KR20140144636A - Apparatus and method for examining malicious url - Google Patents
Apparatus and method for examining malicious url Download PDFInfo
- Publication number
- KR20140144636A KR20140144636A KR1020130131442A KR20130131442A KR20140144636A KR 20140144636 A KR20140144636 A KR 20140144636A KR 1020130131442 A KR1020130131442 A KR 1020130131442A KR 20130131442 A KR20130131442 A KR 20130131442A KR 20140144636 A KR20140144636 A KR 20140144636A
- Authority
- KR
- South Korea
- Prior art keywords
- url
- malicious
- application
- message
- checking
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
본 발명은 URL(uniform resource locator)이 포함된 메시지 처리 방법에 관한 것으로, 특히 악성 URL을 검사하는 방법에 있어서, 다수의 기업 혹은 불특정 개인 등의 메시지 제공자(message provider)로부터 해당 기업의 공지, 홍보, 광고 등이나 사용자의 개인정보 유출을 위해 사용자 단말(user terminal)로 발송되는 다양한 메시지 중 URL이 포함된 메시지에 대해서는 URL이 악성 애플리케이션의 설치를 유도하는 악성 URL인지 여부를 검사하고, 악성 URL인 경우 해당 URL이 포함된 메시지를 비정상 메시지로 판단하여 사용자 단말로 전송되지 않도록 차단시키거나, URL의 위험성을 경고함으로써 악성 URL로 인한 피해가 방지되도록 하는 악성 URL 검사장치 및 방법에 관한 것이다.
The present invention relates to a method of processing a message including a uniform resource locator (URL), and more particularly, to a method of inspecting a malicious URL by using a message provider of a plurality of companies or an unspecified person, , It is checked whether the URL is a malicious URL which induces the installation of a malicious application for a message including a URL among various messages sent to a user terminal for an advertisement or the like to leak personal information of the user, A malicious URL checking apparatus and method for preventing a malicious URL from being damaged by preventing a message including the URL from being transmitted to a user terminal by judging the message as an abnormal message or by warning a danger of a URL.
근래에 들어, 휴대폰, 스마트폰(smart phone) 등의 사용자 단말은 현대인에게 없어서는 안될 필수품으로서 남녀 노소를 막론하고 사용하고 있으며, 서비스 제공자 및 단말기 제조자는 다른 업체와의 차별화를 위해 제품 또는 서비스를 경쟁적으로 개발하고 있다.In recent years, user terminals such as mobile phones and smart phones have been used as necessities indispensable to modern people, regardless of whether they are male or female. Service providers and handset manufacturers use competitive products or services .
이러한, 사용자 단말은 폰북(phone book), 게임(game), 메시지(message), 이메일(email), 모닝콜(morning call), MP3(MPEG Layer 3), 디지털 카메라 및 무선 인터넷 서비스가 가능한 멀티미디어 기기로 발전하여 다양한 서비스를 제공하고 있다.The user terminal may be a multimedia device capable of a phone book, a game, a message, an email, a morning call, an MPEG Layer 3 (MP3), a digital camera, and a wireless Internet service It is developing and providing various services.
한편, 위와 같은 사용자 단말의 기능 가운데 메시지 기능은 음성 통화에 비하여 비교적 저렴하다는 장점 때문에 사용자들이 많이 사용하고 있다.On the other hand, among the functions of the user terminal, the message function is often used by the users because it is relatively inexpensive as compared with the voice call.
이러한, 메시지는 예를 들어 SMS(short messaging service), MMS(multimedia messaging service), 패킷기반 메시지 등이 될 수 있다. SMS는 간단한 텍스트를 전송할 수 있는 메시지를 말할 수 있으며, MMS는 단순한 문자 메시지에서 벗어나 동영상, 사진, 음악 파일 등을 부가하여 전송할 수 있는 메시지를 말할 수 있다. 또한, 패킷기반 메시지는 데이터망을 이용하여 패킷 교환 방식을 통해 전송되는 메시지로 MMS와 마찬가지로 동영상, 사진, 음악파일 등의 파일 첨부가 가능하며, 사용자간 대화형식의 메시지 교환도 가능한 메시지를 말할 수 있다. Such a message may be, for example, a short messaging service (SMS), a multimedia messaging service (MMS), a packet based message, or the like. SMS can say a message that can transmit simple text, and MMS can say a message that can be transmitted by adding a moving picture, a photograph, a music file, etc., away from a simple text message. In addition, a packet-based message is a message transmitted through a packet-switched system using a data network. Like a MMS, a file can be attached to a video, a photograph, a music file, or the like. have.
하지만, 최근에는 다수의 기업 혹은 불특정 개인이 위와 같은 SMS/MMS 메시지 기능 등을 이용하여 기업의 공지, 홍보, 광고 등에 이용하고 있어서 사용자는 불필요한 수많은 메시지의 수신으로 인한 공해를 느끼는 등의 불편함이 있으며, 또한, 비정상적인 기업으로부터의 사행성 광고 메시지, 음란 메시지 등과 같은 스팸 메시지로 인해 불편함을 겪는 문제점이 있었다.However, in recent years, many companies or unspecified individuals use the above SMS / MMS message function to publicize, publicize, and advertise a company, and the user inconveniences such as feeling pollution due to the reception of a large number of unnecessary messages Also, there is a problem in that it is inconvenient due to a spam message such as a gambling advertisement message and an obscene message from an abnormal company.
또한, 위와 같이 기업, 개인 등의 메시지 전송 주체로부터 공지, 홍보, 광고의 타겟이 되는 다수의 사용자 단말로 전송되는 SMS, MMS 또는 패킷기반 메시지 등의 메시지 중에는 메시지내 악성 URL을 삽입하여 악의적인 목적을 실현하는 스팸(스미싱) 메시지도 존재할 수 있다. In addition, among the messages such as SMS, MMS, or packet-based messages transmitted to a plurality of user terminals targeted for notification, publicity, and advertisement from a message transmission entity of a company, an individual, etc., malicious URLs Spam (spamming) messages may be present.
이때, 위와 같은 악성 URL이 포함된 메시지는 해당 메시지를 수신한 사용자가 URL을 클릭하는 경우 악성 코드를 포함하는 애플리케이션이 설치되도록 하거나 해외의 스미싱 업체로 연결되도록 하는 등으로 사용자에게 피해를 발생시킬 수 있다.At this time, a message including the malicious URL as described above may cause damage to the user by allowing the user who receives the message to click on the URL, for example, to install an application containing malicious code or to connect to an overseas service provider .
따라서, 사용자의 이동통신 단말기 등으로 전송되는 메시지 중 악성 URL이 포함된 메시지에 대해서는 메시지의 전송이 차단되도록 하거나, 메시지가 사용자 단말로 전송되는 경우 메시지내 포함된 URL의 위험성이 경고되도록 함으로써, 악성 URL에 의한 피해를 줄일 수 있도록 하는 기술 개발이 필요하다.Accordingly, when a message including a malicious URL is transmitted to a user's mobile communication terminal or the like, the transmission of the message is blocked, or when the message is transmitted to the user terminal, the danger of the URL included in the message is warned, It is necessary to develop a technology that can reduce the damage caused by the URL.
한편, 위와 같은 악성 URL에 의한 피해를 방지하기 위한 종래의 방법으로는 예를 들어 스팸 필터링 시스템이나 SMSC(short message service center)에서 악성 애플리케이션의 설치를 유도하는 등의 비정상 메시지에 대해 패턴(pattern)으로 필터링(filtering)하는 방법이 이용되고 있으나, 악성 애플리케이션 설치를 유도하는 메시지를 필터링할 수 있는 패턴이 매우 제한적이고 사후에 해당 메시지에 대한 신고를 받고 분석하여 등록하는 방식이어서 필터링 성능이 떨어지는 문제점이 있다.Meanwhile, as a conventional method for preventing the malicious URL from being damaged, for example, a pattern for an abnormal message such as a spam filtering system or a short message service center (SMSC) However, there is a problem that the pattern for filtering a message that induces a malicious application installation is very limited, and after receiving the notification of the message, have.
또한, 백신 개발사에서 주로 제안하고 있는 방식으로 시험용 단말기를 여러 대 확보하고 개인 정보를 의도적으로 유출한 후, 악성 애플리케이션 전파를 시도하는 문제의 메시지를 수집하여 메시지 전문을 확보하는 방법이 사용되고 있으나, 사용자의 개인 정보를 타겟으로 하는 변종 악성 애플리케이션이 1주일에도 최소 수백여종 이상이 발견되는 상황에서 백신 개발사에서 진행하는 방법 또한 성능이 제한적이며 확보할 수 있는 악성 애플리케이션 수가 제한적인 문제점이 있다.
In addition, a method of acquiring message specials by collecting messages of problem of attempting to spread malicious application after intentionally leaking personal information and securing several test terminals is proposed in a method proposed by a vaccine developer, Of malicious applications that target personal information are found in more than a hundred different types of malware in a week. However, there is limited performance and limited number of malicious applications.
(특허문헌)(Patent Literature)
대한민국 등록특허번호 10-0482538호(등록일자 2005년 04월 01일)에는 멀티미디어 메시지 서비스 방법 및 시스템에 관한 기술이 개시되어 있다.
Korean Patent Registration No. 10-0482538 (registered on Apr. 1, 2005) discloses a technique for a multimedia message service method and system.
따라서, 본 발명에서는 악성 URL을 검사하는 방법에 있어서, 다수의 기업 혹은 불특정 개인 등의 메시지 제공자로부터 해당 기업의 공지, 홍보, 광고 등을 위해서나 개인정보 유출 등의 목적으로 사용자 단말로 발송되는 다양한 메시지 중 URL이 포함된 메시지에 대해서는 URL이 악성 애플리케이션의 설치를 유도하는 악성 URL인지 여부를 검사하고, 악성 URL인 경우 해당 URL이 포함된 메시지를 비정상 메시지로 판단하여 사용자 단말로 전송되지 않도록 차단시키거나, URL의 위험성을 경고함으로써 악성 URL로 인한 피해가 방지되도록 하는 악성 URL 검사장치 및 방법을 제공하고자 한다.
Accordingly, in the present invention, a method for inspecting a malicious URL is a method for inspecting a malicious URL by using various messages sent from a message provider such as an enterprise or an unspecified individual to a user terminal for notification, advertisement, It is determined whether or not the URL is a malicious URL that induces installation of a malicious application. If the URL is a malicious URL, the message containing the URL is determined to be an abnormal message and is blocked from being transmitted to the user terminal And a malicious URL inspecting apparatus and method for preventing harm caused by a malicious URL by warning the danger of the URL.
