KR20140144636A - Apparatus and method for examining malicious url - Google Patents

Apparatus and method for examining malicious url Download PDF

Info

Publication number
KR20140144636A
KR20140144636A KR1020130131442A KR20130131442A KR20140144636A KR 20140144636 A KR20140144636 A KR 20140144636A KR 1020130131442 A KR1020130131442 A KR 1020130131442A KR 20130131442 A KR20130131442 A KR 20130131442A KR 20140144636 A KR20140144636 A KR 20140144636A
Authority
KR
South Korea
Prior art keywords
url
malicious
application
message
checking
Prior art date
Application number
KR1020130131442A
Other languages
Korean (ko)
Other versions
KR101545964B1 (en
Inventor
이용학
조지훈
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to CN201480020914.2A priority Critical patent/CN105144767B/en
Priority to PCT/KR2014/003157 priority patent/WO2014168453A1/en
Publication of KR20140144636A publication Critical patent/KR20140144636A/en
Application granted granted Critical
Publication of KR101545964B1 publication Critical patent/KR101545964B1/en
Priority to US14/882,095 priority patent/US9973518B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

A method for detecting a malicious URL according to the present invention includes: detecting whether a URL is a malicious URL inducing a user to install a malicious application, wherein the URL is contained in a message among various messages that are sent to user terminals from message providers such as many kinds of enterprises or an unspecific individual for purposes of announcement, promotion, advertisement, or a purpose of leaking of private information and the like; determining the message containing the URL is an abnormal message; and blocking the message not to be sent to a user terminal or notifying the user of danger so as to prevent damage caused by the malicious URL.

Description

악성 URL 검사장치 및 방법{APPARATUS AND METHOD FOR EXAMINING MALICIOUS URL} [0001] APPARATUS AND METHOD FOR EXAMINING MALICIOUS URL [0002]

본 발명은 URL(uniform resource locator)이 포함된 메시지 처리 방법에 관한 것으로, 특히 악성 URL을 검사하는 방법에 있어서, 다수의 기업 혹은 불특정 개인 등의 메시지 제공자(message provider)로부터 해당 기업의 공지, 홍보, 광고 등이나 사용자의 개인정보 유출을 위해 사용자 단말(user terminal)로 발송되는 다양한 메시지 중 URL이 포함된 메시지에 대해서는 URL이 악성 애플리케이션의 설치를 유도하는 악성 URL인지 여부를 검사하고, 악성 URL인 경우 해당 URL이 포함된 메시지를 비정상 메시지로 판단하여 사용자 단말로 전송되지 않도록 차단시키거나, URL의 위험성을 경고함으로써 악성 URL로 인한 피해가 방지되도록 하는 악성 URL 검사장치 및 방법에 관한 것이다.
The present invention relates to a method of processing a message including a uniform resource locator (URL), and more particularly, to a method of inspecting a malicious URL by using a message provider of a plurality of companies or an unspecified person, , It is checked whether the URL is a malicious URL which induces the installation of a malicious application for a message including a URL among various messages sent to a user terminal for an advertisement or the like to leak personal information of the user, A malicious URL checking apparatus and method for preventing a malicious URL from being damaged by preventing a message including the URL from being transmitted to a user terminal by judging the message as an abnormal message or by warning a danger of a URL.

근래에 들어, 휴대폰, 스마트폰(smart phone) 등의 사용자 단말은 현대인에게 없어서는 안될 필수품으로서 남녀 노소를 막론하고 사용하고 있으며, 서비스 제공자 및 단말기 제조자는 다른 업체와의 차별화를 위해 제품 또는 서비스를 경쟁적으로 개발하고 있다.In recent years, user terminals such as mobile phones and smart phones have been used as necessities indispensable to modern people, regardless of whether they are male or female. Service providers and handset manufacturers use competitive products or services .

이러한, 사용자 단말은 폰북(phone book), 게임(game), 메시지(message), 이메일(email), 모닝콜(morning call), MP3(MPEG Layer 3), 디지털 카메라 및 무선 인터넷 서비스가 가능한 멀티미디어 기기로 발전하여 다양한 서비스를 제공하고 있다.The user terminal may be a multimedia device capable of a phone book, a game, a message, an email, a morning call, an MPEG Layer 3 (MP3), a digital camera, and a wireless Internet service It is developing and providing various services.

한편, 위와 같은 사용자 단말의 기능 가운데 메시지 기능은 음성 통화에 비하여 비교적 저렴하다는 장점 때문에 사용자들이 많이 사용하고 있다.On the other hand, among the functions of the user terminal, the message function is often used by the users because it is relatively inexpensive as compared with the voice call.

이러한, 메시지는 예를 들어 SMS(short messaging service), MMS(multimedia messaging service), 패킷기반 메시지 등이 될 수 있다. SMS는 간단한 텍스트를 전송할 수 있는 메시지를 말할 수 있으며, MMS는 단순한 문자 메시지에서 벗어나 동영상, 사진, 음악 파일 등을 부가하여 전송할 수 있는 메시지를 말할 수 있다. 또한, 패킷기반 메시지는 데이터망을 이용하여 패킷 교환 방식을 통해 전송되는 메시지로 MMS와 마찬가지로 동영상, 사진, 음악파일 등의 파일 첨부가 가능하며, 사용자간 대화형식의 메시지 교환도 가능한 메시지를 말할 수 있다. Such a message may be, for example, a short messaging service (SMS), a multimedia messaging service (MMS), a packet based message, or the like. SMS can say a message that can transmit simple text, and MMS can say a message that can be transmitted by adding a moving picture, a photograph, a music file, etc., away from a simple text message. In addition, a packet-based message is a message transmitted through a packet-switched system using a data network. Like a MMS, a file can be attached to a video, a photograph, a music file, or the like. have.

하지만, 최근에는 다수의 기업 혹은 불특정 개인이 위와 같은 SMS/MMS 메시지 기능 등을 이용하여 기업의 공지, 홍보, 광고 등에 이용하고 있어서 사용자는 불필요한 수많은 메시지의 수신으로 인한 공해를 느끼는 등의 불편함이 있으며, 또한, 비정상적인 기업으로부터의 사행성 광고 메시지, 음란 메시지 등과 같은 스팸 메시지로 인해 불편함을 겪는 문제점이 있었다.However, in recent years, many companies or unspecified individuals use the above SMS / MMS message function to publicize, publicize, and advertise a company, and the user inconveniences such as feeling pollution due to the reception of a large number of unnecessary messages Also, there is a problem in that it is inconvenient due to a spam message such as a gambling advertisement message and an obscene message from an abnormal company.

또한, 위와 같이 기업, 개인 등의 메시지 전송 주체로부터 공지, 홍보, 광고의 타겟이 되는 다수의 사용자 단말로 전송되는 SMS, MMS 또는 패킷기반 메시지 등의 메시지 중에는 메시지내 악성 URL을 삽입하여 악의적인 목적을 실현하는 스팸(스미싱) 메시지도 존재할 수 있다. In addition, among the messages such as SMS, MMS, or packet-based messages transmitted to a plurality of user terminals targeted for notification, publicity, and advertisement from a message transmission entity of a company, an individual, etc., malicious URLs Spam (spamming) messages may be present.

이때, 위와 같은 악성 URL이 포함된 메시지는 해당 메시지를 수신한 사용자가 URL을 클릭하는 경우 악성 코드를 포함하는 애플리케이션이 설치되도록 하거나 해외의 스미싱 업체로 연결되도록 하는 등으로 사용자에게 피해를 발생시킬 수 있다.At this time, a message including the malicious URL as described above may cause damage to the user by allowing the user who receives the message to click on the URL, for example, to install an application containing malicious code or to connect to an overseas service provider .

따라서, 사용자의 이동통신 단말기 등으로 전송되는 메시지 중 악성 URL이 포함된 메시지에 대해서는 메시지의 전송이 차단되도록 하거나, 메시지가 사용자 단말로 전송되는 경우 메시지내 포함된 URL의 위험성이 경고되도록 함으로써, 악성 URL에 의한 피해를 줄일 수 있도록 하는 기술 개발이 필요하다.Accordingly, when a message including a malicious URL is transmitted to a user's mobile communication terminal or the like, the transmission of the message is blocked, or when the message is transmitted to the user terminal, the danger of the URL included in the message is warned, It is necessary to develop a technology that can reduce the damage caused by the URL.

한편, 위와 같은 악성 URL에 의한 피해를 방지하기 위한 종래의 방법으로는 예를 들어 스팸 필터링 시스템이나 SMSC(short message service center)에서 악성 애플리케이션의 설치를 유도하는 등의 비정상 메시지에 대해 패턴(pattern)으로 필터링(filtering)하는 방법이 이용되고 있으나, 악성 애플리케이션 설치를 유도하는 메시지를 필터링할 수 있는 패턴이 매우 제한적이고 사후에 해당 메시지에 대한 신고를 받고 분석하여 등록하는 방식이어서 필터링 성능이 떨어지는 문제점이 있다.Meanwhile, as a conventional method for preventing the malicious URL from being damaged, for example, a pattern for an abnormal message such as a spam filtering system or a short message service center (SMSC) However, there is a problem that the pattern for filtering a message that induces a malicious application installation is very limited, and after receiving the notification of the message, have.

또한, 백신 개발사에서 주로 제안하고 있는 방식으로 시험용 단말기를 여러 대 확보하고 개인 정보를 의도적으로 유출한 후, 악성 애플리케이션 전파를 시도하는 문제의 메시지를 수집하여 메시지 전문을 확보하는 방법이 사용되고 있으나, 사용자의 개인 정보를 타겟으로 하는 변종 악성 애플리케이션이 1주일에도 최소 수백여종 이상이 발견되는 상황에서 백신 개발사에서 진행하는 방법 또한 성능이 제한적이며 확보할 수 있는 악성 애플리케이션 수가 제한적인 문제점이 있다.
In addition, a method of acquiring message specials by collecting messages of problem of attempting to spread malicious application after intentionally leaking personal information and securing several test terminals is proposed in a method proposed by a vaccine developer, Of malicious applications that target personal information are found in more than a hundred different types of malware in a week. However, there is limited performance and limited number of malicious applications.

(특허문헌)(Patent Literature)

대한민국 등록특허번호 10-0482538호(등록일자 2005년 04월 01일)에는 멀티미디어 메시지 서비스 방법 및 시스템에 관한 기술이 개시되어 있다.
Korean Patent Registration No. 10-0482538 (registered on Apr. 1, 2005) discloses a technique for a multimedia message service method and system.

따라서, 본 발명에서는 악성 URL을 검사하는 방법에 있어서, 다수의 기업 혹은 불특정 개인 등의 메시지 제공자로부터 해당 기업의 공지, 홍보, 광고 등을 위해서나 개인정보 유출 등의 목적으로 사용자 단말로 발송되는 다양한 메시지 중 URL이 포함된 메시지에 대해서는 URL이 악성 애플리케이션의 설치를 유도하는 악성 URL인지 여부를 검사하고, 악성 URL인 경우 해당 URL이 포함된 메시지를 비정상 메시지로 판단하여 사용자 단말로 전송되지 않도록 차단시키거나, URL의 위험성을 경고함으로써 악성 URL로 인한 피해가 방지되도록 하는 악성 URL 검사장치 및 방법을 제공하고자 한다.
Accordingly, in the present invention, a method for inspecting a malicious URL is a method for inspecting a malicious URL by using various messages sent from a message provider such as an enterprise or an unspecified individual to a user terminal for notification, advertisement, It is determined whether or not the URL is a malicious URL that induces installation of a malicious application. If the URL is a malicious URL, the message containing the URL is determined to be an abnormal message and is blocked from being transmitted to the user terminal And a malicious URL inspecting apparatus and method for preventing harm caused by a malicious URL by warning the danger of the URL.

상술한 본 발명은 악성 URL 검사장치로서, 메시지를 수신하면, 상기 메시지 내에 URL(uniform resource locator)이 포함되어 있는지 여부를 검사하고, 상기 URL을 추출하는 URL 추출부와, 상기 URL을 통해 애플리케이션을 다운로드 받는 통신부와, 상기 통신부를 통해 다운로드된 상기 애플리케이션내에 보안상 위험성을 가지는 권한 또는 API가 포함되어 있는지 여부를 검사하여 상기 URL의 악성여부를 판단하는 권한/API 검증부를 포함한다.The malicious URL checking apparatus according to the present invention is a malicious URL checking apparatus which comprises a URL extracting unit for checking whether or not a URL (uniform resource locator) is included in the message upon receiving a message and extracting the URL; And an authority / API verification unit for checking whether the URL is malicious by checking whether the application downloaded through the communication unit contains a right or API having a security risk in the communication unit.

또한, 상기 악성 URL 검사장치는, 상기 악성으로 판단된 URL 리스트 정보를 필터링 정보로 저장하고, 상기 통신부에서 상기 애플리케이션을 다운로드 받기 전에 상기 추출된 URL이 상기 필터링 정보에 존재하는지 여부를 검사하여 상기 추출된 URL이 상기 필터링 정보에 존재하는 경우 상기 URL을 차단하는 사전 필터링부를 더 포함하는 것을 특징으로 한다.The malicious URL inspection apparatus stores the URL list information determined to be malicious as filtering information, and checks whether or not the extracted URL exists in the filtering information before downloading the application from the communication unit, And a pre-filtering unit for blocking the URL if the URL is present in the filtering information.

