KR20170024777A - 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법 - Google Patents

스미싱 메시지 판별장치 및 스미싱 메시지 판별방법 Download PDF

Info

Publication number
KR20170024777A
KR20170024777A KR1020150120228A KR20150120228A KR20170024777A KR 20170024777 A KR20170024777 A KR 20170024777A KR 1020150120228 A KR1020150120228 A KR 1020150120228A KR 20150120228 A KR20150120228 A KR 20150120228A KR 20170024777 A KR20170024777 A KR 20170024777A
Authority
KR
South Korea
Prior art keywords
message
link
probability
text message
database
Prior art date
Application number
KR1020150120228A
Other languages
English (en)
Other versions
KR102355973B1 (ko
Inventor
신종호
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020150120228A priority Critical patent/KR102355973B1/ko
Publication of KR20170024777A publication Critical patent/KR20170024777A/ko
Application granted granted Critical
Publication of KR102355973B1 publication Critical patent/KR102355973B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • G06F17/30887
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Databases & Information Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 출원은 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법에 관한 것으로서, 본 발명의 일 실시예에 의한 스미싱 메시지 판별방법은, 스미싱(SMishing) 메시지 판별장치가, 수신단말로 전송 요청된 문자메시지를 메시지서버로부터 수신하는 모니터링단계; 스미싱 메시지 판별장치가 상기 문자메시지에서 컨텐츠영역과 링크영역을 추출하고, 상기 컨텐츠영역과 링크영역을 각각 딥러닝(deep learning) 방식으로 학습된 데이터베이스와 비교하여, 상기 문자메시지가 스미싱 메시지에 해당할 스미싱 확률을 계산하는 확률계산단계; 및 스미싱 메시지 판별장치가, 상기 스미싱 확률을 시각적으로 나타내는 스미싱 위험도 표시수단을 상기 문자메시지에 결합하는 표시단계를 포함할 수 있다.