상술한 본 발명은 악성 URL 검사장치로서, 메시지를 수신하면, 상기 메시지 내에 URL(uniform resource locator)이 포함되어 있는지 여부를 검사하고, 상기 URL을 추출하는 URL 추출부와, 상기 URL을 통해 애플리케이션을 다운로드 받는 통신부와, 상기 통신부를 통해 다운로드된 상기 애플리케이션내에 보안상 위험성을 가지는 권한 또는 API가 포함되어 있는지 여부를 검사하여 상기 URL의 악성여부를 판단하는 권한/API 검증부를 포함한다.The malicious URL checking apparatus according to the present invention is a malicious URL checking apparatus which comprises a URL extracting unit for checking whether or not a URL (uniform resource locator) is included in the message upon receiving a message and extracting the URL; And an authority / API verification unit for checking whether the URL is malicious by checking whether the application downloaded through the communication unit contains a right or API having a security risk in the communication unit.
또한, 상기 악성 URL 검사장치는, 상기 악성으로 판단된 URL 리스트 정보를 필터링 정보로 저장하고, 상기 통신부에서 상기 애플리케이션을 다운로드 받기 전에 상기 추출된 URL이 상기 필터링 정보에 존재하는지 여부를 검사하여 상기 추출된 URL이 상기 필터링 정보에 존재하는 경우 상기 URL을 차단하는 사전 필터링부를 더 포함하는 것을 특징으로 한다.The malicious URL inspection apparatus stores the URL list information determined to be malicious as filtering information, and checks whether or not the extracted URL exists in the filtering information before downloading the application from the communication unit, And a pre-filtering unit for blocking the URL if the URL is present in the filtering information.
또한, 상기 사전 필터링부는, 상기 권한/API 검증부에서 악성으로 판단된 URL을 상기 필터링 정보에 업데이트하는 것을 특징으로 한다.In addition, the pre-filtering unit updates the URL determined to be malicious in the authorization / API verification unit to the filtering information.
또한, 상기 악성 URL 검사장치는, 악성 애플리케이션을 유포하는 사이트를 포함하여 유해 사이트로 판단된 URL에 사용자 단말이 접속하는 경우, 상기 접속을 차단하는 유해 사이트 차단시스템으로 상기 악성으로 판단된 URL을 제공하는 것을 특징으로 한다.In addition, when the malicious URL inspection apparatus accesses a URL determined as a harmful site including a site that distributes a malicious application, the malicious URL inspection apparatus provides the malicious URL determined by the malicious site blocking system that blocks the connection .
또한, 상기 악성 URL 검사장치는, 상기 URL이 악성으로 판단되는 경우, 상기 URL이 악성임을 표시하는 URL 검증 정보를 생성하고, 상기 URL 검증 정보가 상기 메시지에 포함되도록 가공하는 가공부를 더 포함하는 것을 특징으로 한다.The malicious URL checking apparatus may further include a processing unit for generating URL verification information indicating that the URL is malicious when the URL is determined to be malicious and processing the URL verification information to be included in the message .
또한, 상기 가공부는, 상기 URL 검증 정보를 상기 메시지의 헤더 또는 데이터 영역에 포함시키는 것을 특징으로 한다.The processing unit may include the URL verification information in a header or a data area of the message.
또한, 상기 악성 URL 검사장치는, 상기 통신부를 통해 다운로드된 상기 애플리케이션을 애뮬레이터 상에서 실행시킨 후, 상기 실행 결과를 분석하여 악성 여부를 판단하는 동적 분석부를 더 포함하는 것을 특징으로 한다.The malicious URL inspection apparatus may further include a dynamic analysis unit for executing the application downloaded through the communication unit on the emulator and analyzing the execution result to determine maliciousness.
또한, 상기 악성 URL 검사장치는, 상기 통신부를 통해 다운로드된 상기 애플리케이션에 대해 악성애플리케이션탐지용 백신엔진을 이용하여 상기 애플리케이션이 악성인지 여부를 검사하는 백신 엔진부를 더 포함하는 것을 특징으로 한다.The malicious URL inspection apparatus may further include a vaccine engine unit for checking whether the application is malicious by using a vaccine engine for detecting a malicious application for the application downloaded through the communication unit.
또한, 상기 권한/API 검증부는, 상기 통신부를 통해 다운로드된 상기 애플리케이션의 실행파일을 분석하여 상기 애플리케이션에 부여된 권한 정보 중 보안상 위험성을 가지는 권한이 존재하는지를 검사하여 상기 URL의 악성여부를 판단하는 것을 특징으로 한다.The authority / API verification unit analyzes the execution file of the application downloaded through the communication unit to determine whether the URL has maliciousness by checking whether the right having security risk exists among the right information assigned to the application .
또한, 상기 권한/API 검증부는, 상기 애플리케이션의 실행 파일을 디컴파일하여 상기 권한을 수행하기 위한 API가 실행되는지 여부를 더 검사하는 것을 특징으로 한다.The authority / API verifier further checks whether an API for executing the authority is executed by decompiling an executable file of the application.
또한, 본 발명은 악성 URL 검사방법으로서, 메시지를 수신하면, 상기 메시지 내에 URL이 포함되어 있는지 여부를 검사하고, 상기 URL을 추출하는 URL 추출 단계와, 상기 URL을 통해 애플리케이션을 다운로드 받는 다운로드 단계와, 상기 다운로드된 애플리케이션 내에 보안상 위험성을 가지는 권한 또는 API가 포함되어 있는지 여부를 검사하여 상기 URL의 악성여부를 판단하는 권한/API 검증단계를 포함한다.According to another aspect of the present invention, there is provided a malicious URL checking method including: a URL extracting step of, upon receiving a message, checking whether a URL is included in the message and extracting the URL; And an authority / API verification step of determining whether the URL is malicious by checking whether the downloaded application contains an authority or an API having a security risk.
또한, 상기 악성 URL 검사방법은, 상기 악성으로 판단된 URL 리스트 정보를 필터링 정보로 이용하여 상기 추출된 URL이 상기 필터링 정보에 존재하는지 검사하고 상기 추출된 URL이 상기 필터링 정보에 존재하는 경우 상기 URL을 악성 URL로 판단하는 사전필터링 단계를 더 포함하는 것을 특징으로 한다.The malicious URL checking method may further include checking whether the extracted URL exists in the filtering information by using the URL list information determined to be malicious as filtering information and if the extracted URL exists in the filtering information, And a pre-filtering step of judging the URL as a malicious URL.
또한, 상기 URL이 악성으로 판단되는 경우, 상기 URL이 악성임을 표시하는 URL 검증 정보를 생성하고, 상기 URL 검증 정보가 상기 메시지에 포함되도록 가공하는 메시지 가공단계를 더 포함하는 것을 특징으로 한다.And a message processing step of, when the URL is determined to be malicious, generating URL verification information indicating that the URL is malicious and processing the URL verification information to be included in the message.
또한, 다운로드된 상기 애플리케이션을 애뮬레이터 상에서 실행시킨 후, 상기 실행결과를 분석하여 악성 여부를 판단하는 동적분석단계를 더 포함하는 것을 특징으로 한다.The method may further include a dynamic analysis step of executing the downloaded application on the emulator and analyzing the execution result to determine whether the application is malicious.
또한, 다운로드된 상기 애플리케이션에 대해 악성애플리케이션 탐지용 백신엔진을 이용하여 상기 애플리케이션이 악성인지 여부를 검사하는 악성애플리케이션 검사단계를 더 포함하는 것을 특징으로 한다.The malicious application checking step may further include a malicious application checking step of checking whether the application is malicious by using a vaccine engine for detecting the malicious application with respect to the downloaded application.
또한, 상기 권한/API 검증단계는, 다운로드된 상기 애플리케이션의 실행파일을 분석하여 상기 애플리케이션에 부여된 권한 정보 중 보안상 위험성을 가지는 권한이 존재하는지를 검사하는 것을 특징으로 한다.The authority / API verification step may include analyzing an execution file of the downloaded application to check whether a right having security risk is included in the right information granted to the application.
또한, 상기 권한의 검사 이후에, 상기 애플리케이션의 실행 파일을 디컴파일하여 상기 권한을 수행하기 위한 API가 실행되는지 여부를 더 검사하는 것을 특징으로 한다.
Further, after the checking of the authority, it is further checked whether an API for executing the authority is executed by decompiling an executable file of the application.
본 발명에 따르면, 악성 URL을 검사하는 방법에 있어서, 다수의 기업 혹은 불특정 개인 등의 메시지 제공자로부터 해당 기업의 공지, 홍보, 광고 등을 위해서나 개인정보 유출 등의 목적으로 사용자 단말로 발송되는 다양한 메시지 중 URL이 포함된 메시지에 대해서는 URL이 악성 애플리케이션의 설치를 유도하는 악성 URL인지 여부를 검사하고, 악성 URL인 경우 해당 URL이 포함된 메시지를 비정상 메시지로 판단하여 사용자 단말로 전송되지 않도록 차단시키거나, URL의 위험성을 경고함으로써 악성 URL로 인한 피해가 방지되도록 하는 이점이 있다.According to the present invention, there is provided a method for inspecting a malicious URL, comprising the steps of: receiving various messages sent from a message provider of a plurality of companies or an unspecified person to a user terminal for notification, publicity, advertisement, It is determined whether or not the URL is a malicious URL that induces installation of a malicious application. If the URL is a malicious URL, the message containing the URL is determined to be an abnormal message and is blocked from being transmitted to the user terminal , There is an advantage that the damage caused by the malicious URL is prevented by warning the danger of the URL.
또한, 악성 URL을 포함한 메시지에 대해 사용자 단말로 전송되기 전 메시지 전송서버에서 미리 필터링을 통해 차단시킴으로써 메시지를 통해 전파되는 악성 애플리케이션에 대한 원천적이고 선제적으로 차단할 수 있는 이점이 있다.In addition, there is an advantage that a malicious application that is transmitted through a message can be originally and preemptively blocked by blocking a message including a malicious URL before filtering the message transmission server before being transmitted to the user terminal.
