은 발신 번호에 해당하는 상기 수신 메시지의 식별 정보 데이터를 계수할 수 있다.
본 발명의 실시예에 따르면, 다수의 통신 단말 장치를 대상으로 수신 메시지에 포함된 URL 정보 등의 네트워크 접속위치 정보를 수집하며, 특정 네트워크 접속위치 정보를 포함하는 메시지가 대량으로 생성 및 발송되었는지를 유추하여 악성 메시지일 가능성이 높은 메시지를 판정할 수 있다.
따라서, 악의적인 목적으로 발송되는 메시지들이 사용자에게 유익한 내용을 가장하더라도 URL 정보 등의 네트워크 접속위치 정보를 포함하는 메시지의 경우에는 악성 메시지로 판정할 수 있기 때문에 높은 보안성을 제공하는 효과가 있다.
특히, URL 정보 등의 네트워크 접속위치 정보를 포함하는 피싱 메시지 중에서도 실행속성을 가지는 파일이 연결되어 있는 악성 메시지의 경우에는 대량으로 생성 및 발송되는 특성을 가지기 때문에 본 발명의 실시예에 따르면 완벽하게 악성 메시지로 판정되어 금융 관련 정보 등과 같은 개인정보의 탈취가 사전에 차단된다.
도 1은 본 발명의 실시예에 따른 악성 메시지 검사 장치를 포함하는 악성 메시지 검사 시스템의 구성도이다.
도 2는 본 발명의 실시예에 따른 악성 메시지 검사 장치의 블록 구성도이다.
도 3은 본 발명의 실시예에 따른 악성 메시지 검사 방법을 설명하기 위한 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 실시예에 따른 악성 메시지 검사 장치를 포함하는 악성 메시지 검사 시스템의 구성도이다.
이에 나타낸 바와 같이 악성 메시지 검사 시스템은, 정보 수집부(11, 21, 31)가 탑재된 통신 단말 장치#1(10) 내지 통신 단말 장치#N(30), 악성 메시지 검사 장치(100)를 포함한다.
통신 단말 장치#1(10) 내지 통신 단말 장치#N(30)는 셀룰러폰, PCS(Personal Communication services)폰, GSM(Global System for Mobile communication)폰, WCDMA폰, CDMA-2000폰, HSDPA(High Speed Downlink Packet Access)폰, MBS(Mobile Broadband System)폰, 스마트폰, 노트북 컴퓨터(note-book computer), 태블릿 컴퓨터(tablet computer), PDA(Personal Digital Assistant) 등과 같이 이동 통신망을 통해 이동 통신 서비스를 제공받을 수 있는 기기라면 어떠한 기기로도 구현할 수 있다.
이러한 통신 단말 장치#1(10) 내지 통신 단말 장치#N(30)에 탑재되는 정보 수집부(11, 21, 31)는 수신 메시지에 URL 정보 등과 같은 네트워크 접속위치 정보가 포함되어 있으면 해당 네트워크 접속위치 정보와 수신 메시지의 식별 정보 데이터 및 해당 통신 단말 장치의 식별 정보 데이터를 악성 메시지 검사 장치(100)에게 전송하면서 수신 메시지에 대한 악성 여부의 검사를 요청한다.
이러한 정보 수집부(11, 21, 31)에 의해 수집되는 통신 단말 장치의 식별 정보 데이터는 유선통신 단말의 경우에 맥(Mac) 주소를 이용할 수 있으며, 무선통신 단말의 경우에 IMEI(International Mobile Equipment Identity)를 이용할 수 있다. 또는, 사용자 정보의 보호를 위해 맥 주소 또는 IMEI의 일방향 해시값을 이용할 수 있다.
아울러, 정보 수집부(11, 21, 31)에 의해 수집되는 수신 메시지의 식별 정보 데이터는 수신 메시지의 일방향 해시값을 이용할 수 있으며, 이러한 식별 정보 데이터에는 수신 메시지의 수신 시각 정보, 수신 메시지의 발신 번호가 해당 통신 단말 장치의 주소록 등에 기 등록된 전화번호인지를 나타내는 등록 여부 정보 중에서 어느 하나 또는 복수를 포함할 수 있다. 예컨대, 정보 수집부(11, 21, 31)는 통신 단말 장치#1(10) 내지 통신 단말 장치#N(30)에 사전에 설치하거나 악성 메시지 검사 장치(100) 또는 다른 응용서비스 서버로부터 다운로드하여 설치할 수 있는 어플리케이션 프로그램 형태로 구현할 수도 있다.