Description

스미싱 메시지 판별장치 및 스미싱 메시지 판별방법 {Apparatus and method for detecting smishing message}
본 출원은 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법에 관한 것으로서, 특히 딥러닝 기법을 활용하여 스미싱 메시지를 판별할 수 있는 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법에 관한 것이다.
일반적으로 이동통신사는 단말기 사이의 단문메시지(SMS: Short Message Service)를 주고받을 수 있는 통신서비스를 제공하고 있으며, 이동통신망에는 이러한 메시지 서비스를 제공하기 위해 SMSC(Short Message Service Center)가 구비되어 있다. 이러한 SMSC는 이동통신 단말기들 사이에 한정된 크기의 문자데이터를 저장하였다가 전달하는 기능을 제공한다. 또한, 이와 같은 단문메시지 서비스(SMS)에 대한 설명은 멀티미디어 메시지 서비스(MMS: Multimedia Message Service) 등에도 적용될 수 있다.
한편, 스미싱(Smishing)이란 문자메시지(SMS)와 피싱(Phising)의 합성어로서, 해커가 악의적으로 악성 프로그램 내지 악성 어플리케이션의 설치를 유도하는 URL 주소가 포함된 문자메시지를 전송하여, 이동통신 서비스 가입자의 개인정보를 얻거나 소비자의 휴대폰을 통제하는 것을 의미한다. 예를들어, 해커가 할인쿠폰 등을 가장한 문자메시지 내에 악성 어플리케이션의 설치를 유도하는 URL 주소를 포함시켜 문자메시지를 전송하고, 이러한 문자메시지를 전송받은 이동통신 서비스 가이자가 문자메시지 내에 포함되는 URL 주소를 클리하면 가입자의 휴대폰에 악성 어플리케이션이 설치 및 실행되어 가입자의 개인정보가 해커의 손에 들어가게 된다. 해커는 이러한 소비자의 개인정보를 이용하여 소액결제 등을 통해 이익을 취할 수 있게 된다.
이러한 상황에도 불구하고, 기존의 이동통신망은 특정 문자열이나 특정번호에 한정하여 스팸문자를 필터링하는 서비스를 제공하고 있을 뿐, 악성 URL 등을 포함하는 스미싱 문자메시지를 효과적으로 차단할 수 있는 서비스는 제공하지 못하고 있다.
이로 인해, 이동통신 가입자에게 스미싱으로 인한 피해가 발생한 경우, 가입자는 피해 확인 절차를 거쳐 사후적으로 피해를 보상받을 수 밖에 없는 실정이다. 사후적인 피해 보상은 스미싱에 대한 근본적인 대책이 될 수 없을 뿐만 아니라, 피해 확인절차를 거치는 것은 번거롭고 스미싱으로 인한 손해가 발생한 것을 증명하기도 곤란하다는 등의 문제가 있다.
한국공개특허 제10-2006-0071362호 (2006.06.26 공개)
본 출원은, 딥러닝 기법을 활용하여 스미싱 메시지를 판별하는 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법을 제공하고자 한다.
본 발명의 일 실시예에 의한 스미싱 메시지 판별방법은,
본 발명의 일 실시예에 의한 스미싱 메시지 판별방법은, 스미싱(SMishing) 메시지 판별장치가, 수신단말로 전송 요청된 문자메시지를 메시지서버로부터 수신하는 모니터링단계; 스미싱 메시지 판별장치가 상기 문자메시지에서 컨텐츠영역과 링크영역을 추출하고, 상기 컨텐츠영역과 링크영역을 각각 딥러닝(deep learning) 방식으로 학습된 데이터베이스와 비교하여, 상기 문자메시지가 스미싱 메시지에 해당할 스미싱 확률을 계산하는 확률계산단계; 및 스미싱 메시지 판별장치가, 상기 스미싱 확률을 시각적으로 나타내는 스미싱 위험도 표시수단을 상기 문자메시지에 결합하는 표시단계를 포함할 수 있다.
여기서 상기 확률계산단계는, 복수개의 스미싱 메시지에 포함되는 키워드(keyword) 및 컨텍스트(context)에 대응하는 하이레벨 오브젝트(highlevel object)들이 저장된 하이레벨 오브젝트 데이터베이스와 상기 문자메시지의 컨텐츠영역을 비교하고, 복수개의 스미싱 메시지에 포함되는 URL(Uniform Resource Locator) 링크가 저장된 링크 데이터베이스와 상기 문자메시지의 링크영역을 비교하여, 상기 스미싱 확률을 계산할 수 있다.
여기서 상기 확률계산단계는, 상기 문자메시지의 컨텐츠영역 내에 포함된 상기 하이레벨 오브젝트를 추출하고, 상기 추출된 하이레벨 오브젝트를 포함하는 문자메시지들이 상기 스미싱 메시지에 해당할 제1 확률을 상기 하이레벨 오브젝트 데이터베이스를 이용하여 계산하는 과정; 상기 문자메시지의 링크 영역 내에 포함된 url 링크를 추출하고, 상기 추출된 url 링크를 포함하는 문자메시지들이 상기 스미싱 메시지에 해당할 제2 확률을 상기 링크 데이터베이스를 이용하여 계산하는 과정; 및 상기 제1 확률 및 제2 확률에 기 설정된 확률계산알고리즘을 적용하여, 상기 스미싱 확률을 계산하는 과정을 포함할 수 있다.
여기서 상기 컨텍스트는, 상기 스미싱 메시지의 문맥정보, 상기 스미싱 메시지의 수신위치정보, 발신위치정보, 상기 스미싱 메시지의 수신시간정보 및 발신시간정보 중 적어도 어느 하나를 포함할 수 있다.
여기서, 본 발명의 일 실시예에 의한 스미싱 메시지 판별방법은, 복수개의 스미싱 메시지 및 비(非)스미싱 메시지를 딥러닝 기법으로 학습시켜, 상기 스미싱 메시지의 컨텐츠영역에서 포함되는 키워드 및 컨텍스트에 대응하는 하이레벨 오브젝트를 추출하고, 상기 하이레벨 오브젝트를 포함하는 하이레벨 오브젝트 데이터베이스를 생성하는 하이레벨 오브젝트 데이터베이스 생성과정; 및 복수개의 스미싱 메시지 및 비(非)스미싱 메시지의 링크영역에 포함되는 각각의 URL 링크에 접속하여 기 설정된 분석기법으로 상기 URL 링크를 분석하고, 상기 URL 링크를 분석결과와 함께 저장하여 링크 데이터베이스를 생성하는 링크 데이터베이스 생성과정을 포함하는 데이터베이스 생성단계를 더 포함할 수 있다.
여기서 상기 하이레벨 오브젝트 데이터베이스 생성과정은, 상기 하이레벨 오브젝트 데이터베이스 내에, 상기 하이레벨 오브젝트를 포함하는 전체 문자메시지 중에서, 상기 스미싱 메시지에 해당하는 개수를 카운트하여, 상기 하이레벨 오브젝트을 포함하는 문자메시지가 상기 스미싱 메시지에 해당할 제1 확률을 계산하고, 상기 제1 확률을 상기 하이레벨 오브젝트와 함께 저장할 수 있다.
여기서 상기 링크 데이터베이스 생성과정은, 시그니처(signature) 기반 분석, 역공학(reverse engineering)을 통한 정적 분석 및 행동패턴 분석 중 적어도 어느 하나 이상의 분석기법을 이용하여, 상기 URL 링크를 분석하고 상기 분석결과를 생성할 수 있다.
여기서 상기 표시단계는, 상기 스미싱 위험도 표시수단은 상기 문자메시지의 배경색상이고, 상기 계산된 스미싱 확률의 크기에 대응하는 각각의 색상으로, 상기 문자메시지의 배경색상을 설정할 수 있다.
여기서 상기 표시단계는, 사용자의 입력에 따라, 상기 문자메시지가 상기 스미싱 메시지에 해당함을 알리는 피드백 신호를 전송하도록 하는 리포트수단을 더 포함하여, 상기 문자메시지에 결합할 수 있다.
여기서, 본 발명의 일 실시예에 의한 스미싱 메시지 판별방법은, 상기 피드백 신호에 따라, 상기 수신한 문자메시지를 상기 딥러닝 기법으로 반영하여, 상기 하이레벨 오브젝트 데이터베이스를 업데이트하는 업데이트단계를 더 포함할 수 있다.
여기서, 본 발명의 일 실시예에 의한 스미싱 메시지 판별방법은, 상기 메시지서버로부터 상기 문자메시지를 수신하면, 스미싱 메시지 판별장치가, 상기 문자메시지에 포함된 URL 링크에 실시간으로 접속하여 상기 URL 링크를 분석하고, 상기 분석결과에 따라 상기 링크 데이터베이스를 업데이트하는 업데이트단계를 더 포함할 수 있다.
본 발명의 일 실시예에 의한 스미싱 메시지 판별장치는, 메시지서버로부터, 각각의 수신단말로 전송요청된 문자메시지들을 수신하는 메시지 수신부; 상기 문자메시지의 컨텐츠영역과 링크영역을 구별하고, 각각의 컨텐츠영역과 링크영역을 딥러닝(deep learning) 방식으로 학습한 데이터베이스와 비교하여, 상기 문자메시지가 스미싱 메시지에 해당할 스미싱 확률을 계산하는 추론엔진부; 및 상기 스미싱 확률을 시각적으로 나타내는 스미싱 위험도 표시수단을 상기 문자메시지에 결합하는 표시설정부를 포함할 수 있다.