또한, 악성 URL을 통해 다운로드되는 애플리케이션에 대한 악성 여부를 통신사 자체적으로 검사할 수 있는 모델을 제시함으로써 백신 엔진을 제공하는 백신 제공 회사에 비하여 악성 애플리케이션 샘플 수집에 더 유리하게 되어, 악성 애플리케이션 대응에 있어서 통신사의 독자적인 사업 모델을 창출할 수 있는 이점이 있다.
In addition, by providing a model in which a communication company itself can check maliciousness of an application downloaded through a malicious URL, it becomes more advantageous in collecting malicious application samples than a vaccine providing company that provides a vaccine engine, There is an advantage in creating a carrier's own business model.
도 1은 본 발명의 실시예가 적용되는 악성 URL 검사장치를 포함하는 메시지 전송을 위한 통신망의 구성도,
도 2는 본 발명의 실시예에 따른 악성 URL 검사장치의 상세 블록 구성도,
도 3은 본 발명의 실시예에 따른 사용자 단말의 상세 블록 구성도,
도 4는 본 발명의 실시예에 따른 악성 URL로 인한 접속 차단 안내 메시지 표시 예시도,
도 5는 본 발명의 실시예에 따른 악성 URL 검사장치에서 URL 분석을 통한 비정상 메시지 검사 동작 제어 흐름도,1 is a configuration diagram of a communication network for transmitting a message including a malicious URL checking apparatus to which an embodiment of the present invention is applied;
FIG. 2 is a detailed block diagram of a malicious URL testing apparatus according to an embodiment of the present invention. FIG.
3 is a detailed block diagram of a user terminal according to an embodiment of the present invention.
FIG. 4 is a diagram illustrating an example of displaying a connection blocking information message message due to a malicious URL according to an exemplary embodiment of the present invention,
FIG. 5 is a flowchart illustrating an abnormal message inspection operation control operation using URL analysis in the malicious URL inspection apparatus according to the embodiment of the present invention. FIG.
이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, the operation principle of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions of the present invention, and these may be changed according to the intention of the user, the operator, or the like. Therefore, the definition should be based on the contents throughout this specification.
도 1은 본 발명의 실시예가 적용되는 악성 URL 검사장치를 포함하는 메시지 전송을 위한 통신망의 구성을 도시한 것이다.FIG. 1 illustrates a configuration of a communication network for message transmission including a malicious URL checking apparatus to which an embodiment of the present invention is applied.
이하, 도 1을 참조하여, 메시지 전송을 위한 통신망상 각 구성요소에서의 동작을 상세히 설명하기로 한다.Hereinafter, operation of each component on a communication network for message transmission will be described in detail with reference to FIG.
먼저, 메시지 제공자(message provider)(100)는 이동통신망을 포함하는 유/무선 통신망 등에 연결된 사용자 단말(user terminal)(150)에 SMS(short message service), MMS(multimedia message service) 메시지 또는 패킷기반 메시지 등의 메시지를 발송하는 주체를 의미한다. 이때, 위와 같은 사용자 단말(150)은 예를 들어 휴대폰, 스마트폰(smart phone) 등의 이동통신 단말기 또는 메시지 수신이 가능한 표시창을 구비한 일반 유/무선 전화기 등을 포함할 수 있고, 위와 같은 메시지는 MMS 메시지, SMS 메시지 또는 패킷기반 메시지 등이 될 수 있다. First, a
또한, 이러한 메시지 제공자(100)는 예를 들어 금융업체, 제조업체, 오픈 마켓 등의 기업 혹은 불특정 개인 등이 될 수 있으며, 메시지 제공자(100)에 의해 발송되는 메시지는 예를 들어 해당 기업과 관련하여 사용자에게 공지, 홍보 또는 광고하고자 하는 내용의 메시지가 될 수 있다.The
메시지 중계자(102)는 메시지 제공자(100)가 되는 금융업체, 제조업체, 오픈 마켓 등의 기업 혹은 불특정 개인 등에서 타겟(target)이 되는 사용자의 사용자 단말(150)로의 메시지 발송 요청을 수신하여 발송 요청에 대응되는 내용의 메시지를 생성하고, 이와 같이 생성한 메시지를 통신망상 메시지 전송서버(110)로 전송한다. 즉, 메시지 중계자(102)는 메시지 제공자(100)로부터 전송할 메시지의 내용 등과 같은 데이터와 해당 메시지가 전송되어야 하는 타겟 사용자의 사용자 단말(150)의 전화번호(Mobile Identification Number: MIN) 등의 정보를 제공받아 메시지를 구성하고, 이를 통신망상 메시지 전송서버(150)로 전송한다.The
메시지 전송서버(110)는 메시지 제공자(100)로부터 발송된 메시지를 발송 요청된 사용자 단말(150)로 전송하는 서버로써, SMSC(112), MMSC(114) 등의 될 수 있으며, 메시지를 사용자 단말(150)로 전송한다. The
한편, 위와 같이 기업 혹은 불특정 개인 등의 메시지 전송 주체로부터 다수의 타겟 사용자의 사용자 단말(150)로 전송되는 메시지 중 악성 URL을 포함하는 메시지는 메시지내 포함된 악성 URL이 클릭되는 경우 악성 코드를 포함하는 애플리케이션이 설치되도록 하거나 해외의 스미싱 서버로 연결되도록 함으로써, 피해를 발생시키는 문제점이 있었음은 전술한 바와 같다.On the other hand, a message including a malicious URL among messages transmitted from a message transmission entity such as an enterprise or an unspecified individual to the
따라서, 본 발명에서는 메시지 전송서버(110)에서 URL이 포함된 메시지에 대해서는 해당 메시지를 전송 요청된 사용자 단말(150)로 전송하기 전에, 해당 메시지에 포함된 URL이 악성인지 여부를 검사하는 악성 URL 검사장치(130)로 악성 URL 여부를 판단하도록 한 후, 악성 URL을 포함한 비정상 메시지에 대해서는 사용자 단말(150)로 전송되는 것을 차단시키거나 위험성이 있는 메시지임을 알리는 경고정보가 표시되도록 함으로써 비정상 메시지에 의한 피해가 방지될 수 있도록 한다.Accordingly, in the present invention, before a message including the URL is transmitted from the
즉, 악성 URL 검사장치(130)는 예를 들어 도 1에서 보여지는 바와 같이 SMSC(112), MMSC(114) 등의 메시지 전송서버(110)와 연결되어 SMSC(112) 등으로 메시지가 수신되는 경우, SMSC(112)로부터 해당 메시지를 전달받아 메시지에 포함된 URL이 정상 URL인지 또는 악성 의도를 가지는 악성 URL인지 여부를 판단함으로써 사용자 단말(150)로 전송 요청된 메시지가 비정상 메시지인지 여부를 판단하게 된다.1, the malicious
이하, 악성 URL 검사장치(130)에서 악성 URL을 검사하는 동작을 보다 상세히 설명하기로 한다.Hereinafter, an operation of the malicious
먼저, 악성 URL 검사장치(130)는 메시지내 포함된 URL 정보를 추출한 후, 악성 URL 리스트(list)와의 비교를 통한 사전 필터링을 통해 메시지로부터 추출된 URL이 악성 URL인지 여부를 판단하고, 악성 URL로 판단하는 경우 이와 같은 판단 정보를 메시지 전송 서버(110)로 제공하여 해당 메시지가 사용자 단말(150)로 전송되지 않도록 하거나, URL의 위험성이 경고되도록 한다. 이때, 위와 같은 악성 URL 리스트는 악성 URL 검사장치(130)에서 이전에 검사가 진행되어 악성 URL로 판단된 URL들의 리스트 정보를 말하는 것으로, 이러한 악성 URL 리스트는 악성 URL 검사장치(130)에 구비될 수 있으며, 악성 URL 검사장치(130)에 의해 악성 URL 검사가 수행되는 과정에서 악성 URL로 판단된 URL 정보가 주기적으로 업데이트(update)될 수 있다.First, the malicious
다음으로, 악성 URL 검사장치(130)는 위와 같은 사전 필터링을 통해 악성 URL인지 여부가 정확히 판단되지 않는 URL에 대해서는 백신 검사, 권한/API 검사, 동적 분석 등을 통해 악성 URL인지 여부를 판단할 수 있다.Next, the malicious
이때, 위와 같은 백신 검사, 권한/API 검사, 동적 분석 등을 통한 악성 URL 여부 판단 방법에 있어서, 악성 URL 검사장치(130)는 사전 필터링을 통해 악성 URL인지 여부가 판단되지 않은 URL에 대해서는 유무선 통신망을 통해 URL 주소로 링크되는 웹서버(도시하지 않음) 등에 접속하고, 해당 URL로의 접속에 따라 다운로드되는 애플리케이션(application)의 악성 여부 검사를 통해 URL의 악성 여부를 판단하게 된다.At this time, in the method for determining whether a malicious URL is obtained through the above-described vaccine inspection, authority / API inspection, dynamic analysis, etc., the malicious