또한, 상기 사전 필터링부는, 상기 권한/API 검증부에서 악성으로 판단된 URL을 상기 필터링 정보에 업데이트하는 것을 특징으로 한다.In addition, the pre-filtering unit updates the URL determined to be malicious in the authorization / API verification unit to the filtering information.

또한, 상기 악성 URL 검사장치는, 악성 애플리케이션을 유포하는 사이트를 포함하여 유해 사이트로 판단된 URL에 사용자 단말이 접속하는 경우, 상기 접속을 차단하는 유해 사이트 차단시스템으로 상기 악성으로 판단된 URL을 제공하는 것을 특징으로 한다.In addition, when the malicious URL inspection apparatus accesses a URL determined as a harmful site including a site that distributes a malicious application, the malicious URL inspection apparatus provides the malicious URL determined by the malicious site blocking system that blocks the connection .

또한, 상기 악성 URL 검사장치는, 상기 URL이 악성으로 판단되는 경우, 상기 URL이 악성임을 표시하는 URL 검증 정보를 생성하고, 상기 URL 검증 정보가 상기 메시지에 포함되도록 가공하는 가공부를 더 포함하는 것을 특징으로 한다.The malicious URL checking apparatus may further include a processing unit for generating URL verification information indicating that the URL is malicious when the URL is determined to be malicious and processing the URL verification information to be included in the message .

또한, 상기 가공부는, 상기 URL 검증 정보를 상기 메시지의 헤더 또는 데이터 영역에 포함시키는 것을 특징으로 한다.The processing unit may include the URL verification information in a header or a data area of the message.

또한, 상기 악성 URL 검사장치는, 상기 통신부를 통해 다운로드된 상기 애플리케이션을 애뮬레이터 상에서 실행시킨 후, 상기 실행 결과를 분석하여 악성 여부를 판단하는 동적 분석부를 더 포함하는 것을 특징으로 한다.The malicious URL inspection apparatus may further include a dynamic analysis unit for executing the application downloaded through the communication unit on the emulator and analyzing the execution result to determine maliciousness.

또한, 상기 악성 URL 검사장치는, 상기 통신부를 통해 다운로드된 상기 애플리케이션에 대해 악성애플리케이션탐지용 백신엔진을 이용하여 상기 애플리케이션이 악성인지 여부를 검사하는 백신 엔진부를 더 포함하는 것을 특징으로 한다.The malicious URL inspection apparatus may further include a vaccine engine unit for checking whether the application is malicious by using a vaccine engine for detecting a malicious application for the application downloaded through the communication unit.

또한, 상기 권한/API 검증부는, 상기 통신부를 통해 다운로드된 상기 애플리케이션의 실행파일을 분석하여 상기 애플리케이션에 부여된 권한 정보 중 보안상 위험성을 가지는 권한이 존재하는지를 검사하여 상기 URL의 악성여부를 판단하는 것을 특징으로 한다.The authority / API verification unit analyzes the execution file of the application downloaded through the communication unit to determine whether the URL has maliciousness by checking whether the right having security risk exists among the right information assigned to the application .

또한, 상기 권한/API 검증부는, 상기 애플리케이션의 실행 파일을 디컴파일하여 상기 권한을 수행하기 위한 API가 실행되는지 여부를 더 검사하는 것을 특징으로 한다.The authority / API verifier further checks whether an API for executing the authority is executed by decompiling an executable file of the application.

또한, 본 발명은 악성 URL 검사방법으로서, 메시지를 수신하면, 상기 메시지 내에 URL이 포함되어 있는지 여부를 검사하고, 상기 URL을 추출하는 URL 추출 단계와, 상기 URL을 통해 애플리케이션을 다운로드 받는 다운로드 단계와, 상기 다운로드된 애플리케이션 내에 보안상 위험성을 가지는 권한 또는 API가 포함되어 있는지 여부를 검사하여 상기 URL의 악성여부를 판단하는 권한/API 검증단계를 포함한다.According to another aspect of the present invention, there is provided a malicious URL checking method including: a URL extracting step of, upon receiving a message, checking whether a URL is included in the message and extracting the URL; And an authority / API verification step of determining whether the URL is malicious by checking whether the downloaded application contains an authority or an API having a security risk.

또한, 상기 악성 URL 검사방법은, 상기 악성으로 판단된 URL 리스트 정보를 필터링 정보로 이용하여 상기 추출된 URL이 상기 필터링 정보에 존재하는지 검사하고 상기 추출된 URL이 상기 필터링 정보에 존재하는 경우 상기 URL을 악성 URL로 판단하는 사전필터링 단계를 더 포함하는 것을 특징으로 한다.The malicious URL checking method may further include checking whether the extracted URL exists in the filtering information by using the URL list information determined to be malicious as filtering information and if the extracted URL exists in the filtering information, And a pre-filtering step of judging the URL as a malicious URL.

또한, 상기 URL이 악성으로 판단되는 경우, 상기 URL이 악성임을 표시하는 URL 검증 정보를 생성하고, 상기 URL 검증 정보가 상기 메시지에 포함되도록 가공하는 메시지 가공단계를 더 포함하는 것을 특징으로 한다.And a message processing step of, when the URL is determined to be malicious, generating URL verification information indicating that the URL is malicious and processing the URL verification information to be included in the message.

또한, 다운로드된 상기 애플리케이션을 애뮬레이터 상에서 실행시킨 후, 상기 실행결과를 분석하여 악성 여부를 판단하는 동적분석단계를 더 포함하는 것을 특징으로 한다.The method may further include a dynamic analysis step of executing the downloaded application on the emulator and analyzing the execution result to determine whether the application is malicious.

또한, 다운로드된 상기 애플리케이션에 대해 악성애플리케이션 탐지용 백신엔진을 이용하여 상기 애플리케이션이 악성인지 여부를 검사하는 악성애플리케이션 검사단계를 더 포함하는 것을 특징으로 한다.The malicious application checking step may further include a malicious application checking step of checking whether the application is malicious by using a vaccine engine for detecting the malicious application with respect to the downloaded application.

또한, 상기 권한/API 검증단계는, 다운로드된 상기 애플리케이션의 실행파일을 분석하여 상기 애플리케이션에 부여된 권한 정보 중 보안상 위험성을 가지는 권한이 존재하는지를 검사하는 것을 특징으로 한다.The authority / API verification step may include analyzing an execution file of the downloaded application to check whether a right having security risk is included in the right information granted to the application.

또한, 상기 권한의 검사 이후에, 상기 애플리케이션의 실행 파일을 디컴파일하여 상기 권한을 수행하기 위한 API가 실행되는지 여부를 더 검사하는 것을 특징으로 한다.
Further, after the checking of the authority, it is further checked whether an API for executing the authority is executed by decompiling an executable file of the application.

본 발명에 따르면, 악성 URL을 검사하는 방법에 있어서, 다수의 기업 혹은 불특정 개인 등의 메시지 제공자로부터 해당 기업의 공지, 홍보, 광고 등을 위해서나 개인정보 유출 등의 목적으로 사용자 단말로 발송되는 다양한 메시지 중 URL이 포함된 메시지에 대해서는 URL이 악성 애플리케이션의 설치를 유도하는 악성 URL인지 여부를 검사하고, 악성 URL인 경우 해당 URL이 포함된 메시지를 비정상 메시지로 판단하여 사용자 단말로 전송되지 않도록 차단시키거나, URL의 위험성을 경고함으로써 악성 URL로 인한 피해가 방지되도록 하는 이점이 있다.According to the present invention, there is provided a method for inspecting a malicious URL, comprising the steps of: receiving various messages sent from a message provider of a plurality of companies or an unspecified person to a user terminal for notification, publicity, advertisement, It is determined whether or not the URL is a malicious URL that induces installation of a malicious application. If the URL is a malicious URL, the message containing the URL is determined to be an abnormal message and is blocked from being transmitted to the user terminal , There is an advantage that the damage caused by the malicious URL is prevented by warning the danger of the URL.

또한, 악성 URL을 포함한 메시지에 대해 사용자 단말로 전송되기 전 메시지 전송서버에서 미리 필터링을 통해 차단시킴으로써 메시지를 통해 전파되는 악성 애플리케이션에 대한 원천적이고 선제적으로 차단할 수 있는 이점이 있다.In addition, there is an advantage that a malicious application that is transmitted through a message can be originally and preemptively blocked by blocking a message including a malicious URL before filtering the message transmission server before being transmitted to the user terminal.

또한, 악성 URL을 통해 다운로드되는 애플리케이션에 대한 악성 여부를 통신사 자체적으로 검사할 수 있는 모델을 제시함으로써 백신 엔진을 제공하는 백신 제공 회사에 비하여 악성 애플리케이션 샘플 수집에 더 유리하게 되어, 악성 애플리케이션 대응에 있어서 통신사의 독자적인 사업 모델을 창출할 수 있는 이점이 있다.
In addition, by providing a model in which a communication company itself can check maliciousness of an application downloaded through a malicious URL, it becomes more advantageous in collecting malicious application samples than a vaccine providing company that provides a vaccine engine, There is an advantage in creating a carrier's own business model.

도 1은 본 발명의 실시예가 적용되는 악성 URL 검사장치를 포함하는 메시지 전송을 위한 통신망의 구성도,
도 2는 본 발명의 실시예에 따른 악성 URL 검사장치의 상세 블록 구성도,
도 3은 본 발명의 실시예에 따른 사용자 단말의 상세 블록 구성도,
도 4는 본 발명의 실시예에 따른 악성 URL로 인한 접속 차단 안내 메시지 표시 예시도,
도 5는 본 발명의 실시예에 따른 악성 URL 검사장치에서 URL 분석을 통한 비정상 메시지 검사 동작 제어 흐름도,1 is a configuration diagram of a communication network for transmitting a message including a malicious URL checking apparatus to which an embodiment of the present invention is applied;
FIG. 2 is a detailed block diagram of a malicious URL testing apparatus according to an embodiment of the present invention. FIG.
3 is a detailed block diagram of a user terminal according to an embodiment of the present invention.
FIG. 4 is a diagram illustrating an example of displaying a connection blocking information message message due to a malicious URL according to an exemplary embodiment of the present invention,
FIG. 5 is a flowchart illustrating an abnormal message inspection operation control operation using URL analysis in the malicious URL inspection apparatus according to the embodiment of the present invention. FIG.

이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, the operation principle of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions of the present invention, and these may be changed according to the intention of the user, the operator, or the like. Therefore, the definition should be based on the contents throughout this specification.

도 1은 본 발명의 실시예가 적용되는 악성 URL 검사장치를 포함하는 메시지 전송을 위한 통신망의 구성을 도시한 것이다.FIG. 1 illustrates a configuration of a communication network for message transmission including a malicious URL checking apparatus to which an embodiment of the present invention is applied.

이하, 도 1을 참조하여, 메시지 전송을 위한 통신망상 각 구성요소에서의 동작을 상세히 설명하기로 한다.Hereinafter, operation of each component on a communication network for message transmission will be described in detail with reference to FIG.

먼저, 메시지 제공자(message provider)(100)는 이동통신망을 포함하는 유/무선 통신망 등에 연결된 사용자 단말(user terminal)(150)에 SMS(short message service), MMS(multimedia message service) 메시지 또는 패킷기반 메시지 등의 메시지를 발송하는 주체를 의미한다. 이때, 위와 같은 사용자 단말(150)은 예를 들어 휴대폰, 스마트폰(smart phone) 등의 이동통신 단말기 또는 메시지 수신이 가능한 표시창을 구비한 일반 유/무선 전화기 등을 포함할 수 있고, 위와 같은 메시지는 MMS 메시지, SMS 메시지 또는 패킷기반 메시지 등이 될 수 있다. First, a message provider 100 transmits a short message service (SMS) message, a multimedia message service (MMS) message, or a packet-based message service to a user terminal 150 connected to a wired / wireless communication network including a mobile communication network Message, and so on. The user terminal 150 may include a mobile communication terminal such as a mobile phone, a smart phone, or a general wired / wireless telephone having a display window for receiving a message. May be an MMS message, an SMS message, or a packet based message.

또한, 이러한 메시지 제공자(100)는 예를 들어 금융업체, 제조업체, 오픈 마켓 등의 기업 혹은 불특정 개인 등이 될 수 있으며, 메시지 제공자(100)에 의해 발송되는 메시지는 예를 들어 해당 기업과 관련하여 사용자에게 공지, 홍보 또는 광고하고자 하는 내용의 메시지가 될 수 있다.The message provider 100 may be, for example, a company such as a financial company, a manufacturer, an open market, or an unspecified person. A message sent by the message provider 100 may be, for example, It may be a message of a content to be notified, promoted or advertised to the user.