여기서 상기 데이터베이스는, 복수개의 스미싱 메시지에 포함되는 키워드(keyword) 및 컨텍스트(context)에 대응하는 하이레벨 오브젝트(highlevel object)들이 저장된 하이레벨 오브젝트 데이터베이스; 및 복수개의 스미싱 메시지에 포함되는 URL(Uniform Resource Locator) 링크가 저장된 링크 데이터베이스를 더 포함할 수 있다.
여기서 상기 추론엔진부는, 상기 문자메시지의 컨텐츠영역 내에 포함된 상기 하이레벨 오브젝트를 추출하고, 상기 추출된 하이레벨 오브젝트를 포함하는 문자메시지들이 상기 스미싱 메시지에 해당할 제1 확률을 상기 하이레벨 오브젝트 데이터베이스를 이용하여 계산하고, 상기 문자메시지의 링크 영역 내에 포함된 URL 링크를 추출하고, 상기 추출된 URL 링크를 포함하는 문자메시지들이 상기 스미싱 메시지에 해당할 제2 확률을 상기 링크 데이터베이스를 이용하여 계산하며, 상기 제1 확률 및 제2 확률에 기 설정된 확률계산알고리즘을 적용하여, 상기 스미싱 확률을 계산할 수 있다.
여기서 상기 컨텍스트는, 상기 스미싱 메시지의 문맥정보, 상기 스미싱 메시지의 수신위치정보, 발신위치정보, 상기 스미싱 메시지의 수신시간정보 및 발신시간정보 중 적어도 어느 하나를 포함할 수 있다.
여기서, 상기 하이레벨 오브젝트 데이터베이스는, 복수개의 스미싱 메시지 및 비(非)스미싱 메시지를 딥러닝 기법으로 학습시켜, 상기 스미싱 메시지의 컨텐츠영역에서 포함되는 키워드 및 컨텍스트에 대응하는 하이레벨 오브젝트를 추출하여 생성하고, 상기 링크 데이터베이스는, 복수개의 스미싱 메시지 및 비(非)스미싱 메시지의 링크영역에 포함되는 각각의 URL 링크에 접속하여 기 설정된 분석기법으로 상기 URL 링크를 분석하고, 상기 URL 링크를 분석결과와 함께 저장하여 생성할 수 있다.
여기서 상기 하이레벨 오브젝트 데이터베이스는, 상기 하이레벨 오브젝트 데이터베이스 내에, 상기 하이레벨 오브젝트를 포함하는 전체 문자메시지 중에서, 상기 스미싱 메시지에 해당하는 개수를 카운트하여 계산한 상기 제1 확률을 포함할 수 있다.
여기서 상기 링크 데이터베이스는, 시그니처(signature) 기반 분석, 역공학(reverse engineering)을 통한 정적 분석 및 행동패턴 분석 중 적어도 어느 하나 이상의 분석기법을 이용하여, 상기 URL 링크를 분석하고 상기 분석결과를 생성할 수 있다.
여기서 상기 표시설정부는, 상기 문자메시지의 배경색상을 상기 스미싱 위험도 표시수단으로 이용하는 것으로서, 상기 계산된 스미싱 확률의 크기에 대응하는 각각의 색상에 따라 상기 문자메시지의 배경색상을 설정할 수 있다.
여기서 상기 표시설정부는, 사용자의 입력에 따라, 상기 문자메시지가 상기 스미싱 메시지에 해당함을 알리는 피드백 신호를 전송하도록 하는 리포트수단을 더 포함하여, 상기 문자메시지에 결합할 수 있다.
여기서, 본 발명의 일 실시예에 의한 스미싱 메시지 판별장치는, 상기 피드백 신호에 따라, 상기 수신한 문자메시지를 포함하여 상기 하이레벨 오브젝트 데이터베이스를 업데이트하는 업데이트부를 더 포함할 수 있다.
여기서, 본 발명의 일 실시예에 의한 스미싱 메시지 판별장치는, 상기 메시지서버로부터 상기 문자메시지를 수신하면, 상기 문자메시지에 포함된 URL 링크에 실시간으로 접속하여 상기 URL 링크를 분석하고, 상기 분석결과에 따라 상기 링크 데이터베이스를 업데이트하는 업데이트부를 더 포함할 수 있다.
덧붙여 상기한 과제의 해결수단은, 본 발명의 특징을 모두 열거한 것이 아니다. 본 발명의 다양한 특징과 그에 따른 장점과 효과는 아래의 구체적인 실시형태를 참조하여 보다 상세하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 의한 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법에 의하면, 딥러닝 기법을 활용하므로 컨택스트 기반으로 보다 효율적인 스미싱 메시지 판별이 가능하다.
본 발명의 일 실시예에 의한 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법에 의하면, 문자메시지에 포함된 URL 링크에 대한 검증을 수행할 수 있으므로, 보다 확실한 스미싱 메시지 판별이 가능하다.
본 발명의 일 실시예에 의한 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법에 의하면, 수신한 문자메시지가 스미싱 메시지에 해당할 위험도를 실시간으로 사용자에게 표시할 수 있으므로, 사용자의 편의성을 증대시킬 수 있다.
도1은 본 발명의 일 실시예에 의한 메시지 전송 시스템을 나타내는 개략도이다.
도2는 본 발명의 일 실시예에 의한 스미싱 메시지 판별 장치를 나타내는 블록도이다.
도3은 본 발명의 일 실시예에 의한 하이레벨 오브젝트를 추출하는 방법을 나타내는 개략도이다.
도4는 본 발명의 일 실시예에 의한 스미싱 메시지 판별 장치의 스미싱 위험도 표시수단을 나타내는 개략도이다.
도5는 본 발명의 일 실시예에 의한 스미싱 메시지 판별 방법을 나타내는 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예를 상세하게 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 유사한 기능 및 작용을 하는 부분에 대해서는 도면 전체에 걸쳐 동일한 부호를 사용한다.
덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 '연결'되어 있다고 할 때, 이는 '직접적으로 연결'되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 '간접적으로 연결'되어 있는 경우도 포함한다. 또한, 어떤 구성요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다. 또한, 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
도1은 본 발명의 일 실시예에 의한 메시지 전송 시스템을 나타내는 개략도이다.
도1을 참조하면, 본 발명의 일 실시예에 의한 메시지 전송 시스템은, 발신단말(1), 수신단말(2), 메시지서버(3), 스미싱 판별장치(100), 하이레벨 오브젝트 데이터베이스(highlevel object database, 10) 및 링크 데이터베이스(link database, 20)를 포함할 수 있다.
이하, 도1을 참조하여 본 발명의 일 실시예에 의한 메시지 전송 시스템을 설명한다.
발신단말(1)은 통신망을 통하여 메시지서버(3)에 접속할 수 있으며, 메시지서버(3)에게 수신단말(2)에 대한 문자메시지의 전송을 요청할 수 있다. 발신단말(1)은 휴대전화, 스마트폰, 태블릿 PC, PDA 등의 이동통신단말일 수 있으며, 3G, LTE 등의 이동통신망을 통하여 메시지서버(3)에 접속할 수 있다. 여기서, 실시예에 따라서는 발신단말(1)은 데스크탑이나 노트북 등 이동통신망과의 접속을 지원하지 않는 단말일 수 있으며, 이 경우 다른 유, 무선통신망을 통하여 메시지서버(3)에 접속할 수 있다. 예를들어, 데스크탑의 경우, 광통신, 무선랜 등의 유, 무선통신망을 이용하여 인터넷에 접속할 수 있으며, 인터넷을 통하여 메시지서버(3)에게 문자메시지의 전송을 요청할 수 있다.
수신단말(2)은 통신망을 통하여 메시지서버(3)로부터 발신단말(1)이 전송요청한 문자메시지를 수신할 수 있다. 수신단말(2)은 메시지서버(3)와 이동통신망을 통하여 연결되는 이동통신단말일 수 있으며, 예를들어, 휴대전화, 스마트폰, 태블릿 PC, PDA 등이 포함될 수 있다. 수신단말(2)은 수신한 문자메시지를 시각적 또는 청각적으로 표시할 수 있으며, 수신단말(2)의 사용자는 이를 통하여 문자메시지의 내용을 인식할 수 있다. 또한, 수신단말(2)은 이동통신망 또는 다양한 종류의 유, 무선통신망을 통하여 인터넷에 연결되는 인터넷 통신 기능을 구비할 수 있다. 따라서, 수신단말(2)이 수신한 문자메시지에 URL(Uniform Resource Locator) 링크 등이 포함되어 있는 경우에는, 사용자의 입력 등에 의하여 URL 링크에 대응하는 웹 페이지 등에 접속할 수 있다.