좀더 자세히 설명하면 먼저, 악성 URL 검사장치(130)는 다운로드된 애플리케이션에 대해 이전에 검사된 애플리케이션의 시그니처(signiture) 정보와 비교하여 동일한 애플리케이션인지 여부를 검사함으로써 해당 애플리케이션의 악성 여부를 검사할 수 있다. 이때, 악성 URL 검사장치(130)는 위와 같은 시그니처 정보와의 비교를 통해 애플리케이션이 악성 애플리케이션으로 검사된 경우 해당 URL을 악성 URL로 판단하고, 정상 애플리케이션으로 검사된 경우 해당 URL을 정상 URL로 판단할 수 있다. 또한 이때, 위와 같은 시그니처 정보는 예를 들어 SHA-256, MD5 등의 해쉬코드 정보일 수 있다.More specifically, first, the malicious
다음으로, 악성 URL 검사장치(130)는 다운로드된 애플리케이션이 이전에 검사된 적이 없는 애플리케이션인 경우, 미리 구비하고 있는 백신 엔진을 이용하여 악성 애플리케이션인지 여부를 검사한다. 위와 같은 백신 엔진은 예를 들어 백신을 개발하는 회사로부터 제공된 상용 백신 엔진일 수 있으며, 악성 URL 검사장치(130)는 다운로드된 애플리케이션이 악성 애플리케이션으로 검사된 경우 해당 URL을 악성 URL로 판단한다. 그러나, 위와 같은 백신 엔진을 이용한 애플리케이션의 악성 여부 검사는 백신 엔진에 포함되지 않는 변종 패턴을 가지는 애플리케이션에 대해서는 정확한 검사가 이루어지지 않을 수도 있다.Next, when the downloaded application is an application that has not been previously inspected, the malicious
따라서, 백신엔진을 통해 악성 애플리케이션으로 판단되지 않은 애플리케이션에 대해서 악성 URL 검사장치(130)는 다시 권한/API 검사, 동적 분석 등을 추가로 수행하게 된다.Accordingly, the malicious
즉, 악성 URL 검사장치(130)는 백신엔진을 통해 악성 애플리케이션 여부가 검사되지 않은 애플리케이션에 대해 해당 애플리케이션의 실행 파일을 분석하여 애플리케이션이 가지고 있는 권한 정보를 검사한다. That is, the malicious
이러한 권한 정보는 애플리케이션이 사용자 단말(150) 등에 설치될 때 사용자 단말(150)에서 수행할 수 있는 권한에 대한 정보를 기록한 것으로, 악성 애플리케이션인 경우 예를 들어 "메시지 읽기", "통화내용 가로채기" 등의 사용자의 개인 정보를 유출할 수 있는 보안상 위험한 권한이 설정되어 있을 수 있다. 또한 이때, 이러한 권한 정보는 애플리케이션이 안드로이드 OS(operating system)를 기반으로 작성된 경우는 예를 들어 AndroidManifest.xml 파일 등에 기록될 수 있다. This permission information records information on rights that can be performed by the
따라서, 악성 URL 검사장치(130)는 권한 검사를 통해 다운로드된 애플리케이션에 보안상 위험한 권한이 있는 것으로 검사되는 경우 해당 URL을 악성 URL로 판단할 수 있다. 이때, 악성 URL로 판단할 수 있는 권한은 정책에 따라 변경 설정될 수 있다.Therefore, when malicious
또한, 악성 URL 검사장치(130)는 악성 URL로 판단될 수 있는 보안상 위험한 권한을 가지고 있는 애플리케이션에 대해서는 API 검사를 통해 해당 애플리케이션의 실행파일을 디컴파일(decompile)한 후, 권한이 수행되기 위한 API가 실제로 호출되도록 작성된 것을 확인하는 경우 해당 URL을 악성 URL로 판단할 수 있다.In addition, the malicious
또한, 악성 URL 검사장치(130)는 위와 같은 권한/API 검사와 더불어 추가적으로 보다 확실한 악성 여부 검사 방법으로써 해당 애플리케이션을 애뮬레이터(emulator)상에서 실제 실행시켜 분석하는 동적 분석을 수행하여 악성 여부를 검사할 수 있으며, 애뮬레이터상에서 실제 실행된 애플리케이션의 행위 분석 결과 악성 행위를 수행하는 것으로 검사되는 경우 해당 URL을 악성 URL로 판단할 수 있다.In addition to the above-mentioned privilege / API inspection, the malicious
이어, 악성 URL 검사장치(130)는 위와 같이 설명된 방법을 통해 사용자 단말(150)로 전송 요청된 메시지내 포함된 URL이 악성 URL로 판단된 경우, 해당 메시지가 비정상 메시지임을 메시지 전송서버(110)로 통보하여, 비정상 메시지가 사용자 단말(150)로 전송되는 것이 차단되도록 하거나, 메시지가 전송되는 경우에는 해당 메시지가 악성 URL을 포함하고 있는 위험성 있는 메시지임을 알리는 경고정보가 표시되도록 함으로써 비정상 메시지에 의한 피해가 방지될 수 있도록 한다.If the URL included in the message requested to be transmitted to the
또한, 악성 URL 검사장치(130)는 위와 같은 악성 애플리케이션을 다운로드하도록 유도하는 악성 URL이 SMS, MMS 등의 메시지 외에 통신망상 다른 경로를 통해 사용자 단말(150)로 전송되는 경우를 대비하여 악성 URL로 판단된 URL 정보를 통신망상 유해사이트 차단 및 안내 시스템(140)에 제공하고, 이를 주기적으로 업데이트할 수 있다.In addition, the malicious
유해사이트 차단 및 안내 시스템(140)은 사용자 단말(150)에 피해를 줄 수 있는 악성 애플리케이션을 배포하는 등의 유해한 사이트에 대한 정보를 구비하여 사용자 단말(150)이 해당 유해 사이트로 접속하려고 하는 경우 이를 차단시키고 위험성에 대한 안내페이지를 제공할 수 있는 시스템이다. The harmful site blocking and
따라서, 악성 URL 검사장치(130)에서 이러한 유해사이트 차단 및 안내 시스템(140)에 악성 URL에 대한 정보를 제공하고, 주기적으로 업데이트시킴에 따라 악성 URL이 SMS, MMS 등의 메시지 외에 통신망상 다른 경로(예를 들면, 문자 메시징 애플리케이션 등)를 통해 사용자 단말(150)로 전송되어, 악성 URL이 포함된 메시지를 사전에 차단시키거나 경고하지 못한 경우라도, 악성 URL 정보를 가지고 있는 유해사이트 차단 및 안내 시스템(140)에 의해 사용자 단말(150)이 해당 악성 URL로 접속하는 것을 차단시킬 수 있게 된다.Accordingly, the malicious
이때, 유해사이트 차단 및 안내 시스템(140)은 악성 URL 검사장치(130)에서 제공된 악성 URL 정보를 이용하여 사용자 단말(150)의 해당 URL로의 접속을 차단시키는 경우에는 도 4에서 보여지는 바와 같은 차단 안내 메시지를 사용자 단말(150)로 전송하여 사용자가 인지할 수 있도록 할 수도 있다.At this time, the harmful site blocking and
한편, 위 설명한 악성 URL 검사장치(130)의 설명에서는 악성 URL 검사장치(130)가 메시지 전송서버(110)에서 직접적으로 메시지를 제공받아 해당 메시지로부터 URL을 추출한 후, 추출된 URL에 대해 악성 URL인지 정상 URL인지 여부를 판단하는 것을 설명하였으나 스팸필터링 서버(120)와의 연동을 통해 위와 같은 동작을 수행하는 것도 가능하다.In the above description of the malicious
이하에서는 스팸필터링 서버(120)와 악성 URL 검사장치(130)가 연동하여 URL이 포함된 메시지에 대해 비정상 메시지 여부를 판단하는 동작을 상세히 설명하기로 한다.Hereinafter, an operation of determining whether an abnormal message is included in a message including a URL by interlocking with the
먼저, 스팸필터링 서버(120)는 메시지 전송서버(130)를 통해 사용자 단말(150)로 전송되는 다양한 형태의 메시지에 대해 기 저장된 필터링 패턴(filtering pattern)과 비교하여 스팸성 메시지인지 여부를 검사하는 서버를 말한다.First, the
따라서, 본 발명의 실시예에서는 스팸필터링 서버(120)에서 위와 같은 스팸 메시지 필터링 기능과 함께 URL이 포함된 메시지에 대해 해당 메시지로부터 URL을 추출하도록 하고, 악성 URL 검사장치(130)로 해당 URL이 악성 URL인지 여부를 요청하도록 구현할 수 있다. 또한, 악성 URL 검사장치(130)로부터 해당 URL이 악성 URL로 통보되는 경우 악성 URL을 포함하고 있는 메시지에 대해서는 메시지 전송서버(110)로 메시지가 비정상 메시지임을 통보하도록 하여 해당 메시지가 사용자 단말(150)로 전송되지 않도록 구현할 수 있다.Accordingly, in the embodiment of the present invention, the
그러면, 악성 URL 검사장치(130)는 스팸필터링 서버(120)로부터 URL의 악성 여부 판단을 요청 받는 경우에는 앞서 설명한 방식과 동일하게 해당 URL이 악성 URL인지 정상 URL인지 여부를 판단하고, 결과를 스팸필터링 서버(120)로 제공하게 된다.If the malicious
또한, 스팸필터링 서버(120)는 악성 URL 검사장치(130)로부터 악성 URL로 판단된 URL에 대해서는 해당 URL의 리스트 정보를 필터링 패턴으로 구비하여 새로이 수신된 메시지내 포함된 URL의 악성 여부 판단 시, 악성 URL 검사장치(130)로 판단을 요청하기 전에 악성 URL 리스트와 비교하여 악성 여부를 판단할 수도 있다. 이때, 이러한 악성 URL 리스트는 악성 URL 검사장치(130)와 연동하여 주기적으로 업데이트될 수 있다.In addition, the
도 2는 본 발명의 실시예에 따른 악성 URL 검사장치의 상세 블록 구성을 도시한 것으로, 통신부(200), URL 추출부(202), 사전 필터링부(204), 백신부(206), 권한/API 검증부(208), 동적 분석부(212), 가공부(214), 메모리부(216), 데이터 베이스(data base)(218), 제어부(220) 등을 포함할 수 있다.FIG. 2 is a detailed block diagram of a malicious URL checking apparatus according to an embodiment of the present invention. The malicious URL checking apparatus includes a
이하, 도 2를 참조하여 본 발명의 악성 URL 검사장치(104)의 각 구성요소에서의 동작을 상세히 설명하기로 한다.Hereinafter, the operation of each component of the malicious URL checking apparatus 104 of the present invention will be described in detail with reference to FIG.