메시지 중계자(102)는 메시지 제공자(100)가 되는 금융업체, 제조업체, 오픈 마켓 등의 기업 혹은 불특정 개인 등에서 타겟(target)이 되는 사용자의 사용자 단말(150)로의 메시지 발송 요청을 수신하여 발송 요청에 대응되는 내용의 메시지를 생성하고, 이와 같이 생성한 메시지를 통신망상 메시지 전송서버(110)로 전송한다. 즉, 메시지 중계자(102)는 메시지 제공자(100)로부터 전송할 메시지의 내용 등과 같은 데이터와 해당 메시지가 전송되어야 하는 타겟 사용자의 사용자 단말(150)의 전화번호(Mobile Identification Number: MIN) 등의 정보를 제공받아 메시지를 구성하고, 이를 통신망상 메시지 전송서버(150)로 전송한다.The message relay 102 receives a message transmission request to a user terminal 150 as a target from an enterprise such as a financial institution, a manufacturer, an open market or the like or an unspecified individual that becomes the message provider 100 and sends a message request Generates a corresponding content message, and transmits the generated message to the communication network-based message transmission server 110. That is, the message relay 102 transmits data such as the contents of a message to be transmitted from the message provider 100 and information such as a mobile identification number (MIN) of the target user's user terminal 150 to which the corresponding message is to be transmitted And transmits the message to the communication network-based message transmission server 150.

메시지 전송서버(110)는 메시지 제공자(100)로부터 발송된 메시지를 발송 요청된 사용자 단말(150)로 전송하는 서버로써, SMSC(112), MMSC(114) 등의 될 수 있으며, 메시지를 사용자 단말(150)로 전송한다. The message transmission server 110 is a server for transmitting a message sent from the message provider 100 to the user terminal 150 requested to be sent and may be an SMSC 112 or an MMSC 114, (150).

한편, 위와 같이 기업 혹은 불특정 개인 등의 메시지 전송 주체로부터 다수의 타겟 사용자의 사용자 단말(150)로 전송되는 메시지 중 악성 URL을 포함하는 메시지는 메시지내 포함된 악성 URL이 클릭되는 경우 악성 코드를 포함하는 애플리케이션이 설치되도록 하거나 해외의 스미싱 서버로 연결되도록 함으로써, 피해를 발생시키는 문제점이 있었음은 전술한 바와 같다.On the other hand, a message including a malicious URL among messages transmitted from a message transmission entity such as an enterprise or an unspecified individual to the user terminals 150 of a plurality of target users may include a malicious code when a malicious URL included in the message is clicked The problem is caused by causing an application to be installed or connecting to a foreign smsing server, as described above.

따라서, 본 발명에서는 메시지 전송서버(110)에서 URL이 포함된 메시지에 대해서는 해당 메시지를 전송 요청된 사용자 단말(150)로 전송하기 전에, 해당 메시지에 포함된 URL이 악성인지 여부를 검사하는 악성 URL 검사장치(130)로 악성 URL 여부를 판단하도록 한 후, 악성 URL을 포함한 비정상 메시지에 대해서는 사용자 단말(150)로 전송되는 것을 차단시키거나 위험성이 있는 메시지임을 알리는 경고정보가 표시되도록 함으로써 비정상 메시지에 의한 피해가 방지될 수 있도록 한다.Accordingly, in the present invention, before a message including the URL is transmitted from the message transmission server 110 to the user terminal 150 requested to be transmitted, the malicious URL for checking whether the URL included in the message is malicious The abnormality message including the malicious URL is blocked from being transmitted to the user terminal 150 or warning information indicating that the message is a dangerous message is displayed in the abnormal message So that damage caused by the damage can be prevented.

즉, 악성 URL 검사장치(130)는 예를 들어 도 1에서 보여지는 바와 같이 SMSC(112), MMSC(114) 등의 메시지 전송서버(110)와 연결되어 SMSC(112) 등으로 메시지가 수신되는 경우, SMSC(112)로부터 해당 메시지를 전달받아 메시지에 포함된 URL이 정상 URL인지 또는 악성 의도를 가지는 악성 URL인지 여부를 판단함으로써 사용자 단말(150)로 전송 요청된 메시지가 비정상 메시지인지 여부를 판단하게 된다.1, the malicious URL checking apparatus 130 is connected to a message transmission server 110 such as the SMSC 112 and the MMSC 114 to receive a message from the SMSC 112 or the like , It receives a corresponding message from the SMSC 112 and determines whether the URL included in the message is a normal URL or a malicious URL having a malicious intention, thereby determining whether the message requested to be transmitted to the user terminal 150 is an abnormal message .

이하, 악성 URL 검사장치(130)에서 악성 URL을 검사하는 동작을 보다 상세히 설명하기로 한다.Hereinafter, an operation of the malicious URL checking apparatus 130 for checking a malicious URL will be described in more detail.

먼저, 악성 URL 검사장치(130)는 메시지내 포함된 URL 정보를 추출한 후, 악성 URL 리스트(list)와의 비교를 통한 사전 필터링을 통해 메시지로부터 추출된 URL이 악성 URL인지 여부를 판단하고, 악성 URL로 판단하는 경우 이와 같은 판단 정보를 메시지 전송 서버(110)로 제공하여 해당 메시지가 사용자 단말(150)로 전송되지 않도록 하거나, URL의 위험성이 경고되도록 한다. 이때, 위와 같은 악성 URL 리스트는 악성 URL 검사장치(130)에서 이전에 검사가 진행되어 악성 URL로 판단된 URL들의 리스트 정보를 말하는 것으로, 이러한 악성 URL 리스트는 악성 URL 검사장치(130)에 구비될 수 있으며, 악성 URL 검사장치(130)에 의해 악성 URL 검사가 수행되는 과정에서 악성 URL로 판단된 URL 정보가 주기적으로 업데이트(update)될 수 있다.First, the malicious URL checking device 130 extracts the URL information included in the message, and determines whether or not the URL extracted from the message is a malicious URL through preliminary filtering through comparison with a malicious URL list, It is possible to provide the determination information to the message transmission server 110 so that the corresponding message is not transmitted to the user terminal 150 or warn of the danger of the URL. At this time, the malicious URL list as described above refers to the list information of the URLs previously judged to be malicious URLs by the malicious URL checking device 130, and the malicious URL list is provided to the malicious URL checking device 130 And the URL information determined as a malicious URL may be periodically updated in the course of malicious URL checking performed by the malicious URL checking device 130. [

다음으로, 악성 URL 검사장치(130)는 위와 같은 사전 필터링을 통해 악성 URL인지 여부가 정확히 판단되지 않는 URL에 대해서는 백신 검사, 권한/API 검사, 동적 분석 등을 통해 악성 URL인지 여부를 판단할 수 있다.Next, the malicious URL checking device 130 can determine whether the malicious URL is a malicious URL through a vaccine check, an authority / API check, a dynamic analysis, and the like, have.

이때, 위와 같은 백신 검사, 권한/API 검사, 동적 분석 등을 통한 악성 URL 여부 판단 방법에 있어서, 악성 URL 검사장치(130)는 사전 필터링을 통해 악성 URL인지 여부가 판단되지 않은 URL에 대해서는 유무선 통신망을 통해 URL 주소로 링크되는 웹서버(도시하지 않음) 등에 접속하고, 해당 URL로의 접속에 따라 다운로드되는 애플리케이션(application)의 악성 여부 검사를 통해 URL의 악성 여부를 판단하게 된다.At this time, in the method for determining whether a malicious URL is obtained through the above-described vaccine inspection, authority / API inspection, dynamic analysis, etc., the malicious URL inspection device 130 determines whether the malicious URL is a malicious URL, (Not shown) linked to the URL address through the URL, and judges whether the URL is malicious through the maliciousness of the downloaded application according to the connection to the URL.

좀더 자세히 설명하면 먼저, 악성 URL 검사장치(130)는 다운로드된 애플리케이션에 대해 이전에 검사된 애플리케이션의 시그니처(signiture) 정보와 비교하여 동일한 애플리케이션인지 여부를 검사함으로써 해당 애플리케이션의 악성 여부를 검사할 수 있다. 이때, 악성 URL 검사장치(130)는 위와 같은 시그니처 정보와의 비교를 통해 애플리케이션이 악성 애플리케이션으로 검사된 경우 해당 URL을 악성 URL로 판단하고, 정상 애플리케이션으로 검사된 경우 해당 URL을 정상 URL로 판단할 수 있다. 또한 이때, 위와 같은 시그니처 정보는 예를 들어 SHA-256, MD5 등의 해쉬코드 정보일 수 있다.More specifically, first, the malicious URL checking device 130 may check maliciousness of the downloaded application by comparing it with the signage information of the previously inspected application and checking whether it is the same application . At this time, the malicious URL checking device 130 judges that the URL is a malicious URL when the application is scanned as a malicious application through comparison with the signature information as described above. If the application is inspected as a normal application, the malicious URL checking device 130 determines the URL as a normal URL . Also, at this time, the signature information may be hash code information such as SHA-256, MD5, and the like.

다음으로, 악성 URL 검사장치(130)는 다운로드된 애플리케이션이 이전에 검사된 적이 없는 애플리케이션인 경우, 미리 구비하고 있는 백신 엔진을 이용하여 악성 애플리케이션인지 여부를 검사한다. 위와 같은 백신 엔진은 예를 들어 백신을 개발하는 회사로부터 제공된 상용 백신 엔진일 수 있으며, 악성 URL 검사장치(130)는 다운로드된 애플리케이션이 악성 애플리케이션으로 검사된 경우 해당 URL을 악성 URL로 판단한다. 그러나, 위와 같은 백신 엔진을 이용한 애플리케이션의 악성 여부 검사는 백신 엔진에 포함되지 않는 변종 패턴을 가지는 애플리케이션에 대해서는 정확한 검사가 이루어지지 않을 수도 있다.Next, when the downloaded application is an application that has not been previously inspected, the malicious URL inspection device 130 checks whether or not the application is a malicious application by using a vaccine engine that is provided in advance. The above-mentioned vaccine engine may be, for example, a commercial vaccine engine provided from a company developing a vaccine, and the malicious URL inspection device 130 judges the URL as a malicious URL when the downloaded application is scanned as a malicious application. However, an application maliciousness check using the above-mentioned vaccine engine may not be accurately inspected for an application having a variant pattern not included in the vaccine engine.

따라서, 백신엔진을 통해 악성 애플리케이션으로 판단되지 않은 애플리케이션에 대해서 악성 URL 검사장치(130)는 다시 권한/API 검사, 동적 분석 등을 추가로 수행하게 된다.Accordingly, the malicious URL checking device 130 performs an authorization / API check, a dynamic analysis, and the like for an application not determined to be a malicious application through the vaccine engine.

즉, 악성 URL 검사장치(130)는 백신엔진을 통해 악성 애플리케이션 여부가 검사되지 않은 애플리케이션에 대해 해당 애플리케이션의 실행 파일을 분석하여 애플리케이션이 가지고 있는 권한 정보를 검사한다. That is, the malicious URL checking device 130 analyzes an execution file of an application for which the malicious application has not been checked through the vaccine engine, and checks the privilege information held by the application.

이러한 권한 정보는 애플리케이션이 사용자 단말(150) 등에 설치될 때 사용자 단말(150)에서 수행할 수 있는 권한에 대한 정보를 기록한 것으로, 악성 애플리케이션인 경우 예를 들어 "메시지 읽기", "통화내용 가로채기" 등의 사용자의 개인 정보를 유출할 수 있는 보안상 위험한 권한이 설정되어 있을 수 있다. 또한 이때, 이러한 권한 정보는 애플리케이션이 안드로이드 OS(operating system)를 기반으로 작성된 경우는 예를 들어 AndroidManifest.xml 파일 등에 기록될 수 있다. This permission information records information on rights that can be performed by the user terminal 150 when the application is installed in the user terminal 150 or the like. In the case of a malicious application, for example, "read a message "," "And the like may be set in a security risk dangerous to leakage of the user's personal information. Also, at this time, if the application is created based on the Android OS (operating system), such rights information may be recorded in, for example, an AndroidManifest.xml file or the like.

따라서, 악성 URL 검사장치(130)는 권한 검사를 통해 다운로드된 애플리케이션에 보안상 위험한 권한이 있는 것으로 검사되는 경우 해당 URL을 악성 URL로 판단할 수 있다. 이때, 악성 URL로 판단할 수 있는 권한은 정책에 따라 변경 설정될 수 있다.Therefore, when malicious URL checking apparatus 130 is checked that the downloaded application has security risk, the malicious URL checking apparatus 130 may determine the URL as a malicious URL. At this time, the right to judge the malicious URL can be changed according to the policy.

또한, 악성 URL 검사장치(130)는 악성 URL로 판단될 수 있는 보안상 위험한 권한을 가지고 있는 애플리케이션에 대해서는 API 검사를 통해 해당 애플리케이션의 실행파일을 디컴파일(decompile)한 후, 권한이 수행되기 위한 API가 실제로 호출되도록 작성된 것을 확인하는 경우 해당 URL을 악성 URL로 판단할 수 있다.In addition, the malicious URL checking device 130 decompiles an application executable file through an API check for an application having a security risk that can be determined to be a malicious URL, If you verify that the API is actually created to be invoked, you can determine the URL to be a malicious URL.