메시지서버(3)는, 발신단말(1)이 발신을 요청하는 문자메시지를 이동통신망 등을 통하여 수신하고, 수신한 문자메시지를 발신단말(1)이 지정한 수신단말(2)로 전송할 수 있다. 즉, 메시지 서버(3)는 발신단말(1)과 수신단말(2) 사이의 문자메시지의 중계를 수행하는 장치로서, SMSC(Short Message Service Center) 또는 MMSC(Multi-media Message Service Center) 등이 메시지 서버(3)에 해당할 수 있다. 여기서, 문자메시지는 문자 정보가 포함된 데이터로서, 단문메시지(Short message), 멀티 미디어 메시지(Multi-media message) 등을 포함하며, 이외에도 메시지서버(3)를 통하여 전송할 수 있는 다양한 종류의 메시지들은 모두 상기 문자메시지에 해당한다. 특히, 본 발명의 일 실시예에 의한 메시지서버(3)는, 발신단말(1)로부터 수신한 문자메시지를 스미싱 판별장치(100)로 전송하여, 수신한 문자메시지가 스미싱 메시지에 해당하는지 여부를 분석하도록 할 수 있다.
스미싱 판별장치(100)는, 메시지서버(3)로부터 수신한 문자메시지들을 분석하여, 상기 문자메시지들이 스미싱 메시지에 해당하는지 여부를 판별할 수 있다. 여기서, 스미싱(Smishing)은 문자메시지(SMS: Short Message Servcie)와 피싱(Phinshing)의 합성어로, 해커(hecker)가 악의적으로 악성 프로그램 내지 악성 어플리케이션의 설치를 유도하는 URL 링크가 포함된 문자메시지를 전송하여, 수신단말(2)의 사용자의 개인정보를 얻거나, 수신단말(2)을 통제하는 행위를 의미한다. 여기서, 스미싱 메시지는 스미싱을 위하여 사용되는 문자메시지이다. 예를들어, 해커는 할인쿠폰 등을 가장한 스미싱 메시지 내에 악성 어플리케이션의 설치를 유도하는 URL 링크를 포함하여 수신단말(2)로 전송할 수 있으며, 스미싱 메시지를 전송받은 수신단말(2)의 사용자는 할인쿠폰의 발행 등을 위하여 스미싱 메시지 내에 포함된 URL 링크에 입력을 인가할 수 있다. 이 경우, 수신단말(2)은 URL 링크에 접속하여, 사용자의 의도와 달리, 악성 어플리케이션을 설치하고 실행할 수 있으며, 해커는 사용자의 의사에 반하여 수신단말(2)의 동작을 통제할 수 있다. 따라서, 해커는 수신단말(2)에 저장된 사용자의 개인정보 등을 빼내거나, 수신단말(2)을 이용한 소액결제를 통하여 이익을 취하는 등 사용자에게 피해를 입힐 수 있다.
스미싱에 의한 피해를 방지하기 위하여, 스미싱 판별장치(100)는 메시지서버(3)가 수신한 문자메시지들을 실시간으로 모니터링할 수 있으며, 모니터링 결과 각각의 문자메시지가 스미싱 메시지에 해당할 스미싱 확률을 계산할 수 있다. 이후, 스미싱 판별장치(100)는 각각의 문자메시지의 스미싱 확률을 나타내는 스미싱 위험도 표시수단을 생성하여, 문자메시지와 함께 전송하도록 할 수 있다. 즉, 수신단말(2)의 사용자는 문자메시지를 확인할 때 스미싱 위험도 표시수단을 통하여 표시되는 스미싱 확률도 함께 확인할 수 있으므로, 사용자는 스미싱 메시지에 의한 피해를 방지할 수 있다.
여기서, 본 발명의 일 실시예에 의한 스미싱 판별장치(100)는, 딥 러닝(deep-learning) 기법을 통하여 학습된 데이터베이스(database)를 기반으로 스미싱 메시지를 판별하는 것으로서, 도2에 도시한 바와 같이, 메시지 수신부(110), 추론엔진부(120), 표시설정부(130) 및 업데이트부(140) 등을 포함할 수 있다. 이하, 도2를 참조하여 본 발명의 일 실시예에 의한 스미싱 메시지 판별장치(100)를 설명한다.
메시지 수신부(110)는, 메시지서버(3)로부터 각각의 수신단말(1)로 전송요청된 문자메시지들을 수신할 수 있다. 메시지 수신부(110)는 메시지서버(3)로부터 문자메시지들을 실시간으로 수신할 수 있으며, 스미싱 판별장치(100)는 실시간으로 문자메시지들을 모니터링할 수 있다.
추론엔진부(120)에서는, 메시지 수신부(110)가 수신한 문자메시지를 컨텐츠영역과 링크영역을 구별할 수 있으며, 각각의 컨텐츠영역과 링크영역을 딥러닝(deep learning) 방식으로 학습한 데이터베이스와 비교할 수 있다. 추론엔진부(120)는 상기 데이터베이스와의 비교결과에 따라, 문자메시지가 스미싱 메시지에 해당할 확률인 스미싱 확률을 계산할 수 있다.
구체적으로, 문자메시지 내에는 텍스트, 이미지, 동영상, URL 링크 등이 포함되어 있을 수 있으며, 추론엔진부(120)는 문자메시지에 포함된 문자, 이미지, 동영상 등을 컨텐츠영역으로 구별하고, 외부의 웹페이지 등과 연결하도록 하는 URL 링크 등을 링크영역으로 구별할 수 있다.
이후, 추론엔진부(120)는, 하이레벨 오브젝트 데이터베이스(10)와 비교하여, 문자메시지의 컨텐츠영역 내에 포함된 하이레벨 오브젝트(highlevel object)들을 추출할 수 있으며, 추출된 하이레벨 오브젝트를 포함하는 문자메시지들이 스미싱 메시지에 해당할 제1 확률을 계산할 수 있다. 여기서, 제1 확률의 계산시에도 하이레벨 오브젝트 데이터베이스(10)를 활용할 수 있다.
구체적으로, 하이레벨 오브젝트 데이터베이스(10)에는 복수개의 스미싱 메시지에 포함되는 키워드(keyword) 및 컨텍스트(context)에 대응하는 하이레벨 오브젝트(highlevel object)들이 저장되어 있을 수 있다. 여기서, 키워드는 스미싱 메시지에 해당하는 문자메시지의 컨텐츠 영역에 주로 포함되는 단어 등일 수 있으며, 컨텍스트는 스미싱 메시지에 포함된 텍스트들의 문맥정보나 스미싱 메시지가 전송될 때의 상황정보 등일 수 있다. 즉, 컨텍스트에는, 키워드가 문장 내에서 사용된 용법이나 문장 사이의 연결관계 등의 문맥정보를 비롯하여, 수신단말(2)의 수신위치정보, 발신단말(1)의 발신위치정보, 스미싱 메시지의 수신시간정보 및 발신시간정보 등의 상황정보가 포함될 수 있다.
여기서, 하이레벨 오브젝트 데이터베이스(10)는, 딥러닝(deep learning) 기법으로 형성하는 것으로서, 복수개의 스미싱 메시지 및 비(非)스미싱 메시지를 샘플로 이용하여 학습시킬 수 있다. 구체적으로, 도3에 도시한 바와 같이, 하이레벨 오브젝트(L1 sentence embedding, L1 sentence embedding)는 특징(feature)기반으로 복수개의 스미싱 메시지(L1 word embeddings) 및 비(非)스미싱 메시지(L2 word embeddings)들로부터 자동추출할 수 있다. 이후, 각각의 스미싱 메시지(L1 word embeddings) 및 비(非)스미싱 메시지(L2 word embeddings)로부터 추출된 하이레벨 오브젝트들(L1 sentence embedding, L1 sentence embedding)에 대하여 대조판단(contrast estimation) 등을 수행할 수 있다. 또한, 도3에 도시한 바와 같이, 딥러닝에 의하여 자동생성된 계층구조(hierarchy)에 기반한 특징들의 네트워크와 파라미터들이 형성될 수 있으며, 이후 새로운 샘플이 추가되면, 각각의 샘플을 반영하여 계층구조에 맞도록 지속적으로 자동최적화될 수 있다. 즉, 하이레벨 오브젝트 데이터베이스(10)는 딥 러닝 기법에 의하여 스미싱 메시지에 해당하는 문자메시지들의 컨텐츠영역에 포함되는 특징인 키워드, 컨텍스트 등을 스스로 추출하고, 이를 하이레벨 오브젝트로 저장할 수 있다. 예를들어, 딥러닝 기법으로 복수개의 스미싱 메시지 및 비(非)스미싱 메시지를 학습한 결과, 국내 카드사의 대표번호에 해당하는 "1588-0000"의 발신번호로 전송되는 문자메시지에 "온라인 쿠폰"이라는 키워드가 포함되어 있으나, 발신단말(1)의 발신위치정보가 외국이며, 특히 발신시간이 오후 3시~5시 사이인 경우에는, 98%의 확률로 스미싱 메시지에 해당한다는 결과를 도출할 수 있다. 이 경우, 하이레벨 오브젝트 데이터베이스(10)는 각각의 키워드, 컨텍스트 등에 대응하는 하이레벨 오브젝트를 생성하고, 생성한 하이레벨 오브젝트를 저장하는 방식으로 상기 하이레벨 오브젝트 데이터베이스(10)를 생성할 수 있다.