먼저, 통신부(200)는 SMSC(108), MMSC(110) 또는 패킷기반 메시지 서버 등의 메시지 전송 서버(110)와의 데이터 송수신을 수행하고, 인터넷 등의 통신망과 연결되어 통신망상 웹서버(web server), 유해사이트 차단 및 안내 시스템(140) 등과의 데이터 송수신을 수행한다.First, the
URL 추출부(202)는 사용자 단말(150)로 전송이 요청되는 메시지가 메시지 전송 서버(110)로 수신되는 경우, 메시지내 URL이 포함되어 있는지 검사하고, URL이 포함된 경우 해당 URL을 추출한다.When a message to be transmitted to the
사전 필터링부(204)는 URL 추출부(202)로부터 추출된 URL에 대해 악성 URL 리스트와의 비교를 통한 사전 필터링을 수행하여 메시지로부터 추출된 URL이 악성 URL인지 여부를 판단하고, 악성 URL로 판단하는 경우 이와 같은 판단 정보를 제어부(220)에 제공한다. 이에 따라 제어부(220)는 악성 URL 판단 정보를 메시지 전송 서버(110)로 제공하여 해당 메시지가 사용자 단말(150)로 전송되지 않도록 한다. 이때, 이러한 악성 URL 리스트는 악성 URL 검사장치(130)에서 이전에 검사가 진행되어 악성 URL로 판단된 URL들의 리스트 정보를 말하는 것으로, 데이터 베이스(218)에 저장될 수 있으며, 악성 URL 검사 과정에서 악성 URL로 판단된 URL 정보가 주기적으로 업데이트될 수 있다.The
백신 엔지부(206)는 URL의 접속을 통해 다운로드된 애플리케이션에 대해 미리 구비하고 있는 백신 엔진을 이용하여 악성 애플리케이션인지 여부를 검사하고, 검사결과를 제어부(220)에 제공한다. 위와 같은 백신 엔진은 예를 들어 백신을 개발하는 회사로부터 제공된 상용 백신 엔진일 수 있다.The
권한/API 검증부(208)는 애플리케이션의 실행 파일을 분석하여 애플리케이션이 가지고 있는 권한 정보를 검사하여 보안상 위험한 권한이 설정되어 있는 경우, 악성 URL로 판단하고 이와 같은 판단 결과를 제어부(220)에 제공한다. 이러한 권한 정보는 애플리케이션이 사용자 단말(150) 등에 설치될 때 사용자 단말(150)에서 수행할 수 있는 권한에 대한 정보를 기록한 것으로, 악성 애플리케이션인 경우 예를 들어 "메시지 읽기", "통화내용 가로채기" 등의 사용자의 개인 정보를 유출할 수 있는 보안상 위험한 권한이 설정되어 있을 수 있다. The privilege /
또한, 권한/API 검증부(208)는 위와 같은 권한 검사와 더불어 애플리케이션의 실행파일을 디컴파일하여 분석한 후, 보안상 위험한 권한이 수행되기 위한 API가 실제로 호출되도록 실행파일이 작성되어 있는지 여부를 검사하여 악성 URL 여부를 판단할 수도 있다. 즉, 예를 들어 권한/API 검증부(208)는 API가 실제로 호출되도록 실행파일이 작성된 경우는 악성 URL로 판단할 수 있고, 아닌 경우는 정상 URL로 판단할 수도 있다.In addition, the authority /
동적 분석부(212)는 애플리케이션을 애뮬레이터(emulator)상에서 실제 실행시켜 분석하는 동적 분석을 수행하여 악성 여부를 검사할 수 있다. 즉, 동적 분석부(212)는 애플리케이션을 애뮬레이터상에서 실제 실행시키고, 실행된 애플리케이션의 행위를 분석하여 악성 행위를 수행하는 것으로 검사되는 경우, 악성 URL로 판단하고, 이와 같은 판단 결과를 제어부(220)에 제공한다.The
가공부(214)는 위와 같이 URL 분석을 통해 메시지내 포함된 URL이 악성 URL로 확인되는 경우, 악성 URL임을 알리는 URL 검증 정보를 생성하고, 이와 같이 생성한 URL 검증정보가 메시지내 포함되도록 가공한다. 이때, 가공부(214)는 URL 검증 정보를 메시지에 포함시킴에 있어서, 예를 들어 메시지의 헤더(header)나 데이터 영역(data area)의 일정 영역에 부가할 수 있다. 이와 같은 경우 이동통신 단말기 등의 사용자 단말(150)에서는 메시지상 미리 약속된 영역에서 URL 검증 정보를 읽어 들여 URL의 악성 여부를 확인하고, URL의 악성 여부를 메시지와 함께 표시시켜 사용자가 URL의 위험성을 사전에 인지할 수 있도록 한다.When the URL included in the message is identified as a malicious URL through the URL analysis as described above, the
메모리부(216)는 악성 URL 검사장치(130)의 전반적인 동작을 위한 동작 제어 프로그램을 저장하고 있으며, 제어부(220)는 메모리부(216)에 저장된 동작 제어 프로그램에 따라 악성 URL 검사장치(130)의 전반적인 동작을 제어한다.The
이하, 동작을 보다 상세히 살펴보면, 먼저 제어부(220)는 URL에 대해 사전 필터링부(204)를 통해 악성 URL 리스트와의 비교를 통한 사전 필터링을 수행하여 악성 URL인지 여부를 판단하고, 악성 URL로 판단하는 경우 이와 같은 판단 정보를 메시지 전송 서버(110)로 제공하여 해당 메시지가 사용자 단말(150)로 전송되지 않도록 한다. 이때, 위와 같은 악성 URL 리스트는 악성 URL 검사장치(130)에서 이전에 검사가 진행되어 악성 URL로 판단된 URL들의 리스트 정보를 말할 수 있으며, 검사 과정에서 악성 URL로 판단된 URL 정보가 주기적으로 업데이트될 수 있다.Hereinafter, the operation will be described in more detail. First, the
다음으로, 제어부(220)는 위와 같은 사전 필터링을 통해 악성 URL인지 여부가 정확히 판단되지 않는 URL에 대해서는 백신 엔진부(206)를 통한 백신 검사, 권한/API 검증부(208)를 통한 권한/API 검사, 동적 분석부(212)를 통한 동적 분석 등을 통해 악성 URL인지 여부를 판단하게 된다.Next, the
이때, 위와 같은 백신 검사, 권한/API 검사, 동적 분석 등을 통한 악성 URL 여부 판단 방법에 있어서, 제어부(220)는 먼저 통신망을 통해 해당 URL로 접속하고, 해당 URL로의 접속에 따라 다운로드되는 애플리케이션의 악성 여부 검사를 통해 URL의 악성 여부를 판단할 수 있다.At this time, in the malicious URL determination method through the above vaccine inspection, authority / API inspection, dynamic analysis, etc., the
먼저, 제어부(220)는 애플리케이션에 대해 이전에 검사된 애플리케이션의 시그니처 정보와 비교를 수행하고, 비교결과 해당 애플리케이션이 악성 애플리케이션으로 검사된 경우 해당 URL을 악성 URL로 판단하며, 정상 애플리케이션으로 검사된 경우 해당 URL을 정상 URL로 판단할 수 있다. 이때, 위와 같은 시그니처 정보는 예를 들어 SHA-256, MD5 등의 해쉬코드 정보일 수 있다.First, the
다음으로, 제어부(220)는 다운로드된 애플리케이션이 이전에 검사된 적이 없는 애플리케이션인 경우, 백신 엔진부(206)를 제어하여 백신 엔진부(206)에 구비된 백신 엔진에 의해 악성 애플리케이션인지 여부가 검사되도록 한 후, 악성 애플리케이션으로 검사되는 경우 해당 URL을 악성 URL로 판단할 수 있다. Next, when the downloaded application is an application that has not been previously checked, the
그러나, 위와 같은 백신 엔진을 이용한 애플리케이션의 악성 여부 검사는 백신 엔진에 포함되지 않는 변종 패턴을 가지는 애플리케이션에 대해서는 정확한 검사가 이루어지지 않을 수도 있다. 따라서, 제어부(220)는 백신엔진을 통해 악성 애플리케이션으로 판단되지 않은 애플리케이션에 대해서는 보다 정확한 판단을 위해 권한/API 검증부(208)를 통한 권한/API 검사, 동적 분석부(212)를 통한 동적 분석 등이 추가로 수행되도록 제어한다.However, an application maliciousness check using the above-mentioned vaccine engine may not be accurately inspected for an application having a variant pattern not included in the vaccine engine. Accordingly, the
즉, 제어부(220)는 권한/API 검증부(208)를 통한 권한 검사 결과 애플리케이션에 사용자의 개인 정보를 유출할 수 있는 보안상 위험한 권한이 설정되어 있는 것으로 검사되어 악성 URL로 판단되는 경우 해당 URL을 악성 URL로 판단할 수 있다. 이때, 권한/API 검증부(208)에서 악성 URL로 판단할 수 있는 권한은 정책에 따라 변경 설정될 수 있다. 또한, 권한/API 검증부(208)는 악성 URL로 판단될 수 있는 보안상 위험한 권한을 가지고 있는 애플리케이션에 대해서는 추가적으로 디컴파일 분석을 통해 해당 권한이 수행되기 위한 API가 실제로 호출되는지를 확인하여 악성 URL로 판단할 수 있다. 이와 같은 API 검사를 통한 악성 URL 판단정보 또한 제어부(220)로 제공될 수 있다.That is, when the
또한, 제어부(220)는 위와 같은 권한/API 검사와 더불어 추가적으로 보다 확실한 악성 여부 검사 방법으로써 동적 분석부(212)를 통해 해당 애플리케이션이 애뮬레이터상에서 실제 실행되도록 한 후, 애뮬레이터상에서 실제 실행된 애플리케이션이 악성 행위를 수행하는 것으로 검사되는 경우 해당 URL을 악성 URL로 판단할 수 있다.In addition to the above-mentioned rights / API checks, the
이어, 제어부(220)는 위와 같이 설명된 방법을 통해 사용자 단말(150)로 전송 요청된 메시지내 포함된 URL이 악성 URL로 판단된 경우, 해당 메시지가 비정상 메시지임을 메시지 전송서버(110)로 통보하여, 비정상 메시지가 사용자 단말(150)로 전송되지 않도록 하거나, 메시지가 전송되는 경우에는 해당 메시지가 위험성 있는 악성 URL을 포함하고 있는 메시지임을 알리는 검증정보가 전송되도록 함으로써 비정상 메시지에 의한 피해가 방지될 수 있도록 한다.When the URL included in the message requested to be transmitted to the
또한, 제어부(220)는 위와 같은 악성 애플리케이션을 다운로드하도록 유도하는 악성 URL이 SMS, MMS 등의 메시지 외에 통신망상 다른 경로를 통해 사용자 단말(150)로 전송되는 경우를 대비하여 악성 URL로 판단된 URL 정보를 통신부(200)를 통해 통신망상 유해사이트 차단 및 안내 시스템(140)에 제공하고, 이를 주기적으로 업데이트할 수 있다.Also, in case that a malicious URL that induces the malicious application to download is sent to the
한편, 본 발명의 다른 실시예로써, 메시지내 포함된 URL 정보가 스팸필터링 서버(120)를 통해 추출되어 인가되도록 구성되는 경우, 제어부(220)는 앞서 설명한 방식과 동일하게 해당 URL이 악성 URL인지 정상 URL인지 여부를 판단하고, URL의 악성 여부 판단 결과만을 스팸필터링 서버(120)로 제공하도록 할 수도 있다.In another embodiment of the present invention, when the URL information included in the message is extracted and applied through the
이러한 경우에는, 스팸필터링 서버(120)가 악성 URL에 대한 검사결과를 수신하고, 악성 URL인 경우 메시지 전송서버(110)로 메시지가 비정상 메시지임을 통보하여, 비정상 메시지가 사용자 단말(150)로 전송되지 않도록 할 수 있다.In this case, the