또한, 악성 URL 검사장치(130)는 위와 같은 권한/API 검사와 더불어 추가적으로 보다 확실한 악성 여부 검사 방법으로써 해당 애플리케이션을 애뮬레이터(emulator)상에서 실제 실행시켜 분석하는 동적 분석을 수행하여 악성 여부를 검사할 수 있으며, 애뮬레이터상에서 실제 실행된 애플리케이션의 행위 분석 결과 악성 행위를 수행하는 것으로 검사되는 경우 해당 URL을 악성 URL로 판단할 수 있다.In addition to the above-mentioned privilege / API inspection, the malicious URL checking apparatus 130 further performs a more reliable maliciousness checking method. The malicious URL checking apparatus 130 can perform a dynamic analysis to analyze and analyze the application on an emulator, And if the malicious behavior is detected as a result of the behavior analysis of an application actually executed on the emulator, the URL can be determined as a malicious URL.

이어, 악성 URL 검사장치(130)는 위와 같이 설명된 방법을 통해 사용자 단말(150)로 전송 요청된 메시지내 포함된 URL이 악성 URL로 판단된 경우, 해당 메시지가 비정상 메시지임을 메시지 전송서버(110)로 통보하여, 비정상 메시지가 사용자 단말(150)로 전송되는 것이 차단되도록 하거나, 메시지가 전송되는 경우에는 해당 메시지가 악성 URL을 포함하고 있는 위험성 있는 메시지임을 알리는 경고정보가 표시되도록 함으로써 비정상 메시지에 의한 피해가 방지될 수 있도록 한다.If the URL included in the message requested to be transmitted to the user terminal 150 is determined to be a malicious URL through the above-described method, the malicious URL checking device 130 determines that the corresponding message is an abnormal message, To prevent the abnormal message from being transmitted to the user terminal 150, or when the message is transmitted, warning information indicating that the corresponding message is a dangerous message including a malicious URL is displayed, thereby displaying an abnormal message So that damage caused by the damage can be prevented.

또한, 악성 URL 검사장치(130)는 위와 같은 악성 애플리케이션을 다운로드하도록 유도하는 악성 URL이 SMS, MMS 등의 메시지 외에 통신망상 다른 경로를 통해 사용자 단말(150)로 전송되는 경우를 대비하여 악성 URL로 판단된 URL 정보를 통신망상 유해사이트 차단 및 안내 시스템(140)에 제공하고, 이를 주기적으로 업데이트할 수 있다.In addition, the malicious URL checking device 130 may be configured to detect malicious URLs, such as malicious URLs, which are transmitted to the user terminal 150 through a different path on the communication network in addition to messages such as SMS and MMS, And provides the determined URL information to the harmful site blocking and guidance system 140 on the communication network, and may periodically update the information.

유해사이트 차단 및 안내 시스템(140)은 사용자 단말(150)에 피해를 줄 수 있는 악성 애플리케이션을 배포하는 등의 유해한 사이트에 대한 정보를 구비하여 사용자 단말(150)이 해당 유해 사이트로 접속하려고 하는 경우 이를 차단시키고 위험성에 대한 안내페이지를 제공할 수 있는 시스템이다. The harmful site blocking and guidance system 140 includes information on harmful sites such as distributing a malicious application that may cause harm to the user terminal 150 and when the user terminal 150 tries to access the harmful site It is a system that can block this and provide guidance page about the risk.

따라서, 악성 URL 검사장치(130)에서 이러한 유해사이트 차단 및 안내 시스템(140)에 악성 URL에 대한 정보를 제공하고, 주기적으로 업데이트시킴에 따라 악성 URL이 SMS, MMS 등의 메시지 외에 통신망상 다른 경로(예를 들면, 문자 메시징 애플리케이션 등)를 통해 사용자 단말(150)로 전송되어, 악성 URL이 포함된 메시지를 사전에 차단시키거나 경고하지 못한 경우라도, 악성 URL 정보를 가지고 있는 유해사이트 차단 및 안내 시스템(140)에 의해 사용자 단말(150)이 해당 악성 URL로 접속하는 것을 차단시킬 수 있게 된다.Accordingly, the malicious URL checking apparatus 130 provides information on the malicious URL to the malicious website blocking and guidance system 140 and periodically updates the malicious URL, so that the malicious URL can be transmitted to other routes (For example, a text messaging application or the like) to the user terminal 150 to prevent or alert a message including a malicious URL in advance, it is possible to prevent malicious sites having malicious URL information from being blocked The system 140 can block the user terminal 150 from accessing the malicious URL.

이때, 유해사이트 차단 및 안내 시스템(140)은 악성 URL 검사장치(130)에서 제공된 악성 URL 정보를 이용하여 사용자 단말(150)의 해당 URL로의 접속을 차단시키는 경우에는 도 4에서 보여지는 바와 같은 차단 안내 메시지를 사용자 단말(150)로 전송하여 사용자가 인지할 수 있도록 할 수도 있다.At this time, the harmful site blocking and guidance system 140 may block the connection to the URL of the user terminal 150 using the malicious URL information provided by the malicious URL checking device 130, And may transmit the guidance message to the user terminal 150 so that the user can recognize the guidance message.

한편, 위 설명한 악성 URL 검사장치(130)의 설명에서는 악성 URL 검사장치(130)가 메시지 전송서버(110)에서 직접적으로 메시지를 제공받아 해당 메시지로부터 URL을 추출한 후, 추출된 URL에 대해 악성 URL인지 정상 URL인지 여부를 판단하는 것을 설명하였으나 스팸필터링 서버(120)와의 연동을 통해 위와 같은 동작을 수행하는 것도 가능하다.In the above description of the malicious URL checking device 130, the malicious URL checking device 130 receives a message directly from the message transmission server 110, extracts a URL from the message, and then transmits the malicious URL It is possible to perform the above-described operation through interlocking with the spam filtering server 120. [0050]

이하에서는 스팸필터링 서버(120)와 악성 URL 검사장치(130)가 연동하여 URL이 포함된 메시지에 대해 비정상 메시지 여부를 판단하는 동작을 상세히 설명하기로 한다.Hereinafter, an operation of determining whether an abnormal message is included in a message including a URL by interlocking with the spam filtering server 120 and the malicious URL checking apparatus 130 will be described in detail.

먼저, 스팸필터링 서버(120)는 메시지 전송서버(130)를 통해 사용자 단말(150)로 전송되는 다양한 형태의 메시지에 대해 기 저장된 필터링 패턴(filtering pattern)과 비교하여 스팸성 메시지인지 여부를 검사하는 서버를 말한다.First, the spam filtering server 120 compares various types of messages transmitted to the user terminal 150 through the message transmission server 130 with a pre-stored filtering pattern to check whether the messages are spam messages. .

따라서, 본 발명의 실시예에서는 스팸필터링 서버(120)에서 위와 같은 스팸 메시지 필터링 기능과 함께 URL이 포함된 메시지에 대해 해당 메시지로부터 URL을 추출하도록 하고, 악성 URL 검사장치(130)로 해당 URL이 악성 URL인지 여부를 요청하도록 구현할 수 있다. 또한, 악성 URL 검사장치(130)로부터 해당 URL이 악성 URL로 통보되는 경우 악성 URL을 포함하고 있는 메시지에 대해서는 메시지 전송서버(110)로 메시지가 비정상 메시지임을 통보하도록 하여 해당 메시지가 사용자 단말(150)로 전송되지 않도록 구현할 수 있다.Accordingly, in the embodiment of the present invention, the spam filtering server 120 extracts a URL from a message containing a URL together with the spam message filtering function as described above, and transmits the URL to the malicious URL checking device 130 It can be implemented to request whether it is malicious URL. In addition, when the malicious URL checking apparatus 130 notifies the malicious URL of the URL, the malicious URL is notified to the message transmission server 110 that the message is an abnormal message, ). ≪ / RTI >

그러면, 악성 URL 검사장치(130)는 스팸필터링 서버(120)로부터 URL의 악성 여부 판단을 요청 받는 경우에는 앞서 설명한 방식과 동일하게 해당 URL이 악성 URL인지 정상 URL인지 여부를 판단하고, 결과를 스팸필터링 서버(120)로 제공하게 된다.If the malicious URL checking device 130 receives a request from the spam filtering server 120 to determine whether the URL is malicious, the malicious URL checking device 130 determines whether the URL is a malicious URL or a normal URL in the same manner as described above, And provides it to the filtering server 120.

또한, 스팸필터링 서버(120)는 악성 URL 검사장치(130)로부터 악성 URL로 판단된 URL에 대해서는 해당 URL의 리스트 정보를 필터링 패턴으로 구비하여 새로이 수신된 메시지내 포함된 URL의 악성 여부 판단 시, 악성 URL 검사장치(130)로 판단을 요청하기 전에 악성 URL 리스트와 비교하여 악성 여부를 판단할 수도 있다. 이때, 이러한 악성 URL 리스트는 악성 URL 검사장치(130)와 연동하여 주기적으로 업데이트될 수 있다.In addition, the spam filtering server 120 may include a list of URLs that are determined to be malicious URLs from the malicious URL checking device 130 in a filtering pattern, and upon determining whether malicious URLs included in newly received messages are malicious, The malicious URL checking device 130 may compare the malicious URL list with the malicious URL list before requesting the malicious URL checking device 130 to determine whether the malicious URL is malicious. At this time, the malicious URL list may be periodically updated in association with the malicious URL checking apparatus 130.

도 2는 본 발명의 실시예에 따른 악성 URL 검사장치의 상세 블록 구성을 도시한 것으로, 통신부(200), URL 추출부(202), 사전 필터링부(204), 백신부(206), 권한/API 검증부(208), 동적 분석부(212), 가공부(214), 메모리부(216), 데이터 베이스(data base)(218), 제어부(220) 등을 포함할 수 있다.FIG. 2 is a detailed block diagram of a malicious URL checking apparatus according to an embodiment of the present invention. The malicious URL checking apparatus includes a communication unit 200, a URL extracting unit 202, a pre-filtering unit 204, a vaccine unit 206, An API verification unit 208, a dynamic analysis unit 212, a processing unit 214, a memory unit 216, a data base 218, a control unit 220, and the like.

이하, 도 2를 참조하여 본 발명의 악성 URL 검사장치(104)의 각 구성요소에서의 동작을 상세히 설명하기로 한다.Hereinafter, the operation of each component of the malicious URL checking apparatus 104 of the present invention will be described in detail with reference to FIG.

먼저, 통신부(200)는 SMSC(108), MMSC(110) 또는 패킷기반 메시지 서버 등의 메시지 전송 서버(110)와의 데이터 송수신을 수행하고, 인터넷 등의 통신망과 연결되어 통신망상 웹서버(web server), 유해사이트 차단 및 안내 시스템(140) 등과의 데이터 송수신을 수행한다.First, the communication unit 200 transmits and receives data to and from the message transmission server 110 such as the SMSC 108, the MMSC 110, or the packet based message server, and is connected to a communication network such as the Internet, ), The harmful site blocking and guidance system 140, and the like.

URL 추출부(202)는 사용자 단말(150)로 전송이 요청되는 메시지가 메시지 전송 서버(110)로 수신되는 경우, 메시지내 URL이 포함되어 있는지 검사하고, URL이 포함된 경우 해당 URL을 추출한다.When a message to be transmitted to the user terminal 150 is received by the message transmission server 110, the URL extracting unit 202 checks whether a URL in the message is included or not, and extracts the corresponding URL when the URL is included .

사전 필터링부(204)는 URL 추출부(202)로부터 추출된 URL에 대해 악성 URL 리스트와의 비교를 통한 사전 필터링을 수행하여 메시지로부터 추출된 URL이 악성 URL인지 여부를 판단하고, 악성 URL로 판단하는 경우 이와 같은 판단 정보를 제어부(220)에 제공한다. 이에 따라 제어부(220)는 악성 URL 판단 정보를 메시지 전송 서버(110)로 제공하여 해당 메시지가 사용자 단말(150)로 전송되지 않도록 한다. 이때, 이러한 악성 URL 리스트는 악성 URL 검사장치(130)에서 이전에 검사가 진행되어 악성 URL로 판단된 URL들의 리스트 정보를 말하는 것으로, 데이터 베이스(218)에 저장될 수 있으며, 악성 URL 검사 과정에서 악성 URL로 판단된 URL 정보가 주기적으로 업데이트될 수 있다.The pre-filtering unit 204 performs pre-filtering on the URL extracted from the URL extracting unit 202 through comparison with the malicious URL list to determine whether or not the URL extracted from the message is a malicious URL, And provides such determination information to the control unit 220. Accordingly, the control unit 220 provides the malicious URL determination information to the message transmission server 110 so that the corresponding message is not transmitted to the user terminal 150. The malicious URL list may be stored in the database 218 by referring to the list information of URLs that have been previously inspected by the malicious URL inspection device 130 and determined to be malicious URLs, The URL information determined as a malicious URL may be periodically updated.

백신 엔지부(206)는 URL의 접속을 통해 다운로드된 애플리케이션에 대해 미리 구비하고 있는 백신 엔진을 이용하여 악성 애플리케이션인지 여부를 검사하고, 검사결과를 제어부(220)에 제공한다. 위와 같은 백신 엔진은 예를 들어 백신을 개발하는 회사로부터 제공된 상용 백신 엔진일 수 있다.The vaccine engine unit 206 checks whether or not the application is a malicious application by using a vaccine engine that is provided in advance for the application downloaded through the URL connection, and provides the inspection result to the control unit 220. Such a vaccine engine may be, for example, a commercial vaccine engine provided by a company developing the vaccine.