악성 메시지 검사 장치(100)는 통신 단말 장치#1(10) 내지 통신 단말 장치#N(30)로부터 수신 메시지에 포함된 네트워크 접속위치 정보와 수신 메시지의 식별 정보 데이터, 그리고 통신 단말 장치의 식별 정보 데이터를 수집 및 계수하여 기 설정된 기준값(임계값)과 비교하며, 그 비교 결과에 따라 대량으로 생성 및 발송되었는지를 유추하여 피싱 문자, 스팸 문자 등의 악성 메시지일 가능성이 높은 수신 메시지를 판정한 후에 그 판정 결과를 제공한다.
이러한 악성 메시지 검사 장치(100)는 수신 메시지의 식별 정보 데이터를 대상으로 한 수집 및 계수에 따른 제 1 계수값과 기 설정된 제 1 기준값과의 비교 결과에 따라 수신 메시지의 악성 여부를 판정하거나, 통신 단말 장치의 식별 정보 데이터를 대상으로 한 수집 및 계수에 따른 제 2 계수값과 기 설정된 제 2 기준값과의 비교 결과에 따라 수신 메시지의 악성 여부를 판정할 수 있다. 예컨대, 제 1 계수값과 제 2 계수값이 모두 악성 판정 조건을 만족할 때에 수신 메시지를 최종적으로 악성으로 판정할 수도 있으며, 제 1 계수값과 제 2 계수값 중에서 어느 하나라도 악성 판정 조건을 만족하면 수신 메시지를 최종적으로 악성으로 판정할 수도 있다.
도 2는 본 발명의 실시예에 따른 악성 메시지 검사 장치의 블록 구성도이다. 이에 나타낸 바와 같이 실시예에 따른 악성 메시지 검사 장치(100)는 데이터 수집부(110), 데이터 분류부(120), 데이터 저장부(130), 계수부(140), 판정부(150) 등을 포함한다.
데이터 수집부(110)는 복수의 통신 단말 장치(도 1의 도면부호 10, 20, 30)로부터 수신 메시지에 포함된 URL 정보 등의 네트워크 접속위치 정보와 함께 수신 메시지의 식별 정보 데이터, 그리고 통신 단말 장치의 식별 정보 데이터를 수집한다. 이러한 데이터 수집부(110)가 수집하는 식별 정보 데이터는 통신 단말 장치(도 1의 도면부호 10, 20, 30)의 정보 수집부(11, 21, 31)에 의해 수집된 식별 정보에 의해 결정될 수 있다. 예컨대, 통신 단말 장치의 식별 정보 데이터는 유선통신 단말의 경우에 맥 주소를 이용할 수 있으며, 무선통신 단말의 경우에 IMEI를 이용할 수 있다. 또는, 사용자 정보의 보호를 위해 맥 주소 또는 IMEI의 일방향 해시값을 이용할 수 있다. 또, 정보 수집부(11, 21, 31)에 의해 수집되는 수신 메시지의 식별 정보 데이터는 수신 메시지의 일방향 해시값을 이용할 수 있으며, 수신 메시지의 수신 시각 정보, 수신 메시지의 발신 번호가 해당 통신 단말 장치의 주소록 등에 기 등록된 전화번호인지를 나타내는 등록 여부 정보 중에서 어느 하나 또는 복수를 포함할 수 있다.
데이터 분류부(120)는 데이터 수집부(110)에 의해 수집된 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 네트워크 접속위치 정보별로 분류한다. 이러한 데이터 분류부(120)는 데이터 수집부(110)가 네트워크 접속위치 정보로서 URL 정보를 수집하면 동일한 URL 정보별로 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 분류할 수 있다. 또는, 데이터 분류부(120)는 수집한 URL 정보에 대응하는 IP 주소 정보를 획득한 후에 동일한 IP 주소 정보별로 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 분류할 수 있다. 또는, 데이터 분류부(120)는 수집한 URL 정보에 대응하는 도메인 네임 정보를 획득한 후에 동일한 도메인 네임 정보별로 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 분류할 수 있다.