도 3은 본 발명의 실시예에 따른 사용자 단말(150) 중 이동통신 단말기의 상세 블록 구성을 도시한 것이다. 이하, 도 3을 참조하여 이동통신 단말기 각 블록에서의 동작을 상세히 설명하기로 한다.FIG. 3 illustrates a detailed block configuration of a mobile communication terminal in a
먼저, 키입력부(300)는 이동통신 단말기의 다양한 동작 요청을 위한 다수의 숫자키 및 기능키로 구성될 수 있으며, 사용자가 소정의 키를 누를 때 해당하는 키데이터를 발생하여 제어부(306)로 출력한다. 위와 같은 키입력부(300)는 제조사별, 국가별로 문자 배열의 차이가 있다. 또한, 키입력부(300)는 스마트폰(smart phone), 테블릿 PC 등에서는 물리적인 키패드(keypad) 대신, 소프트웨어 방식으로 필요 시마다 표시부(304)상에 터치 스크린(touch screen) 형식으로 표시될 수도 있다.First, the
오디오부(310)는 제어부(306)의 제어를 받아 마이크(MIC)를 통해 입력되는 음성신호를 무선신호로 변조하고, 수신되는 무선신호를 복조하여 스피커(SPK)에 음성신호로서 송출한다. 또한, 오디오부(310)는 음성통화 시 제어부(306)에 의해 설정되는 다양한 음성품질로 음성신호를 처리하는 코덱부(codec)를 더 포함할 수 있다.The
통신부(308)는 통신망을 통해 메시지 제공자(100)로부터 발송된 메시지를 수신한다. 이때, 위와 같은 메시지는 메시지 제공자(100)인 금융업체, 제조업체, 오픈 마켓 등의 기업의 요청에 의해 생성된 메시지 등이 될 수 있으며, 기업과 관련된 공지, 홍보, 광고 등의 내용을 포함한 메시지가 될 수 있다.The
표시부(304)는 제어부(306)의 제어에 따라 이동통신 단말기의 각종 정보를 표시하며, 키입력부(300)에서 발생되는 키데이터 및 제어부(306)의 각종 정보신호를 입력받아 디스플레이한다. 또한, 본 발명의 실시예에 따라 메시지내 포함된 URL의 위험성을 알리는 정보를 기설정된 마크(mark)나 그림 또는 문자 등으로 표시시킨다.The
URL 검증부(312)는 통신부(308)로부터 수신된 SMS, MMS 메시지 또는 패킷기반 메시지 등의 메시지에 대해 메시지내 포함된 URL에 대한 URL 검증 정보가 존재하는지 여부를 검사하고, URL 검증 정보가 존재하는 경우 해당 URL 검증 정보를 추출하여 제어부(306)로 제공한다.The
제어부(306)는 메모리부(302)에 저장된 동작 프로그램에 따라 이동통신 단말기의 전반적인 동작을 제어한다. 위와 같은 동작 프로그램은 이동통신 단말기의 동작에 필요한 기본적인 운영 시스템(operating system) 뿐만 아니라, 표시부(304)와 키입력부(300)를 연결하고, 데이터의 입/출력을 관리하거나, 이동통신 단말기의 내부 애플리케이션(application) 등을 동작시키도록 제조 시 미리 프로그램밍(programing)되는 소프트웨어(software)를 통칭한다.The
또한, 본 발명의 실시예에 따라 다양한 SMS, MMS 메시지 또는 패킷기반 메시지 등의 메시지가 수신되는 경우 URL 검증부(312)를 제어하여 URL이 포함된 메시지에 대해서는 URL 검증 정보를 추출하여 메시지내 포함된 URL에 대한 위험성을 메시지의 수신 화면상에 표시시킨다.In addition, according to the embodiment of the present invention, when a message such as various SMS, MMS message, or packet based message is received, the
이때, 제어부(306)는 예를 들어 URL 검증 정보를 이용하여 수신된 메시지내 포함된 URL가 악성 URL인 것을 확인하는 경우, 수신된 메시지가 비정상 메시지임을 알리는 정보를 화면상 문자 또는 그림으로 표시시키거나 소리로 출력시켜 사용자가 메시지의 위험성을 인지하도록 할 수 있다. At this time, when the
도 5는 본 발명의 실시예에 따른 악성 URL 검사장치(130)에서 사용자 단말(150)로 전송되는 메시지의 비정상 여부를 검사하는 동작 제어 흐름을 도시한 것이다. 이하, 도 1 내지 도 5를 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.FIG. 5 illustrates an operation control flow for checking whether a message transmitted from the malicious
먼저, 악성 URL 검사장치(130)는 예를 들어 도 1에서 보여지는 바와 같이 SMSC(112), MMSC(114) 등의 메시지 전송서버(110)와 연결되어 SMSC(112) 등으로 메시지가 수신되는 경우, 메시지의 비정상 여부 검사를 위해 SMSC(112)로부터 해당 메시지를 전달받는다(S500).First, the malicious
이어, 악성 URL 검사장치(130)는 전달받은 메시지로부터 메시지내 포함된 URL을 추출하고(S502), 사전 필터링을 통해 추출된 URL이 악성 URL인지 여부를 검사한다(S504).Then, the malicious
이때, 악성 URL 검사장치(130)는 사전 필터링을 수행함에 있어서, 메시지로부터 추출된 URL을 악성 URL 리스트(list)와의 비교하여(S506), 추출된 URL이 악성 URL 리스트에 존재하는 경우 악성 URL로 판단하고(S526), 악성 URL로 판단하는 경우 이와 같은 판단 정보를 메시지 전송 서버(110)로 제공하여 해당 메시지가 사용자 단말(150)로 전송되지 않도록 하거나, URL의 위험성이 경고되도록 한다. 이때, 위와 같은 악성 URL 리스트는 악성 URL 검사장치(130)에서 이전에 검사가 진행되어 악성 URL로 판단된 URL들의 리스트 정보를 말하는 것으로, 이러한 악성 URL 리스트는 악성 URL 검사장치(130)에 구비될 수 있으며, 악성 URL 검사 과정에서 악성 URL로 판단된 URL 정보가 주기적으로 업데이트(update)될 수 있다.At this time, the malicious
그러나, 사전 필터링을 통해 악성 URL 여부가 판단되지 않는 경우, 악성 URL 검사장치(130)는 해당 URL에 대해서는 백신 검사, 권한/API 검사, 동적 분석 등을 통해 악성 URL인지 여부를 판단하게 된다.However, if the malicious URL is not determined through the prefiltering, the malicious
즉, 먼저 악성 URL 검사장치(130)는 사전 필터링을 통해 악성 URL인지 여부가 정확히 판단되지 않는 URL에 대해서는 유무선 통신망을 통해 해당 URL 주소로 링크되는 웹서버(도시하지 않음) 등에 접속하고, 해당 URL로의 접속에 따라 특정 애플리케이션이 다운로드되는 경우 해당 애플리케이션(application)을 다운로드받는다(S508).That is, first, the malicious
이어, 악성 URL 검사장치(130)는 다운로드된 애플리케이션에 대해 이전에 검사된 애플리케이션의 시그니처(signiture) 정보와 비교하여 동일한 애플리케이션인지 여부를 검사함으로써 해당 애플리케이션의 악성 여부를 검사할 수 있다(S510). 이때, 악성 URL 검사장치(130)는 위와 같은 시그니처 정보와의 비교를 통해 애플리케이션이 악성 애플리케이션으로 검사된 경우 해당 URL을 악성 URL로 판단하고, 정상 애플리케이션으로 검사된 경우 해당 URL을 정상 URL로 판단할 수 있다. 또한 이때, 위와 같은 시그니처 정보는 예를 들어 SHA-256, MD5 등의 해쉬코드 정보일 수 있다.Next, the malicious
다음으로, 악성 URL 검사장치(130)는 다운로드된 애플리케이션이 이전에 검사된 적이 없는 애플리케이션인 경우, 미리 구비하고 있는 백신 엔진을 이용하여 악성 애플리케이션인지 여부를 검사한다(S512). 위와 같은 백신 엔진은 예를 들어 백신을 개발하는 회사로부터 제공된 상용 백신 엔진일 수 있으며, 악성 URL 검사장치(130)는 다운로드된 애플리케이션이 악성 애플리케이션으로 검사된 경우(S514) 해당 URL을 악성 URL로 판단할 수 있다(S526). Next, in a case where the downloaded application is an application that has not been previously inspected, the malicious
그러나, 위와 같은 백신 엔진을 이용한 애플리케이션의 악성 여부 검사는 백신 엔진에 포함되지 않는 변종 패턴을 가지는 애플리케이션에 대해서는 정확한 검사가 이루어지지 않을 수도 있다. 따라서, 백신엔진을 통해 악성 애플리케이션으로 판단되지 않은 애플리케이션에 대해서 악성 URL 검사장치(130)는 다시 권한/API 검사, 동적 분석 등을 추가로 수행하게 된다.However, an application maliciousness check using the above-mentioned vaccine engine may not be accurately inspected for an application having a variant pattern not included in the vaccine engine. Accordingly, the malicious
즉, 악성 URL 검사장치(130)는 백신엔진을 통해 악성 애플리케이션 여부가 검사되지 않은 경우(S514), 해당 애플리케이션의 실행 파일을 분석하여 애플리케이션이 가지고 있는 권한 정보를 검사한다(S514). That is, if the malicious
이러한 권한 정보는 애플리케이션이 사용자 단말(150) 등에 설치될 때 사용자 단말(150)에서 수행할 수 있는 권한에 대한 정보를 기록한 것으로, 악성 애플리케이션인 경우 예를 들어 "메시지 읽기", "통화내용 가로채기" 등의 사용자의 개인 정보를 유출할 수 있는 보안상 위험한 권한이 설정되어 있을 수 있다. This permission information records information on rights that can be performed by the
또한, 악성 URL 검사장치(130)는 권한 검사를 통해 다운로드된 애플리케이션에 보안상 위험한 권한이 있는 것으로 검사되는 경우, 보안상 위험한 권한을 가지고 있는 애플리케이션에 대해서는 다시 추가적으로 API 검사를 수행할 수 있다(S518). 이러한, API 검사 수행에 있어서 악성 URL 검사장치(130)는 해당 애플리케이션의 실행파일을 디컴파일(decompile)한 후, 권한이 수행되기 위한 API가 실제로 호출되도록 실행파일이 작성되어 있는지를 검사한다.In addition, if the malicious
이어, 악성 URL 검사장치(130)는 애플리케이션에 대한 권한 검사와 API 검사결과를 바탕으로 검사 요청된 URL이 악성 URL인지 여부를 검사하게 되며(S524), 권한 검사와 API 검사 결과 애플리케이션에 보안상 위험한 권한이 설정되어 있거나 또는 애플리케이션의 실행파일이 보안상 위험한 권한이 수행되기 위한 API가 실제로 호출되도록 작성된 경우 해당 URL을 악성 URL로 판단할 수 있다(S526). Then, the malicious
이와 달리, 권한 검사와 API 검사결과 애플리케이션에 보안상 위험한 권한이 설정되어 있지 않거나, 애플리케이션의 실행파일이 보안상 위험한 권한이 수행되기 위한 API가 실제로 호출되도록 작성되어 있지 않은 경우 악성 URL 검사장치(130)는 해당 URL을 정상 URL로 판단할 수 있다(S528).On the other hand, if the privilege checking and the API check result show that the security risk is not set in the application, or if the application executable file is not prepared to actually call the API for performing the security privilege, the malicious URL checking device 130 ) Can determine the URL as a normal URL (S528).