권한/API 검증부(208)는 애플리케이션의 실행 파일을 분석하여 애플리케이션이 가지고 있는 권한 정보를 검사하여 보안상 위험한 권한이 설정되어 있는 경우, 악성 URL로 판단하고 이와 같은 판단 결과를 제어부(220)에 제공한다. 이러한 권한 정보는 애플리케이션이 사용자 단말(150) 등에 설치될 때 사용자 단말(150)에서 수행할 수 있는 권한에 대한 정보를 기록한 것으로, 악성 애플리케이션인 경우 예를 들어 "메시지 읽기", "통화내용 가로채기" 등의 사용자의 개인 정보를 유출할 수 있는 보안상 위험한 권한이 설정되어 있을 수 있다. The privilege / API verification unit 208 analyzes the executable file of the application and checks the privilege information held by the application. If the privilege is dangerous in security, the privilege / API verifying unit 208 determines that the privilege is a malicious URL and sends the determination result to the control unit 220 to provide. This permission information records information on rights that can be performed by the user terminal 150 when the application is installed in the user terminal 150 or the like. In the case of a malicious application, for example, "read a message "," "And the like may be set in a security risk dangerous to leakage of the user's personal information.

또한, 권한/API 검증부(208)는 위와 같은 권한 검사와 더불어 애플리케이션의 실행파일을 디컴파일하여 분석한 후, 보안상 위험한 권한이 수행되기 위한 API가 실제로 호출되도록 실행파일이 작성되어 있는지 여부를 검사하여 악성 URL 여부를 판단할 수도 있다. 즉, 예를 들어 권한/API 검증부(208)는 API가 실제로 호출되도록 실행파일이 작성된 경우는 악성 URL로 판단할 수 있고, 아닌 경우는 정상 URL로 판단할 수도 있다.In addition, the authority / API verifying unit 208 decompiles and analyzes the executable file of the application in addition to the above authority checking, and then determines whether or not an executable file has been created such that an API for performing a dangerous security right is actually called And may determine whether or not the URL is malicious. In other words, for example, the authority / API verification unit 208 can determine that the malicious URL is generated when an executable file is created so that the API is actually called, and if not, it can be determined as a normal URL.

동적 분석부(212)는 애플리케이션을 애뮬레이터(emulator)상에서 실제 실행시켜 분석하는 동적 분석을 수행하여 악성 여부를 검사할 수 있다. 즉, 동적 분석부(212)는 애플리케이션을 애뮬레이터상에서 실제 실행시키고, 실행된 애플리케이션의 행위를 분석하여 악성 행위를 수행하는 것으로 검사되는 경우, 악성 URL로 판단하고, 이와 같은 판단 결과를 제어부(220)에 제공한다.The dynamic analysis unit 212 may perform a dynamic analysis to analyze an application by actually executing the application on an emulator, thereby checking whether the application is malicious. That is, if the dynamic analysis unit 212 actually executes the application on the emulator and analyzes the behavior of the executed application and performs the malicious action, the dynamic analysis unit 212 determines the malicious URL, .

가공부(214)는 위와 같이 URL 분석을 통해 메시지내 포함된 URL이 악성 URL로 확인되는 경우, 악성 URL임을 알리는 URL 검증 정보를 생성하고, 이와 같이 생성한 URL 검증정보가 메시지내 포함되도록 가공한다. 이때, 가공부(214)는 URL 검증 정보를 메시지에 포함시킴에 있어서, 예를 들어 메시지의 헤더(header)나 데이터 영역(data area)의 일정 영역에 부가할 수 있다. 이와 같은 경우 이동통신 단말기 등의 사용자 단말(150)에서는 메시지상 미리 약속된 영역에서 URL 검증 정보를 읽어 들여 URL의 악성 여부를 확인하고, URL의 악성 여부를 메시지와 함께 표시시켜 사용자가 URL의 위험성을 사전에 인지할 수 있도록 한다.When the URL included in the message is identified as a malicious URL through the URL analysis as described above, the processing unit 214 generates URL verification information indicating that the URL is a malicious URL, and processes the URL verification information thus generated to include the URL verification information in the message . At this time, in embedding the URL verification information in the message, the processing unit 214 may add, for example, to a header of the message or a certain area of the data area. In this case, the user terminal 150 of the mobile communication terminal reads the URL verification information in the promised area in the message to check whether or not the URL is malicious, displays whether or not the URL is malicious together with the message, To be recognized in advance.

메모리부(216)는 악성 URL 검사장치(130)의 전반적인 동작을 위한 동작 제어 프로그램을 저장하고 있으며, 제어부(220)는 메모리부(216)에 저장된 동작 제어 프로그램에 따라 악성 URL 검사장치(130)의 전반적인 동작을 제어한다.The memory unit 216 stores an operation control program for the overall operation of the malicious URL checking apparatus 130. The control unit 220 controls the malicious URL checking apparatus 130 according to the operation control program stored in the memory unit 216, Lt; / RTI >

이하, 동작을 보다 상세히 살펴보면, 먼저 제어부(220)는 URL에 대해 사전 필터링부(204)를 통해 악성 URL 리스트와의 비교를 통한 사전 필터링을 수행하여 악성 URL인지 여부를 판단하고, 악성 URL로 판단하는 경우 이와 같은 판단 정보를 메시지 전송 서버(110)로 제공하여 해당 메시지가 사용자 단말(150)로 전송되지 않도록 한다. 이때, 위와 같은 악성 URL 리스트는 악성 URL 검사장치(130)에서 이전에 검사가 진행되어 악성 URL로 판단된 URL들의 리스트 정보를 말할 수 있으며, 검사 과정에서 악성 URL로 판단된 URL 정보가 주기적으로 업데이트될 수 있다.Hereinafter, the operation will be described in more detail. First, the control unit 220 performs prefiltering on the URL by comparing with the malicious URL list through the pre-filtering unit 204 to determine whether or not the URL is malicious, It provides the determination information to the message transmission server 110 so that the corresponding message is not transmitted to the user terminal 150. At this time, the malicious URL list as described above can be referred to the list information of URLs judged to be malicious URLs by the malicious URL inspection device 130, and the URL information judged as a malicious URL is periodically updated .

다음으로, 제어부(220)는 위와 같은 사전 필터링을 통해 악성 URL인지 여부가 정확히 판단되지 않는 URL에 대해서는 백신 엔진부(206)를 통한 백신 검사, 권한/API 검증부(208)를 통한 권한/API 검사, 동적 분석부(212)를 통한 동적 분석 등을 통해 악성 URL인지 여부를 판단하게 된다.Next, the control unit 220 performs a vaccination check through the vaccine engine unit 206 for the URLs for which it is not accurately judged whether or not the URL is malicious through the pre-filtering, the authority / API A dynamic analysis through the dynamic analysis unit 212, and the like.

이때, 위와 같은 백신 검사, 권한/API 검사, 동적 분석 등을 통한 악성 URL 여부 판단 방법에 있어서, 제어부(220)는 먼저 통신망을 통해 해당 URL로 접속하고, 해당 URL로의 접속에 따라 다운로드되는 애플리케이션의 악성 여부 검사를 통해 URL의 악성 여부를 판단할 수 있다.At this time, in the malicious URL determination method through the above vaccine inspection, authority / API inspection, dynamic analysis, etc., the control unit 220 first accesses the corresponding URL through the communication network, It is possible to judge whether the URL is malicious through maliciousness check.

먼저, 제어부(220)는 애플리케이션에 대해 이전에 검사된 애플리케이션의 시그니처 정보와 비교를 수행하고, 비교결과 해당 애플리케이션이 악성 애플리케이션으로 검사된 경우 해당 URL을 악성 URL로 판단하며, 정상 애플리케이션으로 검사된 경우 해당 URL을 정상 URL로 판단할 수 있다. 이때, 위와 같은 시그니처 정보는 예를 들어 SHA-256, MD5 등의 해쉬코드 정보일 수 있다.First, the control unit 220 compares the signature information of the application with the signature information of the previously inspected application. When the application is inspected as a malicious application as a result of the comparison, the control unit 220 determines that the URL is a malicious URL. The URL can be judged as a normal URL. At this time, the signature information may be hash code information such as SHA-256, MD5, and the like.

다음으로, 제어부(220)는 다운로드된 애플리케이션이 이전에 검사된 적이 없는 애플리케이션인 경우, 백신 엔진부(206)를 제어하여 백신 엔진부(206)에 구비된 백신 엔진에 의해 악성 애플리케이션인지 여부가 검사되도록 한 후, 악성 애플리케이션으로 검사되는 경우 해당 URL을 악성 URL로 판단할 수 있다. Next, when the downloaded application is an application that has not been previously checked, the control unit 220 controls the vaccine engine unit 206 to check whether or not the application is a malicious application by the vaccine engine provided in the vaccine engine unit 206 If the malicious application is scanned, the malicious URL can be determined.

그러나, 위와 같은 백신 엔진을 이용한 애플리케이션의 악성 여부 검사는 백신 엔진에 포함되지 않는 변종 패턴을 가지는 애플리케이션에 대해서는 정확한 검사가 이루어지지 않을 수도 있다. 따라서, 제어부(220)는 백신엔진을 통해 악성 애플리케이션으로 판단되지 않은 애플리케이션에 대해서는 보다 정확한 판단을 위해 권한/API 검증부(208)를 통한 권한/API 검사, 동적 분석부(212)를 통한 동적 분석 등이 추가로 수행되도록 제어한다.However, an application maliciousness check using the above-mentioned vaccine engine may not be accurately inspected for an application having a variant pattern not included in the vaccine engine. Accordingly, the control unit 220 may perform authorization / API inspection through the authorization / API verification unit 208, dynamic analysis through the dynamic analysis unit 212 for more accurate determination of an application not determined to be a malicious application through the vaccine engine, And so on.

즉, 제어부(220)는 권한/API 검증부(208)를 통한 권한 검사 결과 애플리케이션에 사용자의 개인 정보를 유출할 수 있는 보안상 위험한 권한이 설정되어 있는 것으로 검사되어 악성 URL로 판단되는 경우 해당 URL을 악성 URL로 판단할 수 있다. 이때, 권한/API 검증부(208)에서 악성 URL로 판단할 수 있는 권한은 정책에 따라 변경 설정될 수 있다. 또한, 권한/API 검증부(208)는 악성 URL로 판단될 수 있는 보안상 위험한 권한을 가지고 있는 애플리케이션에 대해서는 추가적으로 디컴파일 분석을 통해 해당 권한이 수행되기 위한 API가 실제로 호출되는지를 확인하여 악성 URL로 판단할 수 있다. 이와 같은 API 검사를 통한 악성 URL 판단정보 또한 제어부(220)로 제공될 수 있다.That is, when the control unit 220 determines that the privilege is dangerous because it is possible to leak the user's personal information to the application as a result of the authorization check through the authorization / API verification unit 208, As a malicious URL. At this time, the right that can be determined as a malicious URL in the authority / API verification unit 208 can be changed according to the policy. In addition, the authority / API verifying unit 208 further verifies whether an API for performing the corresponding authority is actually invoked through decompile analysis for an application having a security risk that can be determined to be a malicious URL, . The malicious URL determination information through the API inspection may also be provided to the control unit 220.

또한, 제어부(220)는 위와 같은 권한/API 검사와 더불어 추가적으로 보다 확실한 악성 여부 검사 방법으로써 동적 분석부(212)를 통해 해당 애플리케이션이 애뮬레이터상에서 실제 실행되도록 한 후, 애뮬레이터상에서 실제 실행된 애플리케이션이 악성 행위를 수행하는 것으로 검사되는 경우 해당 URL을 악성 URL로 판단할 수 있다.In addition to the above-mentioned rights / API checks, the control unit 220 further performs a more reliable maliciousness checking method, such that the application is actually executed on the emulator through the dynamic analyzer 212, If it is checked to perform an action, the URL may be determined to be a malicious URL.

이어, 제어부(220)는 위와 같이 설명된 방법을 통해 사용자 단말(150)로 전송 요청된 메시지내 포함된 URL이 악성 URL로 판단된 경우, 해당 메시지가 비정상 메시지임을 메시지 전송서버(110)로 통보하여, 비정상 메시지가 사용자 단말(150)로 전송되지 않도록 하거나, 메시지가 전송되는 경우에는 해당 메시지가 위험성 있는 악성 URL을 포함하고 있는 메시지임을 알리는 검증정보가 전송되도록 함으로써 비정상 메시지에 의한 피해가 방지될 수 있도록 한다.When the URL included in the message requested to be transmitted to the user terminal 150 is determined to be a malicious URL through the above-described method, the control unit 220 notifies the message transmission server 110 that the corresponding message is an abnormal message In the case where the abnormal message is not transmitted to the user terminal 150, or when the message is transmitted, the verification information indicating that the corresponding message contains the malicious URL containing the dangerous URL is transmitted so that the damage caused by the abnormal message is prevented .