여기서, 하이레벨 오브젝트 데이터베이스(10)에는, 각각의 하이레벨 오브젝트를 포함하는 문자메시지가 스미싱 메시지에 해당할 확률인 제1 확률이 함께 저장될 수 있다. 즉, 하이레벨 오브젝트 데이터베이스(10)는, 하이레벨 오브젝트 데이터베이스(10) 내에 각각의 하이레벨 오브젝트를 포함하는 전체 문자메시지 중에서, 스미싱 메시지에 해당하는 개수를 카운트하는 방식으로 제1 확률을 계산할 수 있다.
한편, 추론엔진부(120)는, 컨텐츠영역을 이용하여 계산하는 제1 확률과는 별도로, 링크영역을 링크 데이터베이스(20)와 비교하여 문자메시지들이 스미싱 메시지에 해당할 제2 확률을 계산할 수 있다. 여기서, 링크데이터베이스(20)는, 복수개의 스미싱 메시지에 포함되는 URL 링크가 저장된 것으로서, 복수개의 스미싱 메시지 및 비(非)스미싱 메시지의 링크영역에 포함되는 각각의 URL 링크에 접속하여 기 설정된 분석기법으로 상기 URL 링크를 분석한 후, 상기 URL 링크를 분석결과와 함께 저장하는 방식으로 생성하는 것일 수 있다. 구체적으로, 링크 데이터베이스(20)는 URL 링크에 해당하는 웹 게시물을 조회 및 분석하여 스미싱 메시지에 해당하는지 여부를 판별하거나, URL 링크에 해당하는 웹 페이지에 접속하여 웹 페이지에서 제공하는 어플리케이션 등을 다운로드한 후 어플리케이션 등을 분석하여 URL 링크를 포함하는 문자메시지가 스미싱 메시지인지 여부를 판별할 수 있다. 여기서, 어플리케이션을 분석하는 등의 경우에는, 설치권한이나 서명 등 어플리케이션 정보를 분석하거나, 시그니처(signature) 기반 분석, 역공학(reverse engineering)을 통한 정적 분석 및 행동패턴 분석 등의 분석기법을 이용하여, 웹 페이지에서 제공하는 어플리케이션이 악성 어플리케이션에 해당하는지 여부를 분석할 수 있다. 따라서, 추론엔진부(120)에서는, 링크 데이터베이스(20) 내에 문자메시지의 링크영역에 포함된 URL 링크와 동일한 URL 링크를 포함하는 전체 문자메시지 중에서, 스미싱 메시지에 해당하는 개수를 카운트하는 방식으로 제2 확률을 계산할 수 있다. 다만, 실시예에 따라서는, 추론엔진부(120)가 실시간으로 문자메시지에 포함된 URL 링크에 접속하여, URL 링크에 해당하는 웹 게시물을 조회 및 분석하거나, 악성 어플리케이션 등의 설치가 진행되는지 여부를 확인하는 방식으로, 스미싱 메시지에 해당할 제2 확률을 계산하는 것도 가능하다. 여기서, URL 링크에 해당하는 웹 게시물을 조회 및 분석할 때, 딥 러닝 기법을 활용할 수 있다.
이후, 추론엔진부(120)는, 각각 하이레벨 오브젝트 데이터베이스(10)와 링크 데이터베이스(20)를 이용하여 각각 상기 제1 확률 및 제2 확률의 계산이 완료되면, 제1 확률 및 제2 확률을 기 설정된 확률계산알고리즘에 적용하여, 스미싱 확률을 계산할 수 있다. 여기서, 제1 확률과 제2 확률을 서로 더하거나 곱하는 방식으로 스미싱 확률을 계산할 수 있으며, 이때 각각 가중치 등을 적용하여 스미싱 확률을 계산하는 것도 가능하다.
표시설정부(130)는, 추론엔진부(120)에서 계산한 스미싱 확률을 시각적으로 나타내는 스미싱 위험도 표시수단을 생성할 수 있으며, 생성한 스미싱 위험도 표시수단을 상기 문자메시지에 결합할 수 있다. 즉, 메시지서버(3)는 스미싱 위험도 표시수단이 포함된 문자메시지를 수신단말(2)로 전송할 수 있으며, 수신단말(2)은 문자메시지와 함께 스미싱 위험도 표시수단을 함께 수신할 수 있다. 이 경우, 수신단말(2)의 사용자는 문자메시지와 함께 스미싱 위험도 표시수단을 인지할 수 있으므로, 스미싱 메시지에 의한 피해를 방지하기 위한 조치 등을 취할 수 있다.
구체적으로, 표시설정부(130)는, 문자메시지의 배경색상을 스미싱 위험도 표시수단으로 이용할 수 있으며, 스미싱 확률값의 크기에 대응하는 각각의 색상을 미리 설정한 후, 상기 문자메시지의 스미싱 확률에 따라 상기 문자메시지의 배경색상을 설정할 수 있다. 예를들어, 스미싱 확률이 0% 이상 30% 미만이면 초록색, 30% 이상 50% 미만이면 노란색, 50% 이상 70% 미만이면 주황색, 70% 이상 100% 이하이면 빨강색으로 문자메시지의 배경색상을 설정할 수 있다. 따라서, 문자메시지의 배경색상이 초록색인 경우에는 스미싱 확률이 0% 이상 30% 미만인 경우에 해당하며, 사용자는 직관적으로 수신한 문자메시지가 스미싱 메시지에 해당할 확률이 높지 않음을 확인할 수 있다. 또한, 표시설정부(130)는, 기 설정된 이미지나 기호, 텍스트 등을 스미싱 위험도 표시수단으로 활용하는 것도 가능하다. 즉, 도4에 도시한 바와 같이, 문자메시지와 함께 스미싱 확률을 텍스트로 출력할 수 있으며, 이때 배경색상을 각각의 확률에 따라 색상을 달리할 수 있다. 여기서, 스미싱 확률이 88%이므로, 빨강색의 배경색상을 활용하여 출력하였음을 확인할 수 있다. 이외에도 표시설정부(130)는 다양한 방식으로 사용자에게 스미싱 확률을 시각적 또는 청각적으로 제공할 수 있다.
한편, 실시예에 따라서는, 표시설정부(130)가 리포트수단을 문자메시지에 더 포함하여 결합시킬 수 있다. 여기서, 리포트 수단은 수신단말(2)의 사용자가 직접 수신한 문자메시지가 스미싱 메시지 해당함을 알리는 피드백 신호를 전송하는 수단에 해당한다. 즉, 도4에 도시한 바와 같이, 사용자가 수신단말(2)에 표시된 "report" 버튼에 입력을 인가하면, 스미싱 판별장치(100)로 수신한 문자메시지가 스미싱 메시지에 해당함을 알리는 피드백 신호가 전송될 수 있으며, 스미싱 판별장치(100)는 해당 문자메시지가 스미싱 메시지에 해당하는 것으로 업데이트할 수 있다. 이외에도, "call 100"의 리포트 수단을 포함하여, 사용자가 통신사 고객센터로 통화연결을 수행하여 수신한 문자메시지가 스미싱 메시지에 해당함을 알리도록 하는 것도 가능하다.
업데이트부(140)는 하이레벨 오브젝트 데이터베이스 및 링크 데이터베이스를 업데이트시킬 수 있다. 구체적으로, 하이레벨 오브젝트 데이터베이스의 경우에는, 수신단말(2)로부터 피드백 신호가 수신되면, 수신한 문자메시지를 이용하여 하이레벨 오브젝트 데이터베이스에 대한 업데이트를 수행할 수 있다. 즉, 피드백 신호가 전송된 문자메시지는 스미싱 메시지에 해당하므로, 스미싱 메시지의 샘플에 포함하여 딥 러닝하는 방식으로, 하이레벨 오브젝트 데이터베이스(10)를 업데이트할 수 있다. 또한, 링크 데이터베이스(20)의 경우에는, 업데이트부(140)가 메시지서버(3)로부터 수신한 문자메시지의 링크 영역에 포함된 URL 링크에 실시간으로 접속하여 URL 링크를 분석할 수 있으며, 분석결과에 따라 링크 데이터베이스(20)를 업데이트할 수 있다.
한편, 실시예에 따라서는, 스미싱 메시지 판별 장치(100)는, 메시지서버(3) 내에 포함되는 하나의 모듈로 구비될 수 있으며, 스미싱 메시지 판별 장치(100) 내부에 하이레벨 오브젝트 데이터베이스(10)와 링크 데이터베이스가 포함되는 실시예도 가능하다.
도5는 본 발명의 일 실시예에 의한 스미싱 메시지 판별방법을 나타내는 순서도이다.
도5를 참조하면, 본 발명의 일 실시예에 의한 스미싱 메시지 판별방법은, 데이터베이스 생성단계(S100), 모니터링단계(S200), 확률계산단계(S300), 표시단계(S400) 및 업데이트단계(S500)를 포함할 수 있다.
이하, 도5를 참조하여 본 발명의 일 실시예에 의한 스미싱 메시지 판별방법을 설명한다.
데이터베이스 생성단계(S100)는, 딥 러닝 기법을 통하여 학습시켜, 스미싱 메시지 판별을 위한 데이터베이스를 생성할 수 있다. 여기서, 데이터베이스 생성단계(S100)에서는 하이레벨 오브젝트 데이터베이스와 링크 데이터베이스를 생성할 수 있으며, 각각 하이레벨 오브젝트 데이터베이스 생성과정과 링크 데이터베이스 생성과정을 통하여 생성할 수 있다.