한편, 악성 URL 검사장치(130)는 백신엔진을 통해 악성 애플리케이션 여부가 검사되지 않은 애플리케이션에 대해 위와 같은 권한/API 검사와 더불어 추가적으로 보다 확실한 악성 여부 검사 방법으로써 해당 애플리케이션을 애뮬레이터(emulator)상에서 실제 실행시켜 분석하는 동적 분석을 수행하여 악성 여부를 검사할 수도 있다.On the other hand, the malicious
즉, 악성 URL검사장치(130)는 백신엔진을 통해 악성 애플리케이션 여부가 검사되지 않은 경우(S514), 애뮬레이터 상에서 해당 애플리케이션을 실제로 실행시키고(S520), 실제 실행된 애플리케이션의 행위를 분석한다(S522).That is, if the malicious
이어, 악성 URL 검사장치(130)는 애플리케이션에 대한 동적 분석 결과를 바탕으로 검사 요청된 URL이 악성 URL인지 여부를 검사하게 되며(S524), 애뮬레이터상 실제로 실행된 애플리케이션의 행위 분석 결과 악성 행위를 수행하는 것으로 검사되는 경우 해당 URL을 악성 URL로 판단할 수 있다(S526).Then, the malicious
이와 달리, 동적 분석 결과 애뮬레이터상 실제 실행된 애플리케이션이 악성 행위를 수행하고 있지 않은 것으로 검사되는 경우 악성 URL 검사장치(130)는 해당 URL을 정상 URL로 판단할 수 있다(S528).Otherwise, if the dynamic analysis result indicates that the application actually executed on the emulator is not performing the malicious action, the malicious
상기한 바와 같이, 본 발명에 따르면, 악성 URL을 검사하는 방법에 있어서, 다수의 기업 혹은 불특정 개인 등의 메시지 제공자로부터 해당 기업의 공지, 홍보, 광고 등을 위해서나 개인정보 유출 등의 목적으로 사용자 단말로 발송되는 다양한 메시지 중 URL이 포함된 메시지에 대해서는 URL이 악성 애플리케이션의 설치를 유도하는 악성 URL인지 여부를 검사하고, 악성 URL인 경우 해당 URL이 포함된 메시지를 비정상 메시지로 판단하여 사용자 단말로 전송되지 않도록 차단시키거나, URL의 위험성을 경고함으로써 악성 URL로 인한 피해가 방지되도록 한다. 또한, 악성 URL을 포함한 메시지에 대해 사용자 단말로 전송되기 전 메시지 전송서버에서 미리 필터링을 통해 차단시킴으로써 메시지를 통해 전파되는 악성 애플리케이션에 대한 원천적이고 선제적으로 차단할 수 있도록 한다. 또한, 악성 URL을 통해 다운로드되는 애플리케이션에 대한 악성 여부를 통신사 자체적으로 검사할 수 있는 모델을 제시함으로써 백신 엔진을 제공하는 백신 제공 회사에 비하여 악성 애플리케이션 샘플 수집에 더 유리하게 되어, 악성 애플리케이션 대응에 있어서 통신사의 독자적인 사업 모델을 창출할 수 있도록 한다.As described above, according to the present invention, in a malicious URL inspection method, a malicious URL is scanned from a message provider of a plurality of companies or an unspecified individual for the purpose of notifying, publicizing, advertising, Of the various messages sent to the user terminal, it is checked whether or not the URL is a malicious URL inducing installation of a malicious application. If the URL is a malicious URL, the message containing the URL is determined to be an abnormal message and transmitted to the user terminal , Or to warn of the danger of URLs to prevent damage from malicious URLs. In addition, the message transmission server blocks the malicious URL including the malicious URL by filtering before transmitting the malicious URL to the user terminal, so that the malicious application propagated through the message can be blocked in a source and preemptive manner. In addition, by providing a model in which a communication company itself can check maliciousness of an application downloaded through a malicious URL, it becomes more advantageous in collecting malicious application samples than a vaccine providing company that provides a vaccine engine, And to create a unique business model for telcos.
한편 상술한 본 발명의 설명에서는 구체적인 실시예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Accordingly, the scope of the invention should not be limited by the described embodiments but should be defined by the appended claims.
100 : 메시지 제공자 102 : 메시지 중계자
110 : 메시지 전송서버 120 : 스팸필터링 서버
130 : 악성 URL 검사장치 140 : 유해사이트 차단 및 안내시스템
150 : 사용자 단말 200 : 통신부
202 : URL 추출부 204 : 사전 필터링부
206 : 백신 엔진부 208 : 권한/API 검증부
212 : 동적 분석부 214 : 가공부
216 : 메모리부 218 : 데이터베이스
220 : 제어부100: message provider 102: message relay
110: message transmission server 120: spam filtering server
130: malicious URL checking device 140: harmful site blocking and guidance system
150: user terminal 200:
202 URL extracting unit 204:
206: Vaccine engine unit 208: Authority / API verification unit
212: dynamic analysis unit 214:
216: memory unit 218: database
220:
Claims (17)
상기 URL을 통해 애플리케이션을 다운로드 받는 통신부와,
상기 통신부를 통해 다운로드된 상기 애플리케이션내에 보안상 위험성을 가지는 권한 또는 API가 포함되어 있는지 여부를 검사하여 상기 URL의 악성여부를 판단하는 권한/API 검증부
를 포함하는 악성 URL 검사장치.
A URL extracting unit for checking whether a URL (uniform resource locator) is included in the message and extracting the URL when the message is received;
A communication unit for downloading an application through the URL,
An authority / API verification unit for checking whether the URL is malicious by checking whether the application downloaded through the communication unit includes authority or API having a security risk,
A malicious URL inspection device.
상기 악성 URL 검사장치는,
상기 악성으로 판단된 URL 리스트 정보를 필터링 정보로 저장하고, 상기 통신부에서 상기 애플리케이션을 다운로드 받기 전에 상기 추출된 URL이 상기 필터링 정보에 존재하는지 여부를 검사하여 상기 추출된 URL이 상기 필터링 정보에 존재하는 경우 상기 URL을 차단하는 사전 필터링부
를 더 포함하는 것을 특징으로 하는 악성 URL 검사장치.
The method according to claim 1,
The malicious URL checking apparatus comprises:
Storing the URL list information judged to be malicious as filtering information, checking whether the extracted URL exists in the filtering information before downloading the application from the communication unit, and if the extracted URL exists in the filtering information A pre-filtering unit for blocking the URL
The malicious URL inspection apparatus further comprising:
상기 사전 필터링부는,
상기 권한/API 검증부에서 악성으로 판단된 URL을 상기 필터링 정보에 업데이트하는 것을 특징으로 하는 악성 URL 검사장치.
3. The method of claim 2,
The pre-
Wherein the malicious URL checking unit updates the URL determined to be malicious in the authorization / API verification unit to the filtering information.
상기 악성 URL 검사장치는, 악성 애플리케이션을 유포하는 사이트를 포함하여 유해 사이트로 판단된 URL에 사용자 단말이 접속하는 경우 상기 접속을 차단하는 유해 사이트 차단시스템으로 상기 악성으로 판단된 URL을 제공하는 것을 특징으로 하는 악성 URL 검사장치.
The method of claim 3,
The malicious URL checking device provides the URL determined to be malicious to the malicious site blocking system that blocks the connection when the user terminal accesses a URL determined as a malicious site including a site distributing a malicious application Malicious URL checking device.
상기 악성 URL 검사장치는,
상기 URL이 악성으로 판단되는 경우, 상기 URL이 악성임을 표시하는 URL 검증 정보를 생성하고, 상기 URL 검증 정보가 상기 메시지에 포함되도록 가공하는 가공부
를 더 포함하는 것을 특징으로 하는 악성 URL 검사장치.
The method according to claim 1,
The malicious URL checking apparatus comprises:
Generating a URL verification information indicating that the URL is malicious when the URL is determined to be malicious and processing the URL verification information to be included in the message,
The malicious URL inspection apparatus further comprising:
상기 가공부는,
상기 URL 검증 정보를 상기 메시지의 헤더 또는 데이터 영역에 포함시키는 것을 특징으로 하는 악성 URL 검사장치.
6. The method of claim 5,
Wherein,
And the URL verification information is included in a header or a data area of the message.
상기 악성 URL 검사장치는,
상기 통신부를 통해 다운로드된 상기 애플리케이션을 애뮬레이터 상에서 실행시킨 후, 상기 실행 결과를 분석하여 악성 여부를 판단하는 동적 분석부
를 더 포함하는 것을 특징으로 하는 악성 URL 검사장치.
The method according to claim 1,
The malicious URL checking apparatus comprises:
A dynamic analysis unit for executing the application downloaded through the communication unit on the emulator and analyzing the execution result to determine whether the application is malicious;
The malicious URL inspection apparatus further comprising:
상기 악성 URL 검사장치는,
상기 통신부를 통해 다운로드된 상기 애플리케이션에 대해 악성애플리케이션탐지용 백신엔진을 이용하여 상기 애플리케이션이 악성인지 여부를 검사하는 백신 엔진부
를 더 포함하는 것을 특징으로 하는 악성 URL 검사장치.