또한, 제어부(220)는 위와 같은 악성 애플리케이션을 다운로드하도록 유도하는 악성 URL이 SMS, MMS 등의 메시지 외에 통신망상 다른 경로를 통해 사용자 단말(150)로 전송되는 경우를 대비하여 악성 URL로 판단된 URL 정보를 통신부(200)를 통해 통신망상 유해사이트 차단 및 안내 시스템(140)에 제공하고, 이를 주기적으로 업데이트할 수 있다.Also, in case that a malicious URL that induces the malicious application to download is sent to the user terminal 150 via a different path on the communication network in addition to the SMS or MMS message, the control unit 220 transmits a URL determined as a malicious URL Information can be provided to the harmful site blocking and guidance system 140 on the communication network through the communication unit 200 and can be periodically updated.

한편, 본 발명의 다른 실시예로써, 메시지내 포함된 URL 정보가 스팸필터링 서버(120)를 통해 추출되어 인가되도록 구성되는 경우, 제어부(220)는 앞서 설명한 방식과 동일하게 해당 URL이 악성 URL인지 정상 URL인지 여부를 판단하고, URL의 악성 여부 판단 결과만을 스팸필터링 서버(120)로 제공하도록 할 수도 있다.In another embodiment of the present invention, when the URL information included in the message is extracted and applied through the spam filtering server 120, the control unit 220 determines whether the corresponding URL is a malicious URL It may be determined whether the URL is a normal URL, and only the malicious result of the URL may be provided to the spam filtering server 120.

이러한 경우에는, 스팸필터링 서버(120)가 악성 URL에 대한 검사결과를 수신하고, 악성 URL인 경우 메시지 전송서버(110)로 메시지가 비정상 메시지임을 통보하여, 비정상 메시지가 사용자 단말(150)로 전송되지 않도록 할 수 있다.In this case, the spam filtering server 120 receives the result of the inspection of the malicious URL. If the malicious URL is found, the malicious URL is notified to the message transmission server 110 that the message is an abnormal message, and an abnormal message is transmitted to the user terminal 150 .

도 3은 본 발명의 실시예에 따른 사용자 단말(150) 중 이동통신 단말기의 상세 블록 구성을 도시한 것이다. 이하, 도 3을 참조하여 이동통신 단말기 각 블록에서의 동작을 상세히 설명하기로 한다.FIG. 3 illustrates a detailed block configuration of a mobile communication terminal in a user terminal 150 according to an embodiment of the present invention. Hereinafter, the operation of each block of the mobile communication terminal will be described in detail with reference to FIG.

먼저, 키입력부(300)는 이동통신 단말기의 다양한 동작 요청을 위한 다수의 숫자키 및 기능키로 구성될 수 있으며, 사용자가 소정의 키를 누를 때 해당하는 키데이터를 발생하여 제어부(306)로 출력한다. 위와 같은 키입력부(300)는 제조사별, 국가별로 문자 배열의 차이가 있다. 또한, 키입력부(300)는 스마트폰(smart phone), 테블릿 PC 등에서는 물리적인 키패드(keypad) 대신, 소프트웨어 방식으로 필요 시마다 표시부(304)상에 터치 스크린(touch screen) 형식으로 표시될 수도 있다.First, the key input unit 300 may include a plurality of numeric keys and function keys for requesting various operations of the mobile communication terminal. When the user presses a predetermined key, corresponding key data is generated and output to the control unit 306 do. The key input unit 300 has a character arrangement difference by manufacturer and country. In addition, the key input unit 300 may be displayed in a touch screen format on the display unit 304 whenever necessary in place of a physical keypad in a smart phone or a tablet PC have.

오디오부(310)는 제어부(306)의 제어를 받아 마이크(MIC)를 통해 입력되는 음성신호를 무선신호로 변조하고, 수신되는 무선신호를 복조하여 스피커(SPK)에 음성신호로서 송출한다. 또한, 오디오부(310)는 음성통화 시 제어부(306)에 의해 설정되는 다양한 음성품질로 음성신호를 처리하는 코덱부(codec)를 더 포함할 수 있다.The audio unit 310 modulates a voice signal inputted through a microphone (MIC) into a radio signal under the control of the control unit 306, demodulates the received radio signal, and transmits the demodulated radio signal as a voice signal to the speaker SPK. The audio unit 310 may further include a codec for processing a voice signal with various voice qualities set by the control unit 306 during a voice call.

통신부(308)는 통신망을 통해 메시지 제공자(100)로부터 발송된 메시지를 수신한다. 이때, 위와 같은 메시지는 메시지 제공자(100)인 금융업체, 제조업체, 오픈 마켓 등의 기업의 요청에 의해 생성된 메시지 등이 될 수 있으며, 기업과 관련된 공지, 홍보, 광고 등의 내용을 포함한 메시지가 될 수 있다.The communication unit 308 receives a message sent from the message provider 100 via the communication network. At this time, the above-mentioned message may be a message generated by a request of a company such as a financial provider, a manufacturer, or an open market, which is a message provider 100, and a message including a notice related to the corporation, .

표시부(304)는 제어부(306)의 제어에 따라 이동통신 단말기의 각종 정보를 표시하며, 키입력부(300)에서 발생되는 키데이터 및 제어부(306)의 각종 정보신호를 입력받아 디스플레이한다. 또한, 본 발명의 실시예에 따라 메시지내 포함된 URL의 위험성을 알리는 정보를 기설정된 마크(mark)나 그림 또는 문자 등으로 표시시킨다.The display unit 304 displays various kinds of information of the mobile communication terminal under the control of the control unit 306 and receives and displays key data generated by the key input unit 300 and various information signals of the control unit 306. In addition, according to the embodiment of the present invention, information indicating a danger of a URL included in a message is displayed with a predetermined mark, a picture or a character.

URL 검증부(312)는 통신부(308)로부터 수신된 SMS, MMS 메시지 또는 패킷기반 메시지 등의 메시지에 대해 메시지내 포함된 URL에 대한 URL 검증 정보가 존재하는지 여부를 검사하고, URL 검증 정보가 존재하는 경우 해당 URL 검증 정보를 추출하여 제어부(306)로 제공한다.The URL verification unit 312 checks whether URL validation information for a URL included in the message is present in a message such as an SMS, an MMS message, or a packet-based message received from the communication unit 308, And provides the extracted URL verification information to the control unit 306.

제어부(306)는 메모리부(302)에 저장된 동작 프로그램에 따라 이동통신 단말기의 전반적인 동작을 제어한다. 위와 같은 동작 프로그램은 이동통신 단말기의 동작에 필요한 기본적인 운영 시스템(operating system) 뿐만 아니라, 표시부(304)와 키입력부(300)를 연결하고, 데이터의 입/출력을 관리하거나, 이동통신 단말기의 내부 애플리케이션(application) 등을 동작시키도록 제조 시 미리 프로그램밍(programing)되는 소프트웨어(software)를 통칭한다.The control unit 306 controls the overall operation of the mobile communication terminal according to the operation program stored in the memory unit 302. [ The above operation program connects the display unit 304 and the key input unit 300 and controls the input / output of data, as well as a basic operating system necessary for the operation of the mobile communication terminal, Software that is pre-programmed at the time of manufacturing to operate an application or the like.

또한, 본 발명의 실시예에 따라 다양한 SMS, MMS 메시지 또는 패킷기반 메시지 등의 메시지가 수신되는 경우 URL 검증부(312)를 제어하여 URL이 포함된 메시지에 대해서는 URL 검증 정보를 추출하여 메시지내 포함된 URL에 대한 위험성을 메시지의 수신 화면상에 표시시킨다.In addition, according to the embodiment of the present invention, when a message such as various SMS, MMS message, or packet based message is received, the URL verification unit 312 is controlled to extract URL verification information for a message including a URL, And displays the dangerousness of the URL on the receiving screen of the message.

이때, 제어부(306)는 예를 들어 URL 검증 정보를 이용하여 수신된 메시지내 포함된 URL가 악성 URL인 것을 확인하는 경우, 수신된 메시지가 비정상 메시지임을 알리는 정보를 화면상 문자 또는 그림으로 표시시키거나 소리로 출력시켜 사용자가 메시지의 위험성을 인지하도록 할 수 있다. At this time, when the control unit 306 confirms that the URL included in the received message is a malicious URL, for example, using the URL verification information, the control unit 306 displays the information indicating that the received message is an abnormal message on the screen using a character or a picture Or outputting a sound so that the user can recognize the risk of the message.

도 5는 본 발명의 실시예에 따른 악성 URL 검사장치(130)에서 사용자 단말(150)로 전송되는 메시지의 비정상 여부를 검사하는 동작 제어 흐름을 도시한 것이다. 이하, 도 1 내지 도 5를 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.FIG. 5 illustrates an operation control flow for checking whether a message transmitted from the malicious URL checking apparatus 130 to the user terminal 150 according to an exemplary embodiment of the present invention is abnormal. Hereinafter, embodiments of the present invention will be described in detail with reference to FIGS. 1 to 5. FIG.

먼저, 악성 URL 검사장치(130)는 예를 들어 도 1에서 보여지는 바와 같이 SMSC(112), MMSC(114) 등의 메시지 전송서버(110)와 연결되어 SMSC(112) 등으로 메시지가 수신되는 경우, 메시지의 비정상 여부 검사를 위해 SMSC(112)로부터 해당 메시지를 전달받는다(S500).First, the malicious URL checking apparatus 130 is connected to a message transmission server 110 such as the SMSC 112 and the MMSC 114 as shown in FIG. 1 and receives a message through the SMSC 112 or the like The corresponding message is received from the SMSC 112 to check whether the message is abnormal (S500).

이어, 악성 URL 검사장치(130)는 전달받은 메시지로부터 메시지내 포함된 URL을 추출하고(S502), 사전 필터링을 통해 추출된 URL이 악성 URL인지 여부를 검사한다(S504).Then, the malicious URL checking apparatus 130 extracts the URL included in the message from the received message (S502), and checks whether the URL extracted through the pre-filtering is a malicious URL (S504).

이때, 악성 URL 검사장치(130)는 사전 필터링을 수행함에 있어서, 메시지로부터 추출된 URL을 악성 URL 리스트(list)와의 비교하여(S506), 추출된 URL이 악성 URL 리스트에 존재하는 경우 악성 URL로 판단하고(S526), 악성 URL로 판단하는 경우 이와 같은 판단 정보를 메시지 전송 서버(110)로 제공하여 해당 메시지가 사용자 단말(150)로 전송되지 않도록 하거나, URL의 위험성이 경고되도록 한다. 이때, 위와 같은 악성 URL 리스트는 악성 URL 검사장치(130)에서 이전에 검사가 진행되어 악성 URL로 판단된 URL들의 리스트 정보를 말하는 것으로, 이러한 악성 URL 리스트는 악성 URL 검사장치(130)에 구비될 수 있으며, 악성 URL 검사 과정에서 악성 URL로 판단된 URL 정보가 주기적으로 업데이트(update)될 수 있다.At this time, the malicious URL checking device 130 compares the URL extracted from the message with the list of malicious URLs (S506), and if the extracted URL exists in the malicious URL list, (S526). When the malicious URL is determined, the malicious URL is provided to the message transmission server 110 so that the corresponding message is not transmitted to the user terminal 150, or the risk of the URL is warned. At this time, the malicious URL list as described above refers to the list information of the URLs previously judged to be malicious URLs by the malicious URL checking device 130, and the malicious URL list is provided to the malicious URL checking device 130 And the URL information determined as a malicious URL in the malicious URL checking process may be periodically updated.

그러나, 사전 필터링을 통해 악성 URL 여부가 판단되지 않는 경우, 악성 URL 검사장치(130)는 해당 URL에 대해서는 백신 검사, 권한/API 검사, 동적 분석 등을 통해 악성 URL인지 여부를 판단하게 된다.However, if the malicious URL is not determined through the prefiltering, the malicious URL checking device 130 determines whether the URL is a malicious URL by performing a vaccine check, an authority / API check, a dynamic analysis, and the like.

즉, 먼저 악성 URL 검사장치(130)는 사전 필터링을 통해 악성 URL인지 여부가 정확히 판단되지 않는 URL에 대해서는 유무선 통신망을 통해 해당 URL 주소로 링크되는 웹서버(도시하지 않음) 등에 접속하고, 해당 URL로의 접속에 따라 특정 애플리케이션이 다운로드되는 경우 해당 애플리케이션(application)을 다운로드받는다(S508).That is, first, the malicious URL checking device 130 accesses a web server (not shown) linked to the corresponding URL address through a wired / wireless communication network for a URL for which it is not accurately judged whether or not the malicious URL is determined through the pre-filtering, The application is downloaded (S508) when a specific application is downloaded.