하이레벨 오브젝트 데이터베이스 생성과정에서는, 복수개의 스미싱 메시지 및 비(非)스미싱 메시지를 샘플로 활용하여 딥러닝 기법으로 학습시킬 수 있다. 이 경우, 스미싱 메시지의 컨텐츠영역에서 포함되는 키워드 및 컨텍스트에 대응하는 하이레벨 오브젝트를 추출할 수 있으며, 상기 하이레벨 오브젝트를 포함하는 하이레벨 오브젝트 데이터베이스를 생성할 수 있다. 여기서 하이레벨 오브젝트 데이터베이스에는, 각각의 하이레벨 오브젝트를 포함하는 문자메시지가 각각 스미싱 메시지에 해당할 확률인 제1 확률에 대한 정보도 포함될 수 있다. 구체적으로, 하이레벨 오브젝트 데이터베이스 내에 상기 하이레벨 오브젝트를 포함하는 전체 문자메시지 중에서, 스미싱 메시지에 해당하는 개수를 카운트하는 방식으로, 상기 하이레벨 오브젝트을 포함하는 문자메시지가 스미싱 메시지에 해당할 제1 확률을 계산할 수 있다.
링크 데이터베이스 생성과정에서는, 복수개의 스미싱 메시지 및 비(非)스미싱 메시지의 링크영역에 포함되는 각각의 URL 링크에 접속하여 기 설정된 분석기법으로 상기 URL 링크를 분석하고, 상기 URL 링크를 분석결과와 함께 저장하여 링크 데이터베이스를 생성할 수 있다. 구체적으로, 링크 데이터베이스 생성과정에서는, URL 링크에 해당하는 웹 게시물을 조회 및 분석하여 스미싱 메시지에 해당하는지 여부를 판별하거나, URL 링크에 해당하는 웹 페이지에 접속하여 웹 페이지에서 제공하는 어플리케이션 등을 다운로드한 후 어플리케이션 등을 분석하여 URL 링크를 포함하는 문자메시지가 스미싱 메시지인지 여부를 판별할 수 있다. 여기서, 어플리케이션을 분석하는 등의 경우에는, 설치권한이나 서명 등 어플리케이션 정보를 분석하거나, 시그니처(signature) 기반 분석, 역공학(reverse engineering)을 통한 정적 분석 및 행동패턴 분석 등의 분석기법을 이용하여, 웹 페이지에서 제공하는 어플리케이션이 악성 어플리케이션에 해당하는지 여부를 분석할 수 있다. 따라서, 링크 데이터베이스 생성과정에서는, 링크 데이터베이스 내에 문자메시지의 링크영역에 포함된 URL 링크와 동일한 URL 링크를 포함하는 전체 문자메시지 중에서, 스미싱 메시지에 해당하는 개수를 카운트하는 방식으로, 상기 URL 링크를 포함하는 문자메시지가 스미싱 메시지에 해당할 제2 확률을 계산할 수 있다.
모니터링단계(S200)에서는, 스미싱(SMishing) 메시지 판별장치가, 수신단말로 전송 요청된 문자메시지를 메시지서버로부터 수신할 수 있다. 스미싱 메시지 판별장치는 문자메시지들을 실시간으로 수신하여 모니터링할 수 있다.
확률계산단계(S300)에서는, 스미싱 메시지 판별장치가 상기 문자메시지에서 컨텐츠영역과 링크영역을 추출할 수 있으며, 컨텐츠영역과 링크영역을 각각 딥러닝(deep learning) 방식으로 학습된 데이터베이스와 비교하여, 상기 문자메시지가 스미싱 메시지에 해당할 스미싱 확률을 계산할 수 있다.
구체적으로, 복수개의 스미싱 메시지에 포함되는 키워드(keyword) 및 컨텍스트(context)에 대응하는 하이레벨 오브젝트(highlevel object)들이 저장된 하이레벨 오브젝트 데이터베이스와 상기 문자메시지의 컨텐츠영역을 비교할 수 있다. 여기서, 키워드는 스미싱 메시지에 해당하는 문자메시지의 컨텐츠 영역에 주로 포함되는 단어 등일 수 있으며, 컨텍스트는 스미싱 메시지에 포함된 텍스트들의 문맥정보나 스미싱 메시지가 전송될 때의 상황정보 등일 수 있다. 즉, 컨텍스트에는, 키워드가 문장 내에서 사용된 용법이나 문장 사이의 연결관계 등의 문맥정보를 비롯하여, 수신단말의 수신위치정보, 발신단말)의 발신위치정보, 스미싱 메시지의 수신시간정보 및 발신시간정보 등의 상황정보가 포함될 수 있다. 따라서, 확률계산단계(S200)에서는 문자메시지의 컨텐츠영역 내에 포함된 하이레벨 오브젝트를 추출하고, 상기 추출된 하이레벨 오브젝트를 포함하는 문자메시지들이 스미싱 메시지에 해당할 제1 확률을 하이레벨 오브젝트 데이터베이스를 이용하여 계산할 수 있다.
이후, 확률계산단계(S200)에서는 복수개의 스미싱 메시지에 포함되는 URL(Uniform Resource Locator) 링크가 저장된 링크 데이터베이스와 문자메시지의 링크영역을 비교할 수 있다. 즉, 문자메시지의 링크 영역 내에 포함된 URL 링크를 추출하고, 상기 추출된 URL 링크를 포함하는 문자메시지들이 스미싱 메시지에 해당할 제2 확률을 상기 링크 데이터베이스를 이용하여 계산할 수 있다.
제1 확률 및 제2 확률의 계산이 완료되면, 확률계산단계(S200)에서는 제1 확률 및 제2 확률에 기 설정된 확률계산알고리즘을 적용하여, 스미싱 확률을 계산하는 과정을 수행할 수 있다. 여기서, 제1 확률과 제2 확률을 서로 더하거나 곱하는 방식으로 스미싱 확률을 계산할 수 있으며, 이때 각각 가중치 등을 적용하여 스미싱 확률을 계산하는 것도 가능하다.
표시단계(S400)에서는, 스미싱 메시지 판별장치가 스미싱 확률을 시각적으로 나타내는 스미싱 위험도 표시수단을 생성하여, 문자메시지에 결합할 수 있다. 즉, 메시지서버는 스미싱 위험도 표시수단이 포함된 문자메시지를 수신단말로 전송할 수 있으며, 수신단말은 문자메시지와 함께 스미싱 위험도 표시수단을 함께 수신할 수 있다. 이 경우, 수신단말의 사용자는 문자메시지와 함께 스미싱 위험도 표시수단을 인지할 수 있으므로, 스미싱 메시지에 의한 피해를 방지하기 위한 조치 등을 취할 수 있다.
구체적으로, 표시단계(S400)에서는, 문자메시지의 배경색상을 스미싱 위험도 표시수단으로 이용할 수 있으며, 스미싱 확률값의 크기에 대응하는 각각의 색상을 미리 설정한 후, 상기 문자메시지의 스미싱 확률에 따라 상기 문자메시지의 배경색상을 설정할 수 있다. 따라서, 사용자는 문자메시지의 배경색상을 통하여, 스미싱 메시지에 해당할 확률을 직관적으로 확인할 수 있다. 이외에도, 표시단계(S400)에서는, 기 설정된 이미지나 기호, 텍스트 등을 스미싱 위험도 표시수단으로 활용할 수 있다. 즉, 문자메시지와 함께 별도의 메시지로 스미싱 확률을 텍스트로 출력할 수 있으며, 이때 배경색상을 각각의 확률에 따라 색상을 달리할 수 있다.
한편, 실시예에 따라서는, 표시단계(S400)에서 리포트수단을 문자메시지에 더 포함하여 결합시키는 것도 가능하다. 여기서, 리포트 수단은 수신단말의 사용자가 직접 수신한 문자메시지가 스미싱 메시지 해당함을 알리는 피드백 신호를 전송하는 수단에 해당한다. 즉, 사용자가 수신단말에 표시된 "report" 버튼에 입력을 인가하면, 스미싱 판별장치로 수신한 문자메시지가 스미싱 메시지에 해당함을 알리는 피드백 신호가 전송될 수 있으며, 스미싱 판별장치는 해당 문자메시지가 스미싱 메시지에 해당함을 인지할 수 있다. 이외에도, "call 100"의 리포트 수단을 포함하여, 사용자가 통신사 고객센터로 통화연결을 수행하여 수신한 문자메시지가 스미싱 메시지에 해당함을 알리도록 하는 것도 가능하다.
업데이트단계(S500)에서는, 하이레벨 오브젝트 데이터베이스 또는 링크 데이터베이스에 대한 업데이트를 수행할 수 있다. 구체적으로, 하이레벨 오브젝트 데이터베이스의 경우에는, 피드백 신호에 따라 수신한 문자메시지가 스미싱 메시지에 해당하는지 여부를 판별한 후, 피드백 신호에 따라 각각의 문자메시지를 딥러닝 기법으로 학습시키는 방식으로, 상기 하이레벨 오브젝트 데이터베이스에 대한 업데이트를 수행할 수 있다. 또한, 링크 데이터베이스의 경우에는, 메시지서버로부터 수신한 문자메시지의 링크 영역에 포함된 URL 링크에 실시간으로 접속하여 URL 링크를 분석한 후, 분석결과에 따라 링크 데이터베이스에 대한 업데이트를 수행할 수 있다.
본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 본 발명에 따른 구성요소를 치환, 변형 및 변경할 수 있다는 것이 명백할 것이다.
1: 발신단말 2: 수신단말
3: 메시지서버 10: 하이레벨 오브젝트 데이터베이스
20: 링크 데이터베이스 100: 스미싱 판별장치
110: 메시지 수신부 120: 추론엔진부
130: 표시설정부 140: 업데이트부
S100: 데이터베이스 생성단계 S200: 모니터링단계
S300: 확률계산단계 S400: 표시단계
S500: 업데이트단계