The method according to claim 1,
The malicious URL checking apparatus comprises:
A vaccine engine unit for checking whether the application is malicious or not using the vaccine engine for detecting a malicious application for the application downloaded through the communication unit;
The malicious URL inspection apparatus further comprising:
상기 권한/API 검증부는,
상기 통신부를 통해 다운로드된 상기 애플리케이션의 실행파일을 분석하여 상기 애플리케이션에 부여된 권한 정보 중 보안상 위험성을 가지는 권한이 존재하는지를 검사하여 상기 URL의 악성여부를 판단하는 것을 특징으로 하는 악성 URL 검사장치.
The method according to claim 1,
Wherein the authority /
Wherein the malicious URL checking unit determines whether the URL is malicious by analyzing an execution file of the application downloaded through the communication unit and checking whether the right having security risk exists among the right information assigned to the application.
상기 권한/API 검증부는,
상기 애플리케이션의 실행 파일을 디컴파일하여 상기 권한을 수행하기 위한 API가 실행되는지 여부를 더 검사하는 것을 특징으로 하는 악성 URL 검사장치.
10. The method of claim 9,
Wherein the authority /
And further examines whether an API for executing the privilege is executed by decompiling an executable file of the application.
상기 URL을 통해 애플리케이션을 다운로드 받는 다운로드 단계와,
상기 다운로드된 애플리케이션 내에 보안상 위험성을 가지는 권한 또는 API가 포함되어 있는지 여부를 검사하여 상기 URL의 악성여부를 판단하는 권한/API 검증단계
를 포함하는 악성 URL 검사방법.
A URL extracting step of, upon receipt of the message, checking whether or not a URL is included in the message and extracting the URL;
A download step of downloading an application through the URL,
An authorization / API verification step of determining whether the URL is malicious by checking whether the downloaded application includes an authority or an API having a security risk,
A malicious URL inspection method.
상기 악성 URL 검사방법은,
상기 악성으로 판단된 URL 리스트 정보를 필터링 정보로 이용하여 상기 추출된 URL이 상기 필터링 정보에 존재하는지 검사하고 상기 추출된 URL이 상기 필터링 정보에 존재하는 경우 상기 URL을 악성 URL로 판단하는 사전필터링 단계
를 더 포함하는 것을 특징으로 하는 악성 URL 검사방법.
12. The method of claim 11,
The malicious URL inspection method includes:
A pre-filtering step of determining whether the extracted URL exists in the filtering information by using the URL list information judged to be malicious as filtering information and judging the URL as a malicious URL when the extracted URL exists in the filtering information
The malicious URL checking method further comprising:
상기 URL이 악성으로 판단되는 경우, 상기 URL이 악성임을 표시하는 URL 검증 정보를 생성하고, 상기 URL 검증 정보가 상기 메시지에 포함되도록 가공하는 메시지 가공단계
를 더 포함하는 것을 특징으로 하는 악성 URL 검사방법.
12. The method of claim 11,
Generating a URL verification information indicating that the URL is malicious when the URL is determined to be malicious and processing the URL verification information to be included in the message
The malicious URL checking method further comprising:
다운로드된 상기 애플리케이션을 애뮬레이터 상에서 실행시킨 후, 상기 실행결과를 분석하여 악성 여부를 판단하는 동적분석단계
를 더 포함하는 것을 특징으로 하는 악성 URL 검사방법.
12. The method of claim 11,
Executing the downloaded application on the emulator, analyzing the execution result, and determining whether the application is malicious or not,
The malicious URL checking method further comprising:
다운로드된 상기 애플리케이션에 대해 악성애플리케이션 탐지용 백신엔진을 이용하여 상기 애플리케이션이 악성인지 여부를 검사하는 악성애플리케이션 검사단계
를 더 포함하는 것을 특징으로 하는 악성 URL 검사방법.
12. The method of claim 11,
A malicious application checking step of checking whether the application is malicious using a vaccine engine for detecting the malicious application for the downloaded application
The malicious URL checking method further comprising:
상기 권한/API 검증단계는,
다운로드된 상기 애플리케이션의 실행파일을 분석하여 상기 애플리케이션에 부여된 권한 정보 중 보안상 위험성을 가지는 권한이 존재하는지를 검사하는 것을 특징으로 하는 악성 URL 검사방법.
12. The method of claim 11,
The authority / API verification step may include:
And analyzing an execution file of the downloaded application to check whether the right having security risk is present among the right information given to the application.
상기 권한의 검사 이후에,
상기 애플리케이션의 실행 파일을 디컴파일하여 상기 권한을 수행하기 위한 API가 실행되는지 여부를 더 검사하는 것을 특징으로 하는 악성 URL 검사방법.17. The method of claim 16,
After the checking of the authority,
And further examining whether an API for executing the privilege is executed by decompiling an executable file of the application.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201480020914.2A CN105144767B (en) | 2013-04-12 | 2014-04-11 | For checking the device and method and user terminal of message |
PCT/KR2014/003157 WO2014168453A1 (en) | 2013-04-12 | 2014-04-11 | Apparatus, user terminal and method for checking message |
US14/882,095 US9973518B2 (en) | 2013-04-12 | 2015-10-13 | Apparatus and method for checking message and user terminal |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130066346 | 2013-06-11 | ||
KR20130066346 | 2013-06-11 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20140144636A true KR20140144636A (en) | 2014-12-19 |
KR101545964B1 KR101545964B1 (en) | 2015-08-21 |
Family
ID=52674825
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130131442A KR101545964B1 (en) | 2013-04-12 | 2013-10-31 | Apparatus and method for examining malicious url |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101545964B1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170024777A (en) * | 2015-08-26 | 2017-03-08 | 주식회사 케이티 | Apparatus and method for detecting smishing message |
KR20170041574A (en) * | 2015-10-07 | 2017-04-17 | 에스케이텔레콤 주식회사 | Apparatus and method for protecting malicious site |
WO2017078197A1 (en) * | 2015-11-05 | 2017-05-11 | 주식회사 수산아이앤티 | Method and device for blocking download of application program to be blocked |
KR102259595B1 (en) * | 2020-10-29 | 2021-06-02 | 주식회사 에스엠티엔티 | System for providing mobile based file sending service using short message service |
KR102413355B1 (en) * | 2021-03-25 | 2022-06-27 | 주식회사 이알마인드 | Method of providing security service to devices and server performing the same |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102555831B1 (en) * | 2021-02-02 | 2023-07-13 | 강원대학교산학협력단 | System for distribute of Malicious URL detection inference model |
KR102558952B1 (en) | 2021-11-25 | 2023-07-24 | 강필상 | Malicious URL detection method using artificial intelligence technology |
KR102483004B1 (en) | 2022-07-22 | 2022-12-30 | 주식회사 필상 | Method for detecting harmful url |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101070184B1 (en) | 2011-02-24 | 2011-10-07 | 주식회사 윈스테크넷 | System and method for blocking execution of malicious code by automatically crawling and analyzing malicious code through multi-thread site-crawler, and by interworking with network security device |
KR101286711B1 (en) | 2013-03-28 | 2013-07-16 | 주식회사 이스턴웨어 | System and method for preventing malicious codes of mobile terminal |
-
2013
- 2013-10-31 KR KR1020130131442A patent/KR101545964B1/en active IP Right Grant
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170024777A (en) * | 2015-08-26 | 2017-03-08 | 주식회사 케이티 | Apparatus and method for detecting smishing message |
KR20170041574A (en) * | 2015-10-07 | 2017-04-17 | 에스케이텔레콤 주식회사 | Apparatus and method for protecting malicious site |
WO2017078197A1 (en) * | 2015-11-05 | 2017-05-11 | 주식회사 수산아이앤티 | Method and device for blocking download of application program to be blocked |
KR102259595B1 (en) * | 2020-10-29 | 2021-06-02 | 주식회사 에스엠티엔티 | System for providing mobile based file sending service using short message service |
KR102413355B1 (en) * | 2021-03-25 | 2022-06-27 | 주식회사 이알마인드 | Method of providing security service to devices and server performing the same |
Also Published As
Publication number | Publication date |
---|---|
KR101545964B1 (en) | 2015-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101545964B1 (en) | Apparatus and method for examining malicious url | |
US9973518B2 (en) | Apparatus and method for checking message and user terminal | |
US9940454B2 (en) | Determining source of side-loaded software using signature of authorship | |
KR101402057B1 (en) | Analyzing system of repackage application through calculation of risk and method thereof | |
JP4164036B2 (en) | Ensuring security on the receiving device for programs provided via the network | |
KR101574652B1 (en) | Sytem and method for mobile incident analysis | |
US20150172057A1 (en) | Assessing application authenticity and performing an action in response to an evaluation result | |
US20120210431A1 (en) | Detecting a trojan horse | |
US20130212684A1 (en) | Detecting Application Harmful Behavior and Grading Application Risks for Mobile Devices | |
KR102355973B1 (en) | Apparatus and method for detecting smishing message | |
CN106845223B (en) | Method and apparatus for detecting malicious code | |
KR101628837B1 (en) | Malicious application or website detecting method and system | |
KR20120084184A (en) | A smartphone malicious code blocking method based on white list and the recording medium thereof | |
KR101286711B1 (en) | System and method for preventing malicious codes of mobile terminal | |
Pennekamp et al. | A survey on the evolution of privacy enforcement on smartphones and the road ahead | |
CN109688096B (en) | IP address identification method, device, equipment and computer readable storage medium | |
JP4512083B2 (en) | Ensuring security on the transmission path for programs provided to communication terminals via the network | |
CN103020528A (en) | Display method and display device for malicious acts of applications | |
KR101657667B1 (en) | Malicious app categorization apparatus and malicious app categorization method | |
KR101115250B1 (en) | Apparatus and method for checking safety of qr code | |
KR101382549B1 (en) | Method for pre-qualificating social network service contents in mobile environment | |
KR101799524B1 (en) | Apparatus and method for controlling terminal device using notification message | |
Kim et al. | HearMeOut: detecting voice phishing activities in Android | |
KR101493820B1 (en) | Mobile Security System | |
KR101959534B1 (en) | A security system and method for e-mail |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
FPAY | Annual fee payment |
Payment date: 20180731 Year of fee payment: 4 |