이어, 악성 URL 검사장치(130)는 다운로드된 애플리케이션에 대해 이전에 검사된 애플리케이션의 시그니처(signiture) 정보와 비교하여 동일한 애플리케이션인지 여부를 검사함으로써 해당 애플리케이션의 악성 여부를 검사할 수 있다(S510). 이때, 악성 URL 검사장치(130)는 위와 같은 시그니처 정보와의 비교를 통해 애플리케이션이 악성 애플리케이션으로 검사된 경우 해당 URL을 악성 URL로 판단하고, 정상 애플리케이션으로 검사된 경우 해당 URL을 정상 URL로 판단할 수 있다. 또한 이때, 위와 같은 시그니처 정보는 예를 들어 SHA-256, MD5 등의 해쉬코드 정보일 수 있다.Next, the malicious URL checking device 130 may check whether the application is malicious by checking whether the downloaded application is the same application by comparing it with signage information of the previously inspected application (S510). At this time, the malicious URL checking device 130 judges that the URL is a malicious URL when the application is scanned as a malicious application through comparison with the signature information as described above. If the application is inspected as a normal application, the malicious URL checking device 130 determines the URL as a normal URL . Also, at this time, the signature information may be hash code information such as SHA-256, MD5, and the like.

다음으로, 악성 URL 검사장치(130)는 다운로드된 애플리케이션이 이전에 검사된 적이 없는 애플리케이션인 경우, 미리 구비하고 있는 백신 엔진을 이용하여 악성 애플리케이션인지 여부를 검사한다(S512). 위와 같은 백신 엔진은 예를 들어 백신을 개발하는 회사로부터 제공된 상용 백신 엔진일 수 있으며, 악성 URL 검사장치(130)는 다운로드된 애플리케이션이 악성 애플리케이션으로 검사된 경우(S514) 해당 URL을 악성 URL로 판단할 수 있다(S526). Next, in a case where the downloaded application is an application that has not been previously inspected, the malicious URL checking device 130 checks whether the downloaded application is a malicious application by using a vaccine engine that is provided in advance (S512). For example, the above-mentioned vaccine engine may be a commercial vaccine engine provided from a company developing a vaccine. If the downloaded application is examined as a malicious application (S514), the malicious URL inspection device 130 judges the URL as a malicious URL (S526).

그러나, 위와 같은 백신 엔진을 이용한 애플리케이션의 악성 여부 검사는 백신 엔진에 포함되지 않는 변종 패턴을 가지는 애플리케이션에 대해서는 정확한 검사가 이루어지지 않을 수도 있다. 따라서, 백신엔진을 통해 악성 애플리케이션으로 판단되지 않은 애플리케이션에 대해서 악성 URL 검사장치(130)는 다시 권한/API 검사, 동적 분석 등을 추가로 수행하게 된다.However, an application maliciousness check using the above-mentioned vaccine engine may not be accurately inspected for an application having a variant pattern not included in the vaccine engine. Accordingly, the malicious URL checking device 130 performs an authorization / API check, a dynamic analysis, and the like for an application not determined to be a malicious application through the vaccine engine.

즉, 악성 URL 검사장치(130)는 백신엔진을 통해 악성 애플리케이션 여부가 검사되지 않은 경우(S514), 해당 애플리케이션의 실행 파일을 분석하여 애플리케이션이 가지고 있는 권한 정보를 검사한다(S514). That is, if the malicious URL checking device 130 does not check whether the malicious application is detected through the vaccine engine (S514), the malicious URL checking device 130 analyzes the execution file of the application and checks the privilege information held by the application (S514).

이러한 권한 정보는 애플리케이션이 사용자 단말(150) 등에 설치될 때 사용자 단말(150)에서 수행할 수 있는 권한에 대한 정보를 기록한 것으로, 악성 애플리케이션인 경우 예를 들어 "메시지 읽기", "통화내용 가로채기" 등의 사용자의 개인 정보를 유출할 수 있는 보안상 위험한 권한이 설정되어 있을 수 있다. This permission information records information on rights that can be performed by the user terminal 150 when the application is installed in the user terminal 150 or the like. In the case of a malicious application, for example, "read a message "," "And the like may be set in a security risk dangerous to leakage of the user's personal information.

또한, 악성 URL 검사장치(130)는 권한 검사를 통해 다운로드된 애플리케이션에 보안상 위험한 권한이 있는 것으로 검사되는 경우, 보안상 위험한 권한을 가지고 있는 애플리케이션에 대해서는 다시 추가적으로 API 검사를 수행할 수 있다(S518). 이러한, API 검사 수행에 있어서 악성 URL 검사장치(130)는 해당 애플리케이션의 실행파일을 디컴파일(decompile)한 후, 권한이 수행되기 위한 API가 실제로 호출되도록 실행파일이 작성되어 있는지를 검사한다.In addition, if the malicious URL checking device 130 is checked that the downloaded application has a dangerous security to the downloaded application through the authorization checking, the malicious URL checking device 130 can additionally perform the API checking for the application having the security risk ). In performing the API check, the malicious URL checking device 130 decompresses the executable file of the corresponding application, and then checks whether an executable file is created so that the API for performing the permission is actually called.

이어, 악성 URL 검사장치(130)는 애플리케이션에 대한 권한 검사와 API 검사결과를 바탕으로 검사 요청된 URL이 악성 URL인지 여부를 검사하게 되며(S524), 권한 검사와 API 검사 결과 애플리케이션에 보안상 위험한 권한이 설정되어 있거나 또는 애플리케이션의 실행파일이 보안상 위험한 권한이 수행되기 위한 API가 실제로 호출되도록 작성된 경우 해당 URL을 악성 URL로 판단할 수 있다(S526). Then, the malicious URL checking device 130 checks whether the URL requested for inspection is a malicious URL based on the authorization check and the API check result for the application (S524) If the privilege is set, or if the API of the application executable file is created to actually execute the privilege, the URL may be determined to be a malicious URL (S526).

이와 달리, 권한 검사와 API 검사결과 애플리케이션에 보안상 위험한 권한이 설정되어 있지 않거나, 애플리케이션의 실행파일이 보안상 위험한 권한이 수행되기 위한 API가 실제로 호출되도록 작성되어 있지 않은 경우 악성 URL 검사장치(130)는 해당 URL을 정상 URL로 판단할 수 있다(S528).On the other hand, if the privilege checking and the API check result show that the security risk is not set in the application, or if the application executable file is not prepared to actually call the API for performing the security privilege, the malicious URL checking device 130 ) Can determine the URL as a normal URL (S528).

한편, 악성 URL 검사장치(130)는 백신엔진을 통해 악성 애플리케이션 여부가 검사되지 않은 애플리케이션에 대해 위와 같은 권한/API 검사와 더불어 추가적으로 보다 확실한 악성 여부 검사 방법으로써 해당 애플리케이션을 애뮬레이터(emulator)상에서 실제 실행시켜 분석하는 동적 분석을 수행하여 악성 여부를 검사할 수도 있다.On the other hand, the malicious URL checking device 130 is a more reliable method of checking maliciousness in addition to the above-mentioned privilege / API inspection for an application that is not checked for malicious application through a vaccine engine, and actually executes the application on an emulator And performing a dynamic analysis to analyze the maliciousness.

즉, 악성 URL검사장치(130)는 백신엔진을 통해 악성 애플리케이션 여부가 검사되지 않은 경우(S514), 애뮬레이터 상에서 해당 애플리케이션을 실제로 실행시키고(S520), 실제 실행된 애플리케이션의 행위를 분석한다(S522).That is, if the malicious URL checking device 130 does not check whether the malicious application is detected through the anti-virus engine (S514), the malicious URL checking device 130 actually executes the corresponding application on the emulator (S520) and analyzes the behavior of the actually executed application (S522) .

이어, 악성 URL 검사장치(130)는 애플리케이션에 대한 동적 분석 결과를 바탕으로 검사 요청된 URL이 악성 URL인지 여부를 검사하게 되며(S524), 애뮬레이터상 실제로 실행된 애플리케이션의 행위 분석 결과 악성 행위를 수행하는 것으로 검사되는 경우 해당 URL을 악성 URL로 판단할 수 있다(S526).Then, the malicious URL checking device 130 checks whether the URL requested to be inspected is a malicious URL based on the dynamic analysis result of the application (S524). If malicious action is performed as a result of the behavior analysis of the application actually executed on the emulator It is determined that the URL is a malicious URL (S526).

이와 달리, 동적 분석 결과 애뮬레이터상 실제 실행된 애플리케이션이 악성 행위를 수행하고 있지 않은 것으로 검사되는 경우 악성 URL 검사장치(130)는 해당 URL을 정상 URL로 판단할 수 있다(S528).Otherwise, if the dynamic analysis result indicates that the application actually executed on the emulator is not performing the malicious action, the malicious URL checking apparatus 130 may determine the URL as a normal URL (S528).

상기한 바와 같이, 본 발명에 따르면, 악성 URL을 검사하는 방법에 있어서, 다수의 기업 혹은 불특정 개인 등의 메시지 제공자로부터 해당 기업의 공지, 홍보, 광고 등을 위해서나 개인정보 유출 등의 목적으로 사용자 단말로 발송되는 다양한 메시지 중 URL이 포함된 메시지에 대해서는 URL이 악성 애플리케이션의 설치를 유도하는 악성 URL인지 여부를 검사하고, 악성 URL인 경우 해당 URL이 포함된 메시지를 비정상 메시지로 판단하여 사용자 단말로 전송되지 않도록 차단시키거나, URL의 위험성을 경고함으로써 악성 URL로 인한 피해가 방지되도록 한다. 또한, 악성 URL을 포함한 메시지에 대해 사용자 단말로 전송되기 전 메시지 전송서버에서 미리 필터링을 통해 차단시킴으로써 메시지를 통해 전파되는 악성 애플리케이션에 대한 원천적이고 선제적으로 차단할 수 있도록 한다. 또한, 악성 URL을 통해 다운로드되는 애플리케이션에 대한 악성 여부를 통신사 자체적으로 검사할 수 있는 모델을 제시함으로써 백신 엔진을 제공하는 백신 제공 회사에 비하여 악성 애플리케이션 샘플 수집에 더 유리하게 되어, 악성 애플리케이션 대응에 있어서 통신사의 독자적인 사업 모델을 창출할 수 있도록 한다.As described above, according to the present invention, in a malicious URL inspection method, a malicious URL is scanned from a message provider of a plurality of companies or an unspecified individual for the purpose of notifying, publicizing, advertising, Of the various messages sent to the user terminal, it is checked whether or not the URL is a malicious URL inducing installation of a malicious application. If the URL is a malicious URL, the message containing the URL is determined to be an abnormal message and transmitted to the user terminal , Or to warn of the danger of URLs to prevent damage from malicious URLs. In addition, the message transmission server blocks the malicious URL including the malicious URL by filtering before transmitting the malicious URL to the user terminal, so that the malicious application propagated through the message can be blocked in a source and preemptive manner. In addition, by providing a model in which a communication company itself can check maliciousness of an application downloaded through a malicious URL, it becomes more advantageous in collecting malicious application samples than a vaccine providing company that provides a vaccine engine, And to create a unique business model for telcos.

한편 상술한 본 발명의 설명에서는 구체적인 실시예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Accordingly, the scope of the invention should not be limited by the described embodiments but should be defined by the appended claims.

100 : 메시지 제공자 102 : 메시지 중계자
110 : 메시지 전송서버 120 : 스팸필터링 서버
130 : 악성 URL 검사장치 140 : 유해사이트 차단 및 안내시스템
150 : 사용자 단말 200 : 통신부
202 : URL 추출부 204 : 사전 필터링부
206 : 백신 엔진부 208 : 권한/API 검증부
212 : 동적 분석부 214 : 가공부
216 : 메모리부 218 : 데이터베이스
220 : 제어부100: message provider 102: message relay
110: message transmission server 120: spam filtering server
130: malicious URL checking device 140: harmful site blocking and guidance system
150: user terminal 200:
202 URL extracting unit 204:
206: Vaccine engine unit 208: Authority / API verification unit
212: dynamic analysis unit 214:
216: memory unit 218: database
220:

Claims (17)

메시지를 수신하면, 상기 메시지 내에 URL(uniform resource locator)이 포함되어 있는지 여부를 검사하고, 상기 URL을 추출하는 URL 추출부와,
상기 URL을 통해 애플리케이션을 다운로드 받는 통신부와,
상기 통신부를 통해 다운로드된 상기 애플리케이션내에 보안상 위험성을 가지는 권한 또는 API가 포함되어 있는지 여부를 검사하여 상기 URL의 악성여부를 판단하는 권한/API 검증부
를 포함하는 악성 URL 검사장치.
A URL extracting unit for checking whether a URL (uniform resource locator) is included in the message and extracting the URL when the message is received;
A communication unit for downloading an application through the URL,
An authority / API verification unit for checking whether the URL is malicious by checking whether the application downloaded through the communication unit includes authority or API having a security risk,
A malicious URL inspection device.
제 1 항에 있어서,
상기 악성 URL 검사장치는,
상기 악성으로 판단된 URL 리스트 정보를 필터링 정보로 저장하고, 상기 통신부에서 상기 애플리케이션을 다운로드 받기 전에 상기 추출된 URL이 상기 필터링 정보에 존재하는지 여부를 검사하여 상기 추출된 URL이 상기 필터링 정보에 존재하는 경우 상기 URL을 차단하는 사전 필터링부
를 더 포함하는 것을 특징으로 하는 악성 URL 검사장치.
The method according to claim 1,
The malicious URL checking apparatus comprises:
Storing the URL list information judged to be malicious as filtering information, checking whether the extracted URL exists in the filtering information before downloading the application from the communication unit, and if the extracted URL exists in the filtering information A pre-filtering unit for blocking the URL
The malicious URL inspection apparatus further comprising:
제 2 항에 있어서,
상기 사전 필터링부는,
상기 권한/API 검증부에서 악성으로 판단된 URL을 상기 필터링 정보에 업데이트하는 것을 특징으로 하는 악성 URL 검사장치.
3. The method of claim 2,
The pre-
Wherein the malicious URL checking unit updates the URL determined to be malicious in the authorization / API verification unit to the filtering information.
제 3 항에 있어서,
상기 악성 URL 검사장치는, 악성 애플리케이션을 유포하는 사이트를 포함하여 유해 사이트로 판단된 URL에 사용자 단말이 접속하는 경우 상기 접속을 차단하는 유해 사이트 차단시스템으로 상기 악성으로 판단된 URL을 제공하는 것을 특징으로 하는 악성 URL 검사장치.
The method of claim 3,
The malicious URL checking device provides the URL determined to be malicious to the malicious site blocking system that blocks the connection when the user terminal accesses a URL determined as a malicious site including a site distributing a malicious application Malicious URL checking device.
제 1 항에 있어서,
상기 악성 URL 검사장치는,
상기 URL이 악성으로 판단되는 경우, 상기 URL이 악성임을 표시하는 URL 검증 정보를 생성하고, 상기 URL 검증 정보가 상기 메시지에 포함되도록 가공하는 가공부
를 더 포함하는 것을 특징으로 하는 악성 URL 검사장치.
The method according to claim 1,
The malicious URL checking apparatus comprises:
Generating a URL verification information indicating that the URL is malicious when the URL is determined to be malicious and processing the URL verification information to be included in the message,
The malicious URL inspection apparatus further comprising:
제 5 항에 있어서,
상기 가공부는,
상기 URL 검증 정보를 상기 메시지의 헤더 또는 데이터 영역에 포함시키는 것을 특징으로 하는 악성 URL 검사장치.
6. The method of claim 5,
Wherein,
And the URL verification information is included in a header or a data area of the message.
제 1 항에 있어서,
상기 악성 URL 검사장치는,
상기 통신부를 통해 다운로드된 상기 애플리케이션을 애뮬레이터 상에서 실행시킨 후, 상기 실행 결과를 분석하여 악성 여부를 판단하는 동적 분석부
를 더 포함하는 것을 특징으로 하는 악성 URL 검사장치.
The method according to claim 1,
The malicious URL checking apparatus comprises:
A dynamic analysis unit for executing the application downloaded through the communication unit on the emulator and analyzing the execution result to determine whether the application is malicious;
The malicious URL inspection apparatus further comprising:
제 1 항에 있어서,
상기 악성 URL 검사장치는,
상기 통신부를 통해 다운로드된 상기 애플리케이션에 대해 악성애플리케이션탐지용 백신엔진을 이용하여 상기 애플리케이션이 악성인지 여부를 검사하는 백신 엔진부
를 더 포함하는 것을 특징으로 하는 악성 URL 검사장치.
The method according to claim 1,
The malicious URL checking apparatus comprises:
A vaccine engine unit for checking whether the application is malicious or not using the vaccine engine for detecting a malicious application for the application downloaded through the communication unit;
The malicious URL inspection apparatus further comprising:
제 1 항에 있어서,
상기 권한/API 검증부는,
상기 통신부를 통해 다운로드된 상기 애플리케이션의 실행파일을 분석하여 상기 애플리케이션에 부여된 권한 정보 중 보안상 위험성을 가지는 권한이 존재하는지를 검사하여 상기 URL의 악성여부를 판단하는 것을 특징으로 하는 악성 URL 검사장치.
The method according to claim 1,
Wherein the authority /
Wherein the malicious URL checking unit determines whether the URL is malicious by analyzing an execution file of the application downloaded through the communication unit and checking whether the right having security risk exists among the right information assigned to the application.
제 9 항에 있어서,
상기 권한/API 검증부는,
상기 애플리케이션의 실행 파일을 디컴파일하여 상기 권한을 수행하기 위한 API가 실행되는지 여부를 더 검사하는 것을 특징으로 하는 악성 URL 검사장치.
10. The method of claim 9,
Wherein the authority /
And further examines whether an API for executing the privilege is executed by decompiling an executable file of the application.
메시지를 수신하면, 상기 메시지 내에 URL이 포함되어 있는지 여부를 검사하고, 상기 URL을 추출하는 URL 추출 단계와,
상기 URL을 통해 애플리케이션을 다운로드 받는 다운로드 단계와,
상기 다운로드된 애플리케이션 내에 보안상 위험성을 가지는 권한 또는 API가 포함되어 있는지 여부를 검사하여 상기 URL의 악성여부를 판단하는 권한/API 검증단계
를 포함하는 악성 URL 검사방법.
A URL extracting step of, upon receipt of the message, checking whether or not a URL is included in the message and extracting the URL;
A download step of downloading an application through the URL,
An authorization / API verification step of determining whether the URL is malicious by checking whether the downloaded application includes an authority or an API having a security risk,
A malicious URL inspection method.
제 11 항에 있어서,
상기 악성 URL 검사방법은,
상기 악성으로 판단된 URL 리스트 정보를 필터링 정보로 이용하여 상기 추출된 URL이 상기 필터링 정보에 존재하는지 검사하고 상기 추출된 URL이 상기 필터링 정보에 존재하는 경우 상기 URL을 악성 URL로 판단하는 사전필터링 단계
를 더 포함하는 것을 특징으로 하는 악성 URL 검사방법.
12. The method of claim 11,
The malicious URL inspection method includes:
A pre-filtering step of determining whether the extracted URL exists in the filtering information by using the URL list information judged to be malicious as filtering information and judging the URL as a malicious URL when the extracted URL exists in the filtering information
The malicious URL checking method further comprising:
제 11 항에 있어서,
상기 URL이 악성으로 판단되는 경우, 상기 URL이 악성임을 표시하는 URL 검증 정보를 생성하고, 상기 URL 검증 정보가 상기 메시지에 포함되도록 가공하는 메시지 가공단계
를 더 포함하는 것을 특징으로 하는 악성 URL 검사방법.
12. The method of claim 11,
Generating a URL verification information indicating that the URL is malicious when the URL is determined to be malicious and processing the URL verification information to be included in the message
The malicious URL checking method further comprising:
제 11 항에 있어서,
다운로드된 상기 애플리케이션을 애뮬레이터 상에서 실행시킨 후, 상기 실행결과를 분석하여 악성 여부를 판단하는 동적분석단계
를 더 포함하는 것을 특징으로 하는 악성 URL 검사방법.
12. The method of claim 11,
Executing the downloaded application on the emulator, analyzing the execution result, and determining whether the application is malicious or not,
The malicious URL checking method further comprising:
제 11 항에 있어서,
다운로드된 상기 애플리케이션에 대해 악성애플리케이션 탐지용 백신엔진을 이용하여 상기 애플리케이션이 악성인지 여부를 검사하는 악성애플리케이션 검사단계
를 더 포함하는 것을 특징으로 하는 악성 URL 검사방법.
12. The method of claim 11,
A malicious application checking step of checking whether the application is malicious using a vaccine engine for detecting the malicious application for the downloaded application
The malicious URL checking method further comprising:
제 11 항에 있어서,
상기 권한/API 검증단계는,
다운로드된 상기 애플리케이션의 실행파일을 분석하여 상기 애플리케이션에 부여된 권한 정보 중 보안상 위험성을 가지는 권한이 존재하는지를 검사하는 것을 특징으로 하는 악성 URL 검사방법.
12. The method of claim 11,
The authority / API verification step may include:
And analyzing an execution file of the downloaded application to check whether the right having security risk is present among the right information given to the application.
제 16 항에 있어서,
상기 권한의 검사 이후에,
상기 애플리케이션의 실행 파일을 디컴파일하여 상기 권한을 수행하기 위한 API가 실행되는지 여부를 더 검사하는 것을 특징으로 하는 악성 URL 검사방법.17. The method of claim 16,
After the checking of the authority,
And further examining whether an API for executing the privilege is executed by decompiling an executable file of the application.
KR1020130131442A 2013-04-12 2013-10-31 Apparatus and method for examining malicious url KR101545964B1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201480020914.2A CN105144767B (en) 2013-04-12 2014-04-11 For checking the device and method and user terminal of message
PCT/KR2014/003157 WO2014168453A1 (en) 2013-04-12 2014-04-11 Apparatus, user terminal and method for checking message
US14/882,095 US9973518B2 (en) 2013-04-12 2015-10-13 Apparatus and method for checking message and user terminal

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020130066346 2013-06-11
KR20130066346 2013-06-11

Publications (2)

Publication Number Publication Date
KR20140144636A true KR20140144636A (en) 2014-12-19
KR101545964B1 KR101545964B1 (en) 2015-08-21

Family

ID=52674825

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130131442A KR101545964B1 (en) 2013-04-12 2013-10-31 Apparatus and method for examining malicious url

Country Status (1)

Country Link
KR (1) KR101545964B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170024777A (en) * 2015-08-26 2017-03-08 주식회사 케이티 Apparatus and method for detecting smishing message
KR20170041574A (en) * 2015-10-07 2017-04-17 에스케이텔레콤 주식회사 Apparatus and method for protecting malicious site
WO2017078197A1 (en) * 2015-11-05 2017-05-11 주식회사 수산아이앤티 Method and device for blocking download of application program to be blocked
KR102259595B1 (en) * 2020-10-29 2021-06-02 주식회사 에스엠티엔티 System for providing mobile based file sending service using short message service
KR102413355B1 (en) * 2021-03-25 2022-06-27 주식회사 이알마인드 Method of providing security service to devices and server performing the same

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102555831B1 (en) * 2021-02-02 2023-07-13 강원대학교산학협력단 System for distribute of Malicious URL detection inference model
KR102558952B1 (en) 2021-11-25 2023-07-24 강필상 Malicious URL detection method using artificial intelligence technology
KR102483004B1 (en) 2022-07-22 2022-12-30 주식회사 필상 Method for detecting harmful url

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101070184B1 (en) 2011-02-24 2011-10-07 주식회사 윈스테크넷 System and method for blocking execution of malicious code by automatically crawling and analyzing malicious code through multi-thread site-crawler, and by interworking with network security device
KR101286711B1 (en) 2013-03-28 2013-07-16 주식회사 이스턴웨어 System and method for preventing malicious codes of mobile terminal

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170024777A (en) * 2015-08-26 2017-03-08 주식회사 케이티 Apparatus and method for detecting smishing message
KR20170041574A (en) * 2015-10-07 2017-04-17 에스케이텔레콤 주식회사 Apparatus and method for protecting malicious site
WO2017078197A1 (en) * 2015-11-05 2017-05-11 주식회사 수산아이앤티 Method and device for blocking download of application program to be blocked
KR102259595B1 (en) * 2020-10-29 2021-06-02 주식회사 에스엠티엔티 System for providing mobile based file sending service using short message service
KR102413355B1 (en) * 2021-03-25 2022-06-27 주식회사 이알마인드 Method of providing security service to devices and server performing the same

Also Published As

Publication number Publication date
KR101545964B1 (en) 2015-08-21

Similar Documents

Publication Publication Date Title
KR101545964B1 (en) Apparatus and method for examining malicious url
US9973518B2 (en) Apparatus and method for checking message and user terminal
US9940454B2 (en) Determining source of side-loaded software using signature of authorship
KR101402057B1 (en) Analyzing system of repackage application through calculation of risk and method thereof
JP4164036B2 (en) Ensuring security on the receiving device for programs provided via the network
KR101574652B1 (en) Sytem and method for mobile incident analysis
US20150172057A1 (en) Assessing application authenticity and performing an action in response to an evaluation result
US20120210431A1 (en) Detecting a trojan horse
US20130212684A1 (en) Detecting Application Harmful Behavior and Grading Application Risks for Mobile Devices
KR102355973B1 (en) Apparatus and method for detecting smishing message
CN106845223B (en) Method and apparatus for detecting malicious code
KR101628837B1 (en) Malicious application or website detecting method and system
KR20120084184A (en) A smartphone malicious code blocking method based on white list and the recording medium thereof
KR101286711B1 (en) System and method for preventing malicious codes of mobile terminal
Pennekamp et al. A survey on the evolution of privacy enforcement on smartphones and the road ahead
CN109688096B (en) IP address identification method, device, equipment and computer readable storage medium
JP4512083B2 (en) Ensuring security on the transmission path for programs provided to communication terminals via the network
CN103020528A (en) Display method and display device for malicious acts of applications
KR101657667B1 (en) Malicious app categorization apparatus and malicious app categorization method
KR101115250B1 (en) Apparatus and method for checking safety of qr code
KR101382549B1 (en) Method for pre-qualificating social network service contents in mobile environment
KR101799524B1 (en) Apparatus and method for controlling terminal device using notification message
Kim et al. HearMeOut: detecting voice phishing activities in Android
KR101493820B1 (en) Mobile Security System
KR101959534B1 (en) A security system and method for e-mail

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20180731

Year of fee payment: 4