Claims (22)

  1. 스미싱(SMishing) 메시지 판별장치가, 수신단말로 전송 요청된 문자메시지를 메시지서버로부터 수신하는 모니터링단계;
    스미싱 메시지 판별장치가 상기 문자메시지에서 컨텐츠영역과 링크영역을 추출하고, 상기 컨텐츠영역과 링크영역을 각각 딥러닝(deep learning) 방식으로 학습된 데이터베이스와 비교하여, 상기 문자메시지가 스미싱 메시지에 해당할 스미싱 확률을 계산하는 확률계산단계; 및
    스미싱 메시지 판별장치가, 상기 스미싱 확률을 시각적으로 나타내는 스미싱 위험도 표시수단을 상기 문자메시지에 결합하는 표시단계를 포함하는 스미싱 메시지 판별방법.
  2. 제1항에 있어서, 상기 확률계산단계는
    복수개의 스미싱 메시지에 포함되는 키워드(keyword) 및 컨텍스트(context)에 대응하는 하이레벨 오브젝트(highlevel object)들이 저장된 하이레벨 오브젝트 데이터베이스와 상기 문자메시지의 컨텐츠영역을 비교하고, 복수개의 스미싱 메시지에 포함되는 URL(Uniform Resource Locator) 링크가 저장된 링크 데이터베이스와 상기 문자메시지의 링크영역을 비교하여, 상기 스미싱 확률을 계산하는 스미싱 메시지 판별방법.
  3. 제2항에 있어서, 상기 확률계산단계는
    상기 문자메시지의 컨텐츠영역 내에 포함된 상기 하이레벨 오브젝트를 추출하고, 상기 추출된 하이레벨 오브젝트를 포함하는 문자메시지들이 상기 스미싱 메시지에 해당할 제1 확률을 상기 하이레벨 오브젝트 데이터베이스를 이용하여 계산하는 과정;
    상기 문자메시지의 링크 영역 내에 포함된 url 링크를 추출하고, 상기 추출된 url 링크를 포함하는 문자메시지들이 상기 스미싱 메시지에 해당할 제2 확률을 상기 링크 데이터베이스를 이용하여 계산하는 과정; 및
    상기 제1 확률 및 제2 확률에 기 설정된 확률계산알고리즘을 적용하여, 상기 스미싱 확률을 계산하는 과정을 포함하는 스미싱 메시지 판별방법.
  4. 제2항에 있어서, 상기 컨텍스트는
    상기 스미싱 메시지의 문맥정보, 상기 스미싱 메시지의 수신위치정보, 발신위치정보, 상기 스미싱 메시지의 수신시간정보 및 발신시간정보 중 적어도 어느 하나를 포함하는 스미싱 메시지 판별방법.
  5. 제1항에 있어서,
    복수개의 스미싱 메시지 및 비(非)스미싱 메시지를 딥러닝 기법으로 학습시켜, 상기 스미싱 메시지의 컨텐츠영역에서 포함되는 키워드 및 컨텍스트에 대응하는 하이레벨 오브젝트를 추출하고, 상기 하이레벨 오브젝트를 포함하는 하이레벨 오브젝트 데이터베이스를 생성하는 하이레벨 오브젝트 데이터베이스 생성과정; 및
    복수개의 스미싱 메시지 및 비(非)스미싱 메시지의 링크영역에 포함되는 각각의 URL 링크에 접속하여 기 설정된 분석기법으로 상기 URL 링크를 분석하고, 상기 URL 링크를 분석결과와 함께 저장하여 링크 데이터베이스를 생성하는 링크 데이터베이스 생성과정을 포함하는 데이터베이스 생성단계를 더 포함하는 스미싱 메시지 판별방법.
  6. 제5항에 있어서, 상기 하이레벨 오브젝트 데이터베이스 생성과정은
    상기 하이레벨 오브젝트 데이터베이스 내에, 상기 하이레벨 오브젝트를 포함하는 전체 문자메시지 중에서, 상기 스미싱 메시지에 해당하는 개수를 카운트하여, 상기 하이레벨 오브젝트을 포함하는 문자메시지가 상기 스미싱 메시지에 해당할 제1 확률을 계산하고, 상기 제1 확률을 상기 하이레벨 오브젝트와 함께 저장하는 스미싱 메시지 판별방법.
  7. 제5항에 있어서, 상기 링크 데이터베이스 생성과정은
    시그니처(signature) 기반 분석, 역공학(reverse engineering)을 통한 정적 분석 및 행동패턴 분석 중 적어도 어느 하나 이상의 분석기법을 이용하여, 상기 URL 링크를 분석하고 상기 분석결과를 생성하는 스미싱 메시지 판별방법.
  8. 제1항에 있어서, 상기 표시단계는
    상기 스미싱 위험도 표시수단은 상기 문자메시지의 배경색상이고, 상기 계산된 스미싱 확률의 크기에 대응하는 각각의 색상으로, 상기 문자메시지의 배경색상을 설정하는 스미싱 메시지 판별방법.
  9. 제1항에 있어서, 상기 표시단계는
    사용자의 입력에 따라, 상기 문자메시지가 상기 스미싱 메시지에 해당함을 알리는 피드백 신호를 전송하도록 하는 리포트수단을 더 포함하여, 상기 문자메시지에 결합하는 스미싱 메시지 판별방법.
  10. 제9항에 있어서,
    상기 피드백 신호에 따라, 상기 수신한 문자메시지를 상기 딥러닝 기법으로 반영하여, 상기 하이레벨 오브젝트 데이터베이스를 업데이트하는 업데이트단계를 더 포함하는 스미싱 메시지 판별방법.
  11. 제10항에 있어서,
    상기 메시지서버로부터 상기 문자메시지를 수신하면, 스미싱 메시지 판별장치가, 상기 문자메시지에 포함된 URL 링크에 실시간으로 접속하여 상기 URL 링크를 분석하고, 상기 분석결과에 따라 상기 링크 데이터베이스를 업데이트하는 업데이트단계를 더 포함하는 스미싱 메시지 판별방법.
  12. 메시지서버로부터, 각각의 수신단말로 전송요청된 문자메시지들을 수신하는 메시지 수신부;
    상기 문자메시지의 컨텐츠영역과 링크영역을 구별하고, 각각의 컨텐츠영역과 링크영역을 딥러닝(deep learning) 방식으로 학습한 데이터베이스와 비교하여, 상기 문자메시지가 스미싱 메시지에 해당할 스미싱 확률을 계산하는 추론엔진부; 및
    상기 스미싱 확률을 시각적으로 나타내는 스미싱 위험도 표시수단을 상기 문자메시지에 결합하는 표시설정부를 포함하는 스미싱 메시지 판별장치.
  13. 제12항에 있어서, 상기 데이터베이스는
    복수개의 스미싱 메시지에 포함되는 키워드(keyword) 및 컨텍스트(context)에 대응하는 하이레벨 오브젝트(highlevel object)들이 저장된 하이레벨 오브젝트 데이터베이스; 및
    복수개의 스미싱 메시지에 포함되는 URL(Uniform Resource Locator) 링크가 저장된 링크 데이터베이스를 더 포함하는 스미싱 메시지 판별장치.
  14. 제13항에 있어서, 상기 추론엔진부는
    상기 문자메시지의 컨텐츠영역 내에 포함된 상기 하이레벨 오브젝트를 추출하고, 상기 추출된 하이레벨 오브젝트를 포함하는 문자메시지들이 상기 스미싱 메시지에 해당할 제1 확률을 상기 하이레벨 오브젝트 데이터베이스를 이용하여 계산하고,
    상기 문자메시지의 링크 영역 내에 포함된 URL 링크를 추출하고, 상기 추출된 URL 링크를 포함하는 문자메시지들이 상기 스미싱 메시지에 해당할 제2 확률을 상기 링크 데이터베이스를 이용하여 계산하며,
    상기 제1 확률 및 제2 확률에 기 설정된 확률계산알고리즘을 적용하여, 상기 스미싱 확률을 계산하는 스미싱 메시지 판별장치.
  15. 제13항에 있어서, 상기 컨텍스트는
    상기 스미싱 메시지의 문맥정보, 상기 스미싱 메시지의 수신위치정보, 발신위치정보, 상기 스미싱 메시지의 수신시간정보 및 발신시간정보 중 적어도 어느 하나를 포함하는 스미싱 메시지 판별장치.
  16. 제13항에 있어서,
    상기 하이레벨 오브젝트 데이터베이스는, 복수개의 스미싱 메시지 및 비(非)스미싱 메시지를 딥러닝 기법으로 학습시켜, 상기 스미싱 메시지의 컨텐츠영역에서 포함되는 키워드 및 컨텍스트에 대응하는 하이레벨 오브젝트를 추출하여 생성하고,
    상기 링크 데이터베이스는, 복수개의 스미싱 메시지 및 비(非)스미싱 메시지의 링크영역에 포함되는 각각의 URL 링크에 접속하여 기 설정된 분석기법으로 상기 URL 링크를 분석하고, 상기 URL 링크를 분석결과와 함께 저장하여 생성하는 스미싱 메시지 판별장치.
  17. 제16항에 있어서, 상기 하이레벨 오브젝트 데이터베이스는
    상기 하이레벨 오브젝트 데이터베이스 내에, 상기 하이레벨 오브젝트를 포함하는 전체 문자메시지 중에서, 상기 스미싱 메시지에 해당하는 개수를 카운트하여 계산한 상기 제1 확률을 포함하는 스미싱 메시지 판별장치.
  18. 제16항에 있어서, 상기 링크 데이터베이스는
    시그니처(signature) 기반 분석, 역공학(reverse engineering)을 통한 정적 분석 및 행동패턴 분석 중 적어도 어느 하나 이상의 분석기법을 이용하여, 상기 URL 링크를 분석하고 상기 분석결과를 생성하는 스미싱 메시지 판별장치.
  19. 제12항에 있어서, 상기 표시설정부는
    상기 문자메시지의 배경색상을 상기 스미싱 위험도 표시수단으로 이용하는 것으로서, 상기 계산된 스미싱 확률의 크기에 대응하는 각각의 색상에 따라 상기 문자메시지의 배경색상을 설정하는 스미싱 메시지 판별장치.
  20. 제12항에 있어서, 상기 표시설정부는
    사용자의 입력에 따라, 상기 문자메시지가 상기 스미싱 메시지에 해당함을 알리는 피드백 신호를 전송하도록 하는 리포트수단을 더 포함하여, 상기 문자메시지에 결합하는 스미싱 메시지 판별장치.
  21. 제20항에 있어서,
    상기 피드백 신호에 따라, 상기 수신한 문자메시지를 포함하여 상기 하이레벨 오브젝트 데이터베이스를 업데이트하는 업데이트부를 더 포함하는 스미싱 메시지 판별장치.
  22. 제12항에 있어서,
    상기 메시지서버로부터 상기 문자메시지를 수신하면, 상기 문자메시지에 포함된 URL 링크에 실시간으로 접속하여 상기 URL 링크를 분석하고, 상기 분석결과에 따라 상기 링크 데이터베이스를 업데이트하는 업데이트부를 더 포함하는 스미싱 메시지 판별장치.
KR1020150120228A 2015-08-26 2015-08-26 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법 KR102355973B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150120228A KR102355973B1 (ko) 2015-08-26 2015-08-26 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150120228A KR102355973B1 (ko) 2015-08-26 2015-08-26 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법