데이터 저장부(130)는 데이터 분류부(120)에 의해 분류된 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 저장한다. 아울러, 데이터 저장부(130)는 이미 악성 메시지로 판정된 네트워크 접속위치 정보를 블랙 리스트로 저장하여 관리할 수 있다.
계수부(140)는 데이터 저장부(130)에 저장된 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 네트워크 접속위치 정보별로 계수한다. 수신 메시지의 식별 정보 데이터에 수신 메시지의 수신 시각 정보가 포함된 경우에 계수부(140)는 수신 시각 정보가 기 설정된 단위 시간 범위에 포함되는 식별 정보 데이터를 계수한다.
아울러, 수신 메시지의 식별 정보 데이터에는 수신 메시지의 발신 번호가 통신 단말 장치의 주소록 등에 기 등록된 전화번호인지를 나타내는 등록 여부 정보를 포함할 수 있다. 이 때, 계수부(140)는 등록 여부 정보에 따라 통신 단말 장치(10, 20, 30)에 등록되지 않은 발신 번호에 해당하는 식별 정보 데이터를 계수한다.
판정부(150)는 계수부(140)에 의한 계수값과 기 설정된 기준값과의 비교 결과에 따라 수신 메시지를 대상으로 하여 네트워크 접속위치 정보별로 악성 여부를 판정한다. 예컨대, 판정부(150)는 수신 메시지의 식별 정보 데이터를 대상으로 한 수집 및 계수에 따른 제 1 계수값과 기 설정된 제 1 기준값과의 비교 결과에 따라 수신 메시지의 악성 여부를 판정하거나, 통신 단말 장치의 식별 정보 데이터를 대상으로 한 수집 및 계수에 따른 제 2 계수값과 기 설정된 제 2 기준값과의 비교 결과에 따라 수신 메시지의 악성 여부를 판정할 수 있다. 여기서, 제 1 계수값과 제 2 계수값이 모두 악성 판정 조건을 만족할 때에 수신 메시지를 최종적으로 악성으로 판정할 수도 있으며, 제 1 계수값과 제 2 계수값 중에서 어느 하나라도 악성 판정 조건을 만족하면 수신 메시지를 최종적으로 악성으로 판정할 수도 있다.
이를 통해, 판정부(150)는 계수부(140)에 의한 계수값이 기 설정된 기준값 보다 클 경우에 대량으로 생성 및 발송된 것으로 유추하여 피싱 문자, 스팸 문자 등의 악성 메시지일 가능성이 높은 것으로 판정할 수 있다. 여기서, 판정부(150)는 데이터 저장부(130)에 기 저장된 블랙 리스트에 포함된 네트워크 접속위치 정보에 대해서는 계수값의 비교 결과와는 무관하게 악성 메시지로 판정할 수 있다. 판정부(150)는 이렇게 악성 메시지로 판정된 수신 메시지에 대해서는 그 결과를 통신 단말 장치(10, 20, 30)에게 제공한다. 그러면, 통신 단말 장치(10, 20, 30)는 기 수신된 메시지 중에 악성 메시지가 존재할 경우에는 이를 경보하거나 해당 수신 메시지를 스팸 보관함으로 옮기거나 또는 삭제할 수 있다. 아울러, 메시지 수신 중에 해당 메시지가 악성 메시지에 해당할 경우에 이를 경보하거나 해당 메시지의 수신을 거부할 수 있다.
도 3은 본 발명의 실시예에 따른 악성 메시지 검사 방법을 설명하기 위한 흐름도이다.
이에 나타낸 바와 같이 실시예에 따른 악성 메시지 검사 방법은, 악성 메시지 검사 모드에서 다수의 통신 단말 장치를 대상으로 하여 수신 메시지에 포함된 네트워크 접속위치 정보와 수신 메시지의 식별 정보 데이터 및 해당 통신 단말 장치의 식별 정보 데이터를 수집하는 단계(S201, S203)와, 수집된 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 동일한 네트워크 접속위치 정보별로 분류하는 단계(S205)와, 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 동일한 네트워크 접속위치 정보별로 계수하는 단계(S207)와, 수신 메시지의 식별 정보 데이터를 대상으로 한 수집 및 계수에 따른 제 1 계수값과 기 설정된 제 1 기준값과의 비교 결과에 따라 수신 메시지의 악성 여부를 판정하거나 통신 단말 장치의 식별 정보 데이터를 대상으로 한 수집 및 계수에 따른 제 2 계수값과 기 설정된 제 2 기준값과의 비교 결과에 따라 수신 메시지의 악성 여부를 판정하는 단계(S209 내지 S213)를 포함한다.
이하, 도 1 내지 도 3을 참조하여 본 발명의 실시예에 따른 악성 메시지 검사 장치에 의한 악성 메시지 검사 방법에 대해 더 자세히 살펴보기로 한다.
먼저, 통신 단말 장치#1(10) 내지 통신 단말 장치#N(30)에 탑재되는 정보 수집부(11, 21, 31)는 수신 메시지에 URL 정보 등과 같은 네트워크 접속위치 정보가 포함되어 있으면 해당 네트워크 접속위치 정보와 수신 메시지의 식별 정보 데이터, 그리고 해당 통신 단말 장치의 식별 정보 데이터를 추출하며, 추출된 네트워크 접속위치 정보와 수신 메시지의 식별 정보 데이터, 그리고 해당 통신 단말 장치의 식별 정보 데이터를 악성 메시지 검사 장치(100)에게 전송하면서 수신 메시지에 대한 악성 여부의 검사를 요청한다.
여기서, 통신 단말 장치(10, 20, 30)의 정보 수집부(11, 21, 31)가 수집하는 통신 단말 장치의 식별 정보 데이터는 유선통신 단말의 경우에 맥 주소가 될 수 있으며, 무선통신 단말의 경우에 IMEI가 될 수 있다. 또는, 사용자 정보의 보호를 위해 맥 주소 또는 IMEI의 일방향 해시값이 수집될 수 있다. 또, 정보 수집부(11, 21, 31)에 의해 수집되는 수신 메시지의 식별 정보 데이터는 수신 메시지의 일방향 해시값을 이용할 수 있으며, 수신 메시지의 수신 시각 정보, 수신 메시지의 발신 번호가 해당 통신 단말 장치의 주소록 등에 기 등록된 전화번호인지를 나타내는 등록 여부 정보 중에서 어느 하나 또는 복수를 포함할 수 있다. 이하의 설명에서는 이해를 돕기 위하여 열거된 모든 정보들이 식별 정보에 포함되어 수집되는 경우를 설명하기로 한다.
다음으로, 통신 단말 장치#1(10) 내지 통신 단말 장치#N(30)으로부터 전송된 네트워크 접속위치 정보 및 수신 메시지의 식별 정보 데이터, 그리고 해당 통신 단말 장치의 식별 정보 데이터는 악성 메시지 검사 장치(100)가 악성 메시지 검사 모드에 진입하면 데이터 수집부(110)에 의해 수집된다(S201, S203).
그리고, 악성 메시지 검사 장치(100)의 데이터 분류부(120)는 데이터 수집부(110)에 의해 수집된 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 네트워크 접속위치 정보별로 분류한다(S205).
여기서, 데이터 분류부(120)는 데이터 수집부(110)가 네트워크 접속위치 정보로서 URL 정보를 수집한 경우라면 동일한 URL 정보별로 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 분류한다.
또는, 데이터 분류부(120)는 수집한 URL 정보에 대응하는 IP 주소 정보를 DNS(Domain Name Server) 등을 통해 획득한 후에 동일한 IP 주소 정보별로 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 분류할 수 있다. 또는, 데이터 분류부(120)는 수집한 URL 정보에 대응하는 도메인 네임 정보를 DNS 서버 등을 통해 획득한 후에 동일한 도메인 네임 정보별로 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 분류할 수 있다. 이처럼, URL 정보에 대응하는 IP 주소 정보 또는 도메인 네임 정보를 획득한 후에 이를 기준으로 하여 분류하는 것은 URL이 IP 주소 및 도메인 네임보다 자주 변경될 가능성이 더 높기 때문이다.
그러면, 악성 메시지 검사 장치(100)의 데이터 저장부(130)는 데이터 분류부(120)에 의해 분류된 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 수신 메시지의 식별 정보 데이터를 저장한다.
이후, 악성 메시지 검사 장치(100)의 계수부(140)는 데이터 저장부(130)에 저장된 수신 메시지의 식별 정보 데이터 및 통신 단말 장치의 식별 정보 데이터를 대상으로 하여 동일한 네트워크 접속위치 정보별로 그 개수를 계수한다.
여기서, 계수부(140)는 수신 메시지의 식별 정보 데이터에 포함된 수신 메시지의 수신 시각 정보에 의거하여 수신 시각 정보가 기 설정된 단위 시간 범위에 포함되는 식별 정보 데이터를 계수한다. 이는 동일한 네트워크 접속위치 정보를 포함하는 메시지가 단위 시간 내에 얼마만큼 대량으로 생성 및 발송되었는지를 계수하는 것을 의미한다.
또한, 계수부(140)는 수신 메시지의 식별 정보 데이터에 포함된 등록 여부 정보에 따라 통신 단말 장치(10, 20, 30)의 주소록 등에 등록되지 않은 식별 정보 데이터를 계수한다. 이는 통신 단말 장치(10. 20. 30)의 연락처 등에 기 등록된 전화번호가 발신 전화 번호와 일치할 경우에는 악성 메시지일 경우가 지극히 낮기 때문이다(S207).
다음으로, 판정부(150)는 계수부(140)에 의한 계수값과 기 설정된 기준값과의 비교 결과에 따라 수신 메시지를 대상으로 하여 네트워크 접속위치 정보별로 악성 여부를 판정한다. 여기서, 계수부(140)는 수신 메시지의 식별 정보 데이터를 대상으로 한 수집 및 계수에 따른 제 1 계수값과 기 설정된 제 1 기준값과의 비교 결과에 따라 수신 메시지의 악성 여부를 판정할 수 있다. 또는, 통신 단말 장치의 식별 정보 데이터를 대상으로 한 수집 및 계수에 따른 제 2 계수값과 기 설정된 제 2 기준값과의 비교 결과에 따라 수신 메시지의 악성 여부를 판정할 수 있다. 또, 제 1 계수값과 제 2 계수값이 모두 악성 판정 조건을 만족할 때에 수신 메시지를 최종적으로 악성으로 판정할 수도 있으며, 제 1 계수값과 제 2 계수값 중에서 어느 하나라도 악성 판정 조건을 만족하면 수신 메시지를 최종적으로 악성으로 판정할 수도 있다.
예컨대, 판정부(150)는 단계 S207의 제 1 계수값이 기 설정된 제 1 기준값을 초과하거나 제 2 계수값이 기 설정된 제 2 기준값을 초과하면 정상 메시지의 기준을 만족하지 않는 것으로 인식하여 악성 메시지로 판정하며(S211), 단계 S207의 제 2 계수값이 기 설정된 제 2 기준값 이하이거나 제 2 계수값이 기 설정된 제 2 기준값 이하이면 정상 메시지의 기준을 만족하는 것으로 인식하여 정상 메시지로 판정한다(S213). 또, 판정부(150)는 데이터 저장부(130)에 기 저장된 블랙 리스트에 포함된 네트워크 접속위치 정보에 대해서는 제 1 계수값 및 제 2 계수값의 비교 결과와는 무관하게 악성 메시지로 판정한다.
끝으로, 판정부(150)는 악성 메시지로 판정된 수신 메시지에 대해서는 그 결과를 통신 단말 장치(10, 20, 30)에게 제공한다. 그러면, 통신 단말 장치(10, 20, 30)는 기 수신된 메시지 중에 악성 메시지가 존재할 경우에 이를 경보하거나 해당 수신 메시지를 스팸 보관함으로 옮기거나 또는 삭제할 수 있다. 아울러, 메시지 수신 중에 해당 메시지가 악성 메시지에 해당할 경우에는 이를 경보하거나 해당 메시지의 수신을 거부할 수 있다.
지금까지 설명한 바와 같이, 본 발명의 실시예에 따르면 다수의 통신 단말 장치를 대상으로 수신 메시지에 포함된 URL 정보 등의 네트워크 접속위치 정보를 수집하며, 특정 네트워크 접속위치 정보를 포함하는 메시지가 대량으로 생성 및 발송되었는지를 유추하여 악성 메시지일 가능성이 높은 메시지를 판정할 수 있다.
따라서, 악의적인 목적으로 발송되는 메시지들이 사용자에게 유익한 내용을 가장하더라도 URL 정보 등의 네트워크 접속위치 정보를 포함하는 메시지의 경우에는 악성 메시지로 판정할 수 있기 때문에 높은 보안성을 제공한다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 악성 메시지 검사 장치 110 : 데이터 수집부
120 : 데이터 분류부 130 : 데이터 저장부
140 : 계수부 150 : 판정부

Claims (20)

  1. 다수의 통신 단말 장치를 대상으로 하여 수신 메시지에 포함된 네트워크 접속위치 정보와 상기 수신 메시지의 식별 정보 데이터를 수집하는 단계와,
    수집된 상기 수신 메시지의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 분류하는 단계와,
    상기 수신 메시지의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 계수하는 단계와,
    상기 수신 메시지의 식별 정보 데이터를 대상으로 하는 상기 계수에 따른 제 1 계수값과 기 설정된 제 1 기준값과의 비교 결과에 따라 상기 수신 메시지의 악성 여부를 판정하는 단계를 포함하는 악성 메시지 검사 방법.
  2. 제 1 항에 있어서,
    상기 수집하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 수집하며,
    상기 분류하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 분류하고,
    상기 계수하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 계수하며,
    상기 판정하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 대상으로 하는 상기 계수에 따른 제 2 계수값과 기 설정된 제 2 기준값과의 비교 결과에 따라 상기 수신 메시지의 악성 여부를 판정하는 악성 메시지 검사 방법.
  3. 제 2 항에 있어서,
    상기 통신 단말 장치의 식별 정보 데이터는 맥(Mac) 주소 또는 IMEI(International Mobile Equipment Identity)를 이용하는 악성 메시지 검사 방법.
  4. 제 1 항 또는 제 2 항에 있어서,
    상기 수집하는 단계는, 상기 네트워크 접속위치 정보로서 URL 정보를 수집하며,
    상기 분류하는 단계는, 동일한 상기 URL 정보별로 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 분류하고,
    상기 계수하는 단계는, 동일한 상기 URL 정보를 가지는 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 계수하는 악성 메시지 검사 방법.
  5. 제 1 항 또는 제 2 항에 있어서,
    상기 수집하는 단계는, 상기 네트워크 접속위치 정보로서 URL 정보를 수집하며,
    상기 분류하는 단계는, 수집한 상기 URL 정보에 대응하는 IP 주소 정보를 획득한 후에 동일한 상기 IP 주소 정보별로 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 분류하고,
    상기 계수하는 단계는, 동일한 상기 IP 주소 정보를 가지는 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 계수하는 악성 메시지 검사 방법.
  6. 제 1 항 또는 제 2 항에 있어서,
    상기 수집하는 단계는, 상기 네트워크 접속위치 정보로서 URL 정보를 수집하며,
    상기 분류하는 단계는, 수집한 상기 URL 정보에 대응하는 도메인 네임 정보를 획득한 후에 동일한 상기 도메인 네임 정보별로 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 분류하고,
    상기 계수하는 단계는, 동일한 상기 도메인 네임 정보를 가지는 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 계수하는 악성 메시지 검사 방법.
  7. 제 1 항 또는 제 2 항에 있어서,
    상기 판정하는 단계는, 기 확보된 블랙 리스트에 포함된 상기 네트워크 접속위치 정보에 대해서는 상기 제 1 계수값과 상기 제 1 기준값과의 비교 결과 또는 상기 제 2 계수값과 상기 제 2 계수값과의 비교 결과와는 무관하게 악성 메시지로 판정하는 악성 메시지 검사 방법.
  8. 제 1 항에 있어서,
    상기 수신 메시지의 식별 정보 데이터는 상기 수신 메시지의 수신 시각 정보를 포함하며,
    상기 계수하는 단계는 상기 수신 시각 정보가 기 설정된 단위 시간 범위에 포함되는 상기 수신 메시지의 식별 정보 데이터를 계수하는 악성 메시지 검사 방법.
  9. 제 1 항에 있어서,
    상기 수신 메시지의 식별 정보 데이터는 상기 수신 메시지의 발신 번호가 상기 통신 단말 장치에 기 등록된 전화번호인지를 나타내는 등록 여부 정보를 포함하며,
    상기 계수하는 단계는 상기 등록 여부 정보에 따라 상기 통신 단말 장치에 등록되지 않은 발신 번호에 해당하는 상기 수신 메시지의 식별 정보 데이터를 계수하는 악성 메시지 검사 방법.
  10. 다수의 통신 단말 장치를 대상으로 하여 수신 메시지에 포함된 네트워크 접속위치 정보와 상기 수신 메시지의 식별 정보 데이터를 수집하는 단계와,
    수집된 상기 수신 메시지의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 분류하는 단계와,
    상기 수신 메시지의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 계수하는 단계와,
    상기 수신 메시지의 식별 정보 데이터에 대한 상기 계수의 따른 제 1 계수값과 기 설정된 제 1 기준값과의 비교 결과에 따라 상기 수신 메시지의 악성 여부를 판정하는 단계를 포함하는 악성 메시지 검사 방법을 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.
  11. 제 10 항에 있어서,
    상기 수집하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 수집하며,
    상기 분류하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 분류하고,
    상기 계수하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 계수하며,
    상기 판정하는 단계는, 상기 통신 단말 장치의 식별 정보 데이터에 대한 상기 계수의 따른 제 2 계수값과 기 설정된 제 2 기준값과의 비교 결과에 따라 상기 수신 메시지의 악성 여부를 판정하는 악성 메시지 검사 방법을 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.
  12. 다수의 통신 단말 장치를 대상으로 하여 수신 메시지에 포함된 네트워크 접속위치 정보와 상기 수신 메시지의 식별 정보 데이터를 수집하는 데이터 수집부와,
    수집된 상기 수신 메시지의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 분류하는 데이터 분류부와,
    분류된 상기 수신 메시지의 식별 정보 데이터를 저장하는 데이터 저장부와,
    상기 데이터 저장부에 저장된 상기 수신 메시지의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 계수부와,
    상기 수신 메시지의 식별 정보 데이터를 대상으로 하는 상기 계수에 따른 제 1 계수값과 기 설정된 제 1 기준값과의 비교 결과에 따라 상기 수신 메시지의 악성 여부를 판정하는 판정부를 포함하는 악성 메시지 검사 장치.
  13. 제 12 항에 있어서,
    상기 데이터 수집부는, 상기 통신 단말 장치의 식별 정보 데이터를 수집하며,
    상기 데이터 분류부는, 상기 통신 단말 장치의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 분류하고,
    상기 계수부는, 상기 통신 단말 장치의 식별 정보 데이터를 동일한 상기 네트워크 접속위치 정보별로 계수하며,
    상기 판정부는, 상기 통신 단말 장치의 식별 정보 데이터를 대상으로 하는 상기 계수에 따른 제 2 계수값과 기 설정된 제 2 기준값과의 비교 결과에 따라 상기 수신 메시지의 악성 여부를 판정하는 악성 메시지 검사 장치.
  14. 제 13 항에 있어서,
    상기 통신 단말 장치의 식별 정보 데이터는 맥(Mac) 주소 또는 IMEI(International Mobile Equipment Identity)를 이용하는 악성 메시지 검사 장치.
  15. 제 12 항 또는 제 13 항에 있어서,
    상기 데이터 수집부는, 상기 네트워크 접속위치 정보로서 URL 정보를 수집하며,
    상기 데이터 분류부는, 동일한 상기 URL 정보별로 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 분류하고,
    상기 계수부는, 동일한 상기 URL 정보를 가지는 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 계수하는 악성 메시지 검사 장치.
  16. 제 12 항 또는 제 13 항에 있어서,
    상기 데이터 수집부는, 상기 네트워크 접속위치 정보로서 URL 정보를 수집하며,
    상기 데이터 분류부는, 수집한 상기 URL 정보에 대응하는 IP 주소 정보를 획득한 후에 동일한 상기 IP 주소 정보별로 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 분류하고,
    상기 계수부는, 동일한 상기 IP 주소 정보를 가지는 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 계수하는 악성 메시지 검사 장치.
  17. 제 12 항 또는 제 13 항에 있어서,
    상기 데이터 수집부는, 상기 네트워크 접속위치 정보로서 URL 정보를 수집하며,
    상기 데이터 분류부는, 수집한 상기 URL 정보에 대응하는 도메인 네임 정보를 획득한 후에 동일한 상기 도메인 네임 정보별로 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 분류하고,
    상기 계수부는, 동일한 상기 도메인 네임 정보를 가지는 상기 수신 메시지의 식별 정보 데이터 또는 상기 통신 단말 장치의 식별 정보 데이터를 계수하는 악성 메시지 검사 장치.
  18. 제 12 항 또는 제 13 항에 있어서,
    상기 판정부는, 기 확보된 블랙 리스트에 포함된 상기 네트워크 접속위치 정보에 대해서는 상기 제 1 계수값과 상기 제 1 기준값과의 비교 결과 또는 상기 제 2 계수값과 상기 제 2 계수값과의 비교 결과와는 무관하게 악성 메시지로 판정하는 악성 메시지 검사 장치.
  19. 제 12 항에 있어서,
    상기 수신 메시지의 식별 정보 데이터는 상기 수신 메시지의 수신 시각 정보를 포함하며,
    상기 계수부는 상기 수신 시각 정보가 기 설정된 단위 시간 범위에 포함되는 상기 수신 메시지의 식별 정보 데이터를 계수하는 악성 메시지 검사 장치.
  20. 제 12 항에 있어서,
    상기 수신 메시지의 식별 정보 데이터는 상기 수신 메시지의 발신 번호가 상기 통신 단말 장치에 기 등록된 전화번호인지를 나타내는 등록 여부 정보를 포함하며,
    상기 계수부는 상기 등록 여부 정보에 따라 상기 통신 단말 장치에 등록되지 않은 발신 번호에 해당하는 상기 수신 메시지의 식별 정보 데이터를 계수하는 악성 메시지 검사 장치.
KR1020130045051A 2013-04-23 2013-04-23 악성 메시지 검사 방법 및 장치 KR101473652B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130045051A KR101473652B1 (ko) 2013-04-23 2013-04-23 악성 메시지 검사 방법 및 장치
PCT/KR2014/003107 WO2014175583A1 (ko) 2013-04-23 2014-04-10 악성 메시지 검사 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130045051A KR101473652B1 (ko) 2013-04-23 2013-04-23 악성 메시지 검사 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20140126633A true KR20140126633A (ko) 2014-10-31
KR101473652B1 KR101473652B1 (ko) 2014-12-17

Family

ID=51792095

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130045051A KR101473652B1 (ko) 2013-04-23 2013-04-23 악성 메시지 검사 방법 및 장치

Country Status (2)

Country Link
KR (1) KR101473652B1 (ko)
WO (1) WO2014175583A1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170041574A (ko) * 2015-10-07 2017-04-17 에스케이텔레콤 주식회사 악성사이트 차단을 위한 장치 및 방법
KR20180044658A (ko) * 2016-10-24 2018-05-03 주식회사 윈스 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치
US10509540B2 (en) 2015-11-17 2019-12-17 Xiaomi Inc. Method and device for displaying a message

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104700228A (zh) * 2015-03-25 2015-06-10 上海化学工业区公共管廊有限公司 基于安卓的公共管廊巡检管理系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050046885A (ko) * 2003-11-14 2005-05-19 (주)한국아이바스 이동 통신망에서의 유해 단문 메시지 차단 시스템과 그방법
KR101080987B1 (ko) * 2005-09-23 2011-11-09 삼성전자주식회사 휴대용 단말기의 멀티미디어 메시지 처리 방법
KR20090086377A (ko) * 2009-07-15 2009-08-12 구경훈 이동통신 단말기를 위한 스팸 메시지 판정 및 처리 방법과 그 장치
KR101246624B1 (ko) * 2012-09-07 2013-03-25 주식회사 안랩 악성 통신 검사 장치 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170041574A (ko) * 2015-10-07 2017-04-17 에스케이텔레콤 주식회사 악성사이트 차단을 위한 장치 및 방법
US10509540B2 (en) 2015-11-17 2019-12-17 Xiaomi Inc. Method and device for displaying a message
KR20180044658A (ko) * 2016-10-24 2018-05-03 주식회사 윈스 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치

Also Published As

Publication number Publication date
WO2014175583A1 (ko) 2014-10-30
KR101473652B1 (ko) 2014-12-17

Similar Documents

Publication Publication Date Title
US10581898B1 (en) Malicious message analysis system
US10873597B1 (en) Cyber attack early warning system
US9277378B2 (en) Short message service validation engine
EP2408166B1 (en) Filtering method, system and network device therefor
US20230224232A1 (en) System and method for extracting identifiers from traffic of an unknown protocol
US20160142429A1 (en) Preventing access to malicious content
CN111800412A (zh) 高级可持续威胁溯源方法、系统、计算机设备及存储介质
CN102404741B (zh) 移动终端上网异常检测方法和装置
KR102119718B1 (ko) 의심스러운 전자 메시지를 검출하기 위한 기술
US9942182B2 (en) System and method for cloud based IP mobile messaging spam detection and defense
US20220131893A1 (en) User-determined network traffic filtering
KR101246624B1 (ko) 악성 통신 검사 장치 및 방법
WO2011076984A1 (en) Apparatus, method and computer-readable storage medium for determining application protocol elements as different types of lawful interception content
KR101473652B1 (ko) 악성 메시지 검사 방법 및 장치
EP3190767B1 (en) Technique for detecting malicious electronic messages
CN111641951B (zh) 一种基于sa架构的5g网络apt攻击溯源方法及系统
CN110858831A (zh) 安全防护方法、装置以及安全防护设备
Wang et al. What you see predicts what you get—lightweight agent‐based malware detection
CN109547427B (zh) 黑名单用户识别方法、装置、计算机设备及存储介质
CN115017502A (zh) 一种流量处理方法、及防护系统
CN109194621B (zh) 流量劫持的检测方法、装置及系统
US20180114021A1 (en) Optimizing data detection in communications
US20230139435A1 (en) System and method for progressive traffic inspection and treatment ina network
KR20120012229A (ko) 불필요한 패킷 송수신 차단 장치 및 그 방법
US20230141028A1 (en) Traffic control server and method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171211

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181211

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191211

Year of fee payment: 6