Publications (2)

Publication Number Publication Date
KR20170024777A true KR20170024777A (ko) 2017-03-08
KR102355973B1 KR102355973B1 (ko) 2022-01-25

Family

ID=58404199

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150120228A KR102355973B1 (ko) 2015-08-26 2015-08-26 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법

Country Status (1)

Country Link
KR (1) KR102355973B1 (ko)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101868421B1 (ko) * 2017-02-17 2018-06-20 박성진 웹 상의 콘텐츠들에 대한 거짓 여부 판별 지원 장치 및 그 동작 방법
WO2018194282A1 (ko) * 2017-04-17 2018-10-25 주식회사 넷앤드 보안 강화를 위해 입력된 명령어 학습 기반 이상 사용자를 탐지하는 서버 접근 통제 시스템
KR20180124433A (ko) * 2017-05-11 2018-11-21 주식회사 넥슨코리아 메시지 오전송 방지 방법 및 그를 수행하는 메신저 서비스 제공 장치
KR20190033170A (ko) * 2017-09-21 2019-03-29 캠프모바일 주식회사 어뷰저 탐지
KR102093275B1 (ko) * 2019-05-23 2020-03-25 (주)지란지교시큐리티 악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법
KR102093274B1 (ko) * 2019-05-28 2020-03-25 (주)지란지교시큐리티 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
KR102261789B1 (ko) * 2020-04-13 2021-06-08 아인스플랫주식회사 스미싱 메시지 모니터링 방법 및 스미싱 위험도 판정 방법
KR20210069900A (ko) * 2019-12-04 2021-06-14 주식회사 핑거 스미싱 탐지 시스템
KR20220052156A (ko) * 2020-10-20 2022-04-27 주식회사 엘지유플러스 스팸 메시지 차단 장치 및 방법
KR20220066842A (ko) * 2020-11-16 2022-05-24 포항공과대학교 산학협력단 블록체인 기반 스미싱 방지 방법 및 장치
KR102440411B1 (ko) * 2021-08-18 2022-09-02 한국인터넷진흥원 비정상 로밍 요청 탐지 방법 및 장치
KR20230097395A (ko) 2021-12-24 2023-07-03 포항공과대학교 산학협력단 지식베이스 데이터 기반 스미싱 탐지 방법 및 장치

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060071362A (ko) 2004-12-21 2006-06-26 루센트 테크놀러지스 인크 스팸 차단 방법 및 스팸 차단 장치
KR101256459B1 (ko) * 2012-08-20 2013-04-19 주식회사 안랩 피싱 방지 장치 및 방법
KR20130080831A (ko) * 2013-06-25 2013-07-15 엔에이치엔비즈니스플랫폼 주식회사 악의적인 메시지 검출 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
KR20140144636A (ko) * 2013-06-11 2014-12-19 에스케이텔레콤 주식회사 악성 url 검사장치 및 방법
KR20150012053A (ko) * 2013-07-24 2015-02-03 주식회사 케이티 이동통신망에서 메시지 전달의 실시간성이 확보된 스미싱 메시지 검출 장치 및 방법
KR20150065017A (ko) * 2013-12-04 2015-06-12 주식회사 네이블커뮤니케이션즈 스미싱 방지 방법, 이를 수행하는 스미싱 방지 서버 및 이를 저장하는 기록매체

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060071362A (ko) 2004-12-21 2006-06-26 루센트 테크놀러지스 인크 스팸 차단 방법 및 스팸 차단 장치
KR101256459B1 (ko) * 2012-08-20 2013-04-19 주식회사 안랩 피싱 방지 장치 및 방법
KR20140144636A (ko) * 2013-06-11 2014-12-19 에스케이텔레콤 주식회사 악성 url 검사장치 및 방법
KR20130080831A (ko) * 2013-06-25 2013-07-15 엔에이치엔비즈니스플랫폼 주식회사 악의적인 메시지 검출 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
KR20150012053A (ko) * 2013-07-24 2015-02-03 주식회사 케이티 이동통신망에서 메시지 전달의 실시간성이 확보된 스미싱 메시지 검출 장치 및 방법
KR20150065017A (ko) * 2013-12-04 2015-06-12 주식회사 네이블커뮤니케이션즈 스미싱 방지 방법, 이를 수행하는 스미싱 방지 서버 및 이를 저장하는 기록매체

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101868421B1 (ko) * 2017-02-17 2018-06-20 박성진 웹 상의 콘텐츠들에 대한 거짓 여부 판별 지원 장치 및 그 동작 방법
WO2018194282A1 (ko) * 2017-04-17 2018-10-25 주식회사 넷앤드 보안 강화를 위해 입력된 명령어 학습 기반 이상 사용자를 탐지하는 서버 접근 통제 시스템
KR20180124433A (ko) * 2017-05-11 2018-11-21 주식회사 넥슨코리아 메시지 오전송 방지 방법 및 그를 수행하는 메신저 서비스 제공 장치
KR20190033170A (ko) * 2017-09-21 2019-03-29 캠프모바일 주식회사 어뷰저 탐지
KR102093275B1 (ko) * 2019-05-23 2020-03-25 (주)지란지교시큐리티 악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법
KR102093274B1 (ko) * 2019-05-28 2020-03-25 (주)지란지교시큐리티 콘텐트 스캐닝 에이전트, 콘텐트 스캐닝 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
KR20210069900A (ko) * 2019-12-04 2021-06-14 주식회사 핑거 스미싱 탐지 시스템
KR102261789B1 (ko) * 2020-04-13 2021-06-08 아인스플랫주식회사 스미싱 메시지 모니터링 방법 및 스미싱 위험도 판정 방법
KR20210127117A (ko) * 2020-04-13 2021-10-21 아인스플랫주식회사 스미싱 메시지 모니터링 방법 및 스미싱 위험도 판정 방법
KR20220052156A (ko) * 2020-10-20 2022-04-27 주식회사 엘지유플러스 스팸 메시지 차단 장치 및 방법
KR20220066842A (ko) * 2020-11-16 2022-05-24 포항공과대학교 산학협력단 블록체인 기반 스미싱 방지 방법 및 장치
KR102440411B1 (ko) * 2021-08-18 2022-09-02 한국인터넷진흥원 비정상 로밍 요청 탐지 방법 및 장치
KR20230097395A (ko) 2021-12-24 2023-07-03 포항공과대학교 산학협력단 지식베이스 데이터 기반 스미싱 탐지 방법 및 장치

Also Published As

Publication number Publication date
KR102355973B1 (ko) 2022-01-25

Similar Documents

Publication Publication Date Title
KR20170024777A (ko) 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법
Heartfield et al. Detecting semantic social engineering attacks with the weakest link: Implementation and empirical evaluation of a human-as-a-security-sensor framework
RU2607229C2 (ru) Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества
US20180095737A1 (en) Dynamic code management
US9769688B2 (en) Device and method for prompting information about Wi-Fi signal
CN112106049B (zh) 生成隐私数据隔离和报告的系统和方法
CN110489966A (zh) 平行越权漏洞检测方法、装置、存储介质及电子设备
US8347381B1 (en) Detecting malicious social networking profiles
KR102550923B1 (ko) 유해 사이트 차단 시스템 및 그 방법
KR101847381B1 (ko) 전자메일 제공 시스템 및 그 방법
Mehrnezhad et al. How can and would people protect from online tracking?
CN111711617A (zh) 网络爬虫的检测方法、装置、电子设备及存储介质
CN102315952A (zh) 一种用于社区网络中检测垃圾帖子的方法与设备
CN110955395A (zh) 打印系统的风险评估方法、装置及存储介质
US20170244741A1 (en) Malware Identification Using Qualitative Data
CN113326375A (zh) 舆情处理的方法、装置、电子设备和存储介质
Clasen et al. Friend or foe: An investigation into recipient identification of sms-based phishing
US8819049B1 (en) Frame injection blocking
Tran et al. A third-party intelligent system for preventing call phishing and message scams
US20220210189A1 (en) Mitigation of phishing risk
CN113904828B (zh) 接口的敏感信息检测方法、装置、设备、介质和程序产品
CN113709136B (zh) 一种访问请求验证方法和装置
JP6148036B2 (ja) 管理サーバ、通信端末、情報提供システム及び情報提供方法
KR102296861B1 (ko) 스미싱 탐지 시스템
Almotiri Security & Privacy Awareness & Concerns of Computer Users Posed by Web Cookies and Trackers

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant