KR20170041574A - Apparatus and method for protecting malicious site - Google Patents

Apparatus and method for protecting malicious site Download PDF

Info

Publication number
KR20170041574A
KR20170041574A KR1020150141198A KR20150141198A KR20170041574A KR 20170041574 A KR20170041574 A KR 20170041574A KR 1020150141198 A KR1020150141198 A KR 1020150141198A KR 20150141198 A KR20150141198 A KR 20150141198A KR 20170041574 A KR20170041574 A KR 20170041574A
Authority
KR
South Korea
Prior art keywords
link
malicious
domain
verification
specific link
Prior art date
Application number
KR1020150141198A
Other languages
Korean (ko)
Other versions
KR102148189B1 (en
Inventor
이종민
신민일
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020150141198A priority Critical patent/KR102148189B1/en
Publication of KR20170041574A publication Critical patent/KR20170041574A/en
Application granted granted Critical
Publication of KR102148189B1 publication Critical patent/KR102148189B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Information Transfer Between Computers (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The present invention relates to a technology to detect and block a malicious site in a mobile environment. Disclosed are an apparatus and a method for blocking a malicious site which can control whether to transmit a specific link by including the specific link in a text message by determining whether the specific link is a malicious link or not before transmitting the text message including the specific link to a mobile terminal.

Description

악성사이트 차단을 위한 장치 및 방법{APPARATUS AND METHOD FOR PROTECTING MALICIOUS SITE}[0001] APPARATUS AND METHOD FOR PROTECTING MALICIOUS SITE [0002]

본 발명은 모바일 환경에서의 악성사이트를 감지 및 차단하기 위한 기술에 관한 것으로, 특정링크(예: 웹사이트 링크)를 포함하는 문자메시지를 모바일 단말로 전송하기 이전에, 특정링크가 악성링크인지의 여부를 판단하여 특정링크를 문자메시지에 포함시켜 전송할 지의 여부를 제어할 수 있는 악성사이트 차단을 위한 장치 및 방법에 관한 것이다.The present invention relates to a technology for detecting and blocking a malicious site in a mobile environment, and a method for detecting a malicious link in a mobile environment, including transmitting a text message including a specific link (e.g., a web site link) And to control whether or not to transmit a specific link by including it in a text message, and to an apparatus and method for malicious site blocking.

최근 모바일 단말의 기능이 향상됨에 따라 사용자는 모바일 단말을 이용하여 단말간의 통화 및 메시지 전송과 같은 통신서비스를 이용하는 것 이외에도 전자결재, 스마트 뱅킹(smart banking), 증권 거래 등과 같은 금융관련거래를 처리하고 있다. As the function of a mobile terminal has recently been improved, a user can use a mobile terminal to handle financial transactions such as electronic payment, smart banking, and securities transaction in addition to using a communication service such as communication and message transmission between terminals have.

즉, 사용자는 모바일 단말에 보안 인증서, 신용 카드 정보, 통장계좌정보 등과 같은 금융거래를 위한 개인정보를 저장하고, 모바일 단말을 통해 시간과 장소에 제약 없이 금융관련거래를 처리하는 것이다.That is, the user stores personal information for a financial transaction such as a security certificate, credit card information, bankbook account information and the like in a mobile terminal, and processes a financial transaction without restriction on a time and place through a mobile terminal.

이처럼, 모바일 단말을 이용하여 금융관련거래를 처리하는 사용자의 수가 급속히 증가함에 따라 모바일 단말을 통한 해킹 피해 역시 급속히 증가하고 있다.As a result, the number of users who process financial transactions using a mobile terminal is rapidly increasing, so that hacking damage through a mobile terminal is also rapidly increasing.

대표적인 해킹 피해의 예로서 스미싱(Smishing)을 들 수 있는데, 스미싱(Smishing)은, 문자메시지(SMS)와 피싱(Phishing)의 합성어로 문자메시지를 이용한 새로운 모바일 해킹 기법이다. Smishing is an example of a typical hacking damage. Smishing is a new mobile hacking technique that combines text messages (SMS) and phishing with text messages.

예를 들어, 해커가 모바일 단말의 사용자에게 악성 어플리케이션(예: 트로이 목마)의 설치를 유도하는 특정링크(이하, 웹사이트 링크)가 포함된 문자메시지를 전송하게 되면, 모바일 단말의 사용자는 문자메시지의 웹사이트 링크에 접속하게 되며, 그로 인해 사용자의 모바일 단말에 악성 어플리케이션이 설치 및 실행되어 사용자의 개인정보가 무방비 상태에서 해커들에게 전송되는 상황이 발생하게 된다.For example, when a hacker transmits a text message including a specific link (hereinafter referred to as a " Web site link ") that induces a user of a mobile terminal to install a malicious application (e.g., a Trojan horse) The malicious application is installed and executed in the user's mobile terminal, and the user's personal information is transmitted to the hackers in a defenseless state.

이러한 문제점을 해소하기 위해, 모바일 단말로 웹사이트 링크가 포함된 문자메시지가 전송된 후, 사용자가 문자메시지에 포함된 웹사이트 링크를 클릭하면, 웹사이트 링크로 바로 연결되는 것이 아닌 클라우드에서 해당 웹사이트 링크에 접속하여 악성사이트 인지의 여부를 판단한 결과를 모바일 단말의 사용자에게 전달하는 방안이 등장하기도 했다.In order to solve such a problem, when a text message including a website link is transmitted to a mobile terminal, when a user clicks a link of a website included in a text message, A method of accessing the site link and determining whether or not the malicious site has been detected is transmitted to the user of the mobile terminal.

그러나, 이처럼 클라우드에서 악성사이트인지의 여부를 판단하기 위해서는, 모바일 단말에서 클릭한 웹사이트 링크가 클라우드로 전송되어야 하며, 이를 수신한 클라우드는 해당 웹사이트에 접속하여 악성사이트 인지의 여부를 판단하는 과정을 거쳐야 하므로, 사용자는 악성사이트인지의 여부를 판단한 결과를 수신하기까지 오랜 시간 동안 대기해야 하는 불편함이 발생하게 된다.However, in order to determine whether or not the malicious site is in the cloud, the link of the web site clicked on the mobile terminal must be transmitted to the cloud, and the received cloud accesses the corresponding web site to determine whether or not the malicious site is determined The user has to wait for a long time before receiving the result of determining whether the malicious site is malicious or not.

또한, 해커들이 점점 지능화됨에 따라 문자메시지에 포함된 웹사이트 링크를 클릭하지 않더라도 웹사이트 링크가 포함된 문자메시지를 수신하는 것만으로도 해킹 피해가 발생되도록 할 가능성이 있으므로, 웹사이트 링크를 포함하는 문자메시지가 모바일 단말로 수신되기 이전에 웹사이트 링크가 악성사이트인지의 여부를 판단할 수 있는 기술이 요구된다. In addition, as the hackers become more intelligent, even if the user does not click on the website link included in the text message, receiving the text message including the website link may cause hacking damage. Therefore, A technique for determining whether or not a web site link is a malicious site before a text message is received by the mobile terminal is required.

이에, 본 발명에서는, 웹사이트 링크를 포함하는 문자메시지를 모바일 단말로 전송하기 이전에, 웹사이트 링크가 악성사이트인지의 여부를 판단하여 해당 웹사이트 링크를 문자메시지에 포함시켜 전송할 지의 여부를 제어 할 수 있는 방안을 제안하고자 한다. Accordingly, in the present invention, before transmitting the text message including the website link to the mobile terminal, it is determined whether or not the web site link is a malicious site, and whether the web site link is included in the text message and transmitted I would like to propose a way to do this.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 해결하고자 하는 과제는, 특정링크(예: 웹사이트 링크)를 포함하는 문자메시지를 모바일 단말로 전송하기 이전에, 특정링크가 악성링크인지의 여부를 판단하여 특정링크를 문자메시지에 포함시켜 전송할 지의 여부를 제어할 수 있는 악성사이트 차단을 위한 장치 및 방법을 제공하는데 있다.SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and it is an object of the present invention to provide a method and system for transmitting a text message including a specific link (e.g., a web site link) And to control whether or not to transmit a specific link in a text message by judging whether or not the specific link is detected.

또한, 본 발명의 해결하려는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다. Further, it is to be understood that the present invention is not limited to the above-mentioned embodiments, and other and further objects which are not mentioned can be clearly understood by those skilled in the art from the following description .

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 악성사이트차단장치는, 문자메시지에 특정링크가 포함된 것으로 확인되면, 상기 특정링크가 악성리스트정보에 포함되는지의 여부를 확인하는 악성등록여부확인부; 상기 특정링크가 상기 악성리스트정보에 포함되지 않은 경우, 상기 특정링크에 대한 자원등록정보를 이용하여 상기 특정링크에 대한 악성여부를 결정하는 악성링크결정부; 및 상기 악성링크결정부에서 특정링크에 대한 악성여부가 결정되지 않는 경우, 검증링크를 이용하여 상기 특정링크의 악성여부를 검증하는 악성링크검증부를 포함하는 것을 특징으로 한다.In order to accomplish the above object, according to a first aspect of the present invention, there is provided a malicious site blocking apparatus comprising: a malicious site registration unit for checking whether a specific link is included in a malicious site list information, Verification unit; A malicious link determining unit determining maliciousness of the specific link using the resource registration information for the specific link when the specific link is not included in the malicious list information; And a malicious link verifying unit for verifying whether or not the specific link is malicious using the verification link when the malicious link determining unit determines that the specific link is malicious.

상기 자원등록정보는, 상기 특정링크에 대한 도메인, 상기 도메인의 할당일자, 상기 도메인의 소유주, 상기 도메인의 할당 지역 위치, 상기 도메인의 소유주 식별자, 상기 도메인의 관리자 이메일, 상기 도메인의 관리자 전화번호 및 상기 도메인을 이용한 서비스 종류 중 적어도 하나를 포함하는 것을 특징으로 한다.Wherein the resource registration information includes at least one of a domain for the specific link, an allocation date of the domain, an owner of the domain, an allocation area location of the domain, an owner identifier of the domain, And a service type using the domain.

상기 악성링크검증부는, 상기 도메인의 할당일자가 소정의 무료등록사용기간범위에 포함되면, 상기 특정링크에 대한 도메인을 이용하여 상기 적어도 2개의 검증링크를 생성하는 것을 특징으로 한다.The malicious link verification unit may generate the at least two verification links using the domain for the specific link if the allocation date of the domain is included in a predetermined free registration use period range.

상기 악성링크검증부는, 상기 적어도 2개의 검증링크가 제1 검증링크 및 제2 검증링크를 포함하는 경우, 상기 제1 검증링크에 의해 제1 검증단말에서 상기 도메인에 접속한 제1 접속화면과 상기 제2 검증링크에 의해 제2 검증단말에서 상기 도메인에 접속한 제2 접속화면을 비교한 결과와, 상기 제1 검증단말과 상기 제2 검증단말로부터 각각 리턴되는 특정링크에 대한 일치여부를 확인한 결과 중 적어도 하나에 기초하여 상기 특정링크에 대한 악성여부를 검증하는 것을 특징으로 한다.The malicious link verification unit may include a first connection screen connected to the domain by the first verification link by the first verification link and a second connection screen by the first verification link when the at least two verification links include a first verification link and a second verification link, A result obtained by comparing the second connection screen accessed by the second verification terminal with the second connection screen by the second verification link and the result of checking whether the specific link returned from the first verification terminal and the second verification terminal respectively are matched The maliciousness of the specific link is verified.

상기 악성링크검증부는, 상기 제1 접속화면과 상기 제2 접속화면이 동일하게 표시되며, 상기 제1 검증단말과 상기 제2 검증단말로부터 각각 리턴되는 특정링크가 동일한 경우, 상기 특정링크가 악성이 아닌 것으로 판단하며, 상기 제1 접속화면과 상기 제2 접속화면이 동일하게 표시되지 않거나, 또는 상기 제1 접속화면과 상기 제2 접속화면은 동일하게 표시되나 상기 제1 검증단말과 상기 제2 검증단말로부터 각각 리턴되는 특정링크가 동일하지 않은 경우, 상기 특정링크를 악성인 것으로 판단하는 것을 특징으로 한다.The malicious link verification unit may be configured to determine that the specific link is malicious when the first connection screen and the second connection screen are displayed identically and the specific link returned from the first verification terminal and the second verification terminal are identical, The first connection screen and the second connection screen are not displayed identically or the first connection screen and the second connection screen are displayed identically but the first verification screen and the second verification screen are displayed in the same manner, The specific link is judged to be malicious when the specific links returned from the terminal are not the same.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 악성사이트차단장치의 동작 방법은, 문자메시지에 특정링크가 포함된 것으로 확인되면, 상기 특정링크가 악성리스트정보에 포함되는지의 여부를 확인하는 확인단계; 상기 특정링크가 상기 악성리스트정보에 포함되지 않은 경우, 상기 특정링크에 대한 자원등록정보를 이용하여 상기 특정링크에 대한 악성여부를 결정하는 결정단계; 및 상기 결정단계에서 특정링크에 대한 악성여부가 결정되지 않는 경우, 검증링크를 이용하여 상기 특정링크의 악성여부를 검증하는 검증단계를 포함하는 것을 특징으로 한다.According to a second aspect of the present invention, an operation method of a malicious site blocking apparatus according to the second aspect of the present invention includes the steps of: determining whether a specific link is included in a text message, Identification step; Determining whether the specific link is malicious for the specific link using the resource registration information for the specific link if the specific link is not included in the malicious list information; And a verification step of verifying whether or not the specific link is malicious using the verification link if it is determined in the determining step that maliciousness of the specific link is not determined.

상기 자원등록정보는, 상기 특정링크에 대한 도메인, 상기 도메인의 할당일자, 상기 도메인의 소유주, 상기 도메인의 할당 지역 위치, 상기 도메인의 소유주 식별자, 상기 도메인의 관리자 이메일, 상기 도메인의 관리자 전화번호 및 상기 도메인을 이용한 서비스 종류 중 적어도 하나를 포함하는 것을 특징으로 한다.Wherein the resource registration information includes at least one of a domain for the specific link, an allocation date of the domain, an owner of the domain, an allocation area location of the domain, an owner identifier of the domain, And a service type using the domain.

상기 검증단계는, 상기 도메인의 할당일자가 소정의 무료등록사용기간범위에 포함되면, 상기 특정링크에 대한 도메인을 이용하여 상기 적어도 2개의 검증링크를 생성하는 생성단계를 포함하는 것을 특징으로 한다.And the verification step includes a generation step of generating the at least two verification links using the domain for the specific link if the allocation date of the domain is included in a predetermined free registration use period range.

상기 검증단계는, 상기 적어도 2개의 검증링크가 제1 검증링크 및 제2 검증링크를 포함하는 경우, 상기 제1 검증링크에 의해 제1 검증단말에서 상기 도메인에 접속한 제1 접속화면과 상기 제2 검증링크에 의해 제2 검증단말에서 상기 도메인에 접속한 제2 접속화면을 비교한 결과와, 상기 제1 검증단말과 상기 제2 검증단말로부터 각각 리턴되는 특정링크에 대한 일치여부를 확인한 결과 중 적어도 하나에 기초하여 상기 특정링크에 대한 악성여부를 검증하는 비교검증단계를 포함하는 것을 특징으로 한다.Wherein the verification step comprises the steps of: when the at least two verification links include a first verification link and a second verification link, 2 verification link of the first verification terminal and the specific link returned from the first verification terminal and the second verification terminal are compared with each other, And verifying whether or not the specific link is malicious based on at least one of the plurality of links.

상기 비교검증단계는, 상기 제1 접속화면과 상기 제2 접속화면이 동일하게 표시되며, 상기 제1 검증단말과 상기 제2 검증단말로부터 각각 리턴되는 특정링크가 동일한 경우, 상기 특정링크가 악성이 아닌 것으로 판단하며, 상기 제1 접속화면과 상기 제2 접속화면이 동일하게 표시되지 않거나, 또는 상기 제1 접속화면과 상기 제2 접속화면은 동일하게 표시되나 상기 제1 검증단말과 상기 제2 검증단말로부터 각각 리턴되는 특정링크가 동일하지 않은 경우, 상기 특정링크를 악성인 것으로 판단하는 것을 특징으로 한다.Wherein if the first linking screen and the second linking screen are displayed identically and the specific links returned from the first verifying terminal and the second verifying terminal are identical, The first connection screen and the second connection screen are not displayed identically or the first connection screen and the second connection screen are displayed identically but the first verification screen and the second verification screen are displayed in the same manner, The specific link is judged to be malicious when the specific links returned from the terminal are not the same.

이에, 본 발명에 따른 악성사이트 차단을 위한 장치 및 방법에 의하면, 본 발명의 실시예에서는 특정링크를 포함하는 문자메시지가 수신되면, 문자메시지를 단말로 전송하기 이전에 특정링크가 악성링크인지의 여부를 판단한 결과에 기초하여 특정링크를 문자메시지에 포함시켜 전송할 지의 여부를 결정함에 따라, 종래 문자메시지가 사용자에게 전달된 이후 사용자가 특정링크를 선택했을 때 특정링크가 악성링크인지를 판단하는 것과 달리 악성링크확인을 위한 대기시간이 발생되지 않으므로 사용자에게 보다 신속하게 악성사이트 차단 서비스를 제공할 수 있으며, 모바일 환경의 해킹이 지능화되더라도 악성링크가 단말로 전송되지 않도록 근본적으로 차단할 수 있어 악성사이트의 차단확률을 획기적으로 증가시킬 수 있는 효과를 도출한다.According to the apparatus and method for blocking malicious sites according to the present invention, when a text message including a specific link is received in the embodiment of the present invention, before the text message is transmitted to the terminal, Determining whether the specific link is included in the text message based on the determination result, and then determining whether the specific link is a malicious link when the user selects a specific link after the conventional text message is delivered to the user It is possible to provide the malicious site blocking service more quickly to the user because the waiting time for malicious link confirmation does not occur and even if the hacking of the mobile environment is made intelligent, it is possible to fundamentally block the malicious link from being transmitted to the terminal, It is possible to dramatically increase the blocking probability.

도 1은 본 발명의 실시예에 따른 악성사이트차단장치가 적용되는 통신 환경을 보여주는 예시도이다.
도 2는 본 발명의 실시예에 따른 악성사이트차단장치의 블록도를 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 악성사이트 차단 서비스를 제공하는 동작 흐름을 보여주는 흐름도이다.1 is an exemplary diagram illustrating a communication environment to which a malicious site blocking apparatus according to an embodiment of the present invention is applied.
2 is a block diagram of a malicious site blocking apparatus according to an embodiment of the present invention.
3 is a flowchart illustrating an operation flow for providing a malicious site blocking service according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings.

먼저, 도 1을 참조하여 본 발명의 악성사이트차단장치가 적용되는 통신 환경을 설명하도록 하겠다.First, a communication environment to which the malicious site blocking apparatus of the present invention is applied will be described with reference to FIG.

도 1에 도시된 바와 같이, 본 발명이 적용될 통신 환경은, 단말(100), 악성사이트차단장치(200) 및 정보제공장치(300)를 포함할 수 있다.As shown in FIG. 1, a communication environment to which the present invention is applied may include a terminal 100, a malicious site blocking apparatus 200, and an information providing apparatus 300.

단말(100)은, 상대방과의 통화를 시도(발신)하거나 또는 상대방으로부터 시도되는 통화를 수신(착신)하는 등 기본적인 통화 서비스를 이용할 수 있는 디바이스로서, 유선 단말일 수도 있고 무선 단말일 수도 있다. 본 발명에서는 단말(100)이 모바일 단말인 것으로 가정하여 설명하도록 하겠다.The terminal 100 may be a wired terminal or a wireless terminal, which is a device that can use a basic communication service such as attempting to make a call (send) with the other party, or receive (receive) a call attempted from the other party. In the present invention, it is assumed that the terminal 100 is a mobile terminal.

물론, 단말(100)은, 기본적인 통화 서비스 외에도, 문자메시지를 발/착신하는 등의 메시지 서비스와, 데이터 다운로드 및 정보 검색 등의 데이터 서비스를 이용할 수도 있다. 여기서, 문자메시지는, 단문메시지(Short Message Service, 이하 SMS) 또는 멀티미디어메시지(Multimedia Message Service, 이하 MMS)일 수 있으나, 이러한 용어에 대한 제한 없이 문자정보를 포함하는 모든 메시지를 포함할 수 있다.Of course, in addition to the basic call service, the terminal 100 may use a message service such as sending / receiving a text message, and a data service such as data download and information search. Here, the text message may be a Short Message Service (SMS) or a Multimedia Message Service (MMS), but may include any message including character information without limitation to the term.

악성사P2015-0235이트차단장치(200)는, 단말(100)을 비롯한 다수 단말에 대하여 부가서비스를 제공하기 위한 서버로서, 특히 본 발명에서 제공하고자 하는 서비스 즉 모바일 환경에서의 악성사이트를 감지 및 차단하는 서비스(이하, 악성사이트 차단 서비스)를 제공하기 위한 서버이다.The malicious company P2015-0235 firewall device 200 is a server for providing an additional service to a plurality of terminals including the terminal 100. It is a server for detecting malicious sites in a mobile environment, (Hereinafter referred to as a malicious site blocking service).

즉, 악성사이트차단장치(200)는, 웹사이트 링크(이하, 특정링크)를 포함하는 문자메시지를 단말(100)로 전송해야 하는 경우, 특정링크가 악성사이트의 링크(이하, 악성사이트와 악성링크를 혼용하여 사용함)인지의 여부를 판단하여 해당 특정링크를 문자메시지에 포함시켜 전송할 지의 여부를 제어하여 악성사이트 차단 서비스를 제공하게 된다.That is, when the malicious site blocking apparatus 200 has to transmit a text message including a website link (hereinafter referred to as a specific link) to the terminal 100, the malicious site blocking apparatus 200 determines that the specific link is a malicious site link Link is used in combination), and the malicious site blocking service is provided by controlling whether or not to transmit the specific link in the text message.

이러한, 악성사이트차단장치(200)는, 문자메시지가 수신되면, 이를 수신해야 하는 해당 단말을 인지하여 문자메시지를 전송하기 위한 서버일 수 있다. The malicious site blocking apparatus 200 may be a server for receiving a text message and transmitting the text message by recognizing the corresponding terminal to receive the text message.

예를 들자면, 악성사이트차단장치(200)는, SMSC(Short Message Service Center), MMSC(Multi-media Message Service Center), SMSF(Short Message Spam Filtering system) 등과 같이 문자메시지를 수신하여 저장 내지 보관한 후 해당 단말로 전송하는 기능을 구비하며, 이 외에 동일한 기능을 구비하는 다른 문자메시지 처리가능 장치들로 구성될 수도 있다.For example, the malicious site blocking apparatus 200 receives a text message such as a Short Message Service Center (SMSC), a Multi-Media Message Service Center (MMSC), and a Short Message Spam Filtering System (SMSF) And transmitting the message to the corresponding terminal, and may be configured with other text message processable devices having the same function.

정보제공장치(300)는, 인터넷의 통신망에 관한 정보를 제공하기 위한 기능을 구비하며, 특히 인터넷의 자원과 정보를 관리하기 위한 서버일 수 있다. 이러한 정보제공장치(300)는, 예를 들어, 후이즈(whois) 서버일 수 있으며, 인터넷의 통신망에서 이용되는 모든 도메인을 확인하고 도메인과 관련된 사람과 인터넷의 자원을 찾아보기 위한 프로토콜로 동작하게 된다.The information providing apparatus 300 has a function of providing information on a communication network of the Internet, and in particular, may be a server for managing resources and information of the Internet. For example, the information providing apparatus 300 may operate as a protocol for identifying all domains used in a communication network of the Internet and searching for resources related to a domain and resources of the Internet .

이하에서는, 정보제공장치(300)가 후이즈(whois) 서버인 것으로 가정하여 설명하도록 하겠다.Hereinafter, it will be assumed that the information providing apparatus 300 is a whois server.

즉, 정보제공장치(300)는, 악성사이트차단장치(200)로부터 IP 주소나 도메인 이름을 포함하는 정보제공요청메시지(예: 후이즈 명령)가 수신되면, 정보제공요청메시지(예: 후이즈 명령)에 기초하여 도메인과 관련된 자원등록정보를 검색하여 제공한다.That is, when the malicious site blocking apparatus 200 receives an information providing request message (e.g., a Whois command) including an IP address or a domain name, the information providing apparatus 300 transmits an information providing request message (e.g., And searches for and provides resource registration information related to the domain.

예를 들어, 정보제공장치(300)는, 악성사이트차단장치(200)로부터 정보제공요청메시지를 수신하면, 정보제공요청메시지에 기초하여 도메인을 확인하고 도메인과 관련된 자원등록정보를 검색하여 악성사이트차단장치(200)로 전달한다.For example, when the information providing apparatus 300 receives the information providing request message from the malicious site blocking apparatus 200, the information providing apparatus 300 confirms the domain based on the information providing request message, searches the resource registration information related to the domain, To the blocking device (200).

여기서, 자원등록정보는, 특정링크에 대한 도메인, 도메인의 할당일자, 도메인의 소유주, 도메인의 할당 지역 위치, 도메인의 소유주 식별자, 도메인의 관리자 이메일, 도메인의 관리자 전화번호 및 도메인을 이용한 서비스 종류 중 적어도 하나를 포함할 수 있다.Herein, the resource registration information includes a domain for a specific link, a domain allocation date, a domain owner, a domain allocation area location, a domain owner identifier, a domain administrator email, a domain administrator's phone number, And may include at least one.

이하에서는, 도 2를 참조하여 본 발명의 실시예에 따른 악성사이트차단장치의 구성을 보다 구체적으로 설명하겠다.Hereinafter, the configuration of the malicious site blocking apparatus according to the embodiment of the present invention will be described in more detail with reference to FIG.

도 2에 도시된 바와 같이, 본 발명에 따른 악성사이트차단장치(200)는, 문자메시지에 특정링크가 포함된 것으로 확인되면, 특정링크가 악성으로 기 확인된 악성리스트정보에 포함되는지의 여부를 확인하는 악성등록여부확인부(210), 특정링크가 악성리스트정보에 포함되지 않은 경우, 특정링크에 대한 자원등록정보를 이용하여 특정링크에 대한 악성여부를 결정하는 악성링크결정부(220) 및 특정링크에 대한 악성여부가 자원등록정보를 이용해서도 결정되지 않는 경우, 특정링크의 악성여부를 검증하기 위한 검증링크를 이용하여 특정링크의 악성여부를 검증하는 악성링크검증부(230)를 포함한다.As shown in FIG. 2, when it is determined that a specific link is included in a text message, the malicious site blocking apparatus 200 according to the present invention determines whether or not the specific link is included in malicious list information identified as malicious A malicious link determination unit 220 for determining whether the specific link is malicious for the specific link using the resource registration information for the specific link when the specific link is not included in the malicious list information, And a malicious link verification unit 230 for verifying whether or not the specific link is malicious using a verification link for verifying whether or not the specific link is malicious if the maliciousness of the specific link is not determined using the resource registration information do.

또한, 악성사이트차단장치(200)는, 특정링크가 악성링크인 것으로 판단되면, 문자메시지에서 특정링크를 제거한 후 악성링크를 차단했음을 알리기 위한 악 차단메시지를 생성하는 악성차단메시지생성부(240)를 더 포함할 수 있다.The malicious site blocking apparatus 200 may further include a malicious blocking message generating unit 240 for generating an malicious blocking message indicating that the malicious link is blocked after removing a specific link from the text message if it is determined that the specific link is a malicious link, As shown in FIG.

먼저, 악성등록여부확인부(210)는, 단말(100)로 전송해야 하는 문자메시지가 수신되는 경우, 문자메시지에 특정링크가 포함되어있는 지의 여부를 확인한다. First, when receiving a text message to be transmitted to the terminal 100, the malicious registration confirmation unit 210 checks whether or not a specific link is included in the text message.

여기서, 특정링크는, 문자메시지를 단말(100)로 발송하는 발송자가 단말(100)의 사용자로 하여금 특정 웹사이트로 용이하게 접속할 수 있도록 유도하기 위한 URL 링크(uniform resource locator link)일 수 있다.Here, the specific link may be a URL link (uniform resource locator link) for allowing a sender who sends a text message to the terminal 100 to easily allow a user of the terminal 100 to access a specific web site.

즉, 악성등록여부확인부(210)는, 단말(100)로 전송해야 하는 문자메시지에 특정링크가 포함되지 않은 경우, 문자메시지를 단말(100)로 전송한다. 한편, 악성등록여부확인부(210)는, 단말(100)로 전송해야 하는 문자메시지에 특정링크가 포함된 경우, 특정링크가 악성으로 기 확인된 악성리스트정보에 포함되는지의 여부를 확인한다. That is, if the specific link is not included in the text message to be transmitted to the terminal 100, the malicious registration confirmation unit 210 transmits the text message to the terminal 100. On the other hand, when the specific message is included in the text message to be transmitted to the terminal 100, the malicious registration confirmation unit 210 checks whether or not the specific link is included in the malicious list information identified as malicious.

여기서, 악성리스트정보는, 문자메시지에 포함되어 기 전송되던 악성사이트에 대한 링크정보를 리스트로 저장한 정보, 즉 악성링크 블랙리스트정보일 수 있다. Here, the malicious list information may be malicious link black list information that is information that is stored in a list of malicious sites that were included in the text message and were transmitted.

즉, 악성등록여부확인부(210)는, 문자메시지에 특정링크가 포함된 경우, 특정링크와 악성리스트정보를 비교하여 악성리스트정보 중 특정링크와 일치하는 악성링크가 존재하는 지의 여부를 판단한다.That is, when a specific link is included in the text message, the malicious registration confirmation unit 210 compares the specific link with the malicious list information to determine whether malicious link matching the specific link exists in the malicious list information .

만일, 악성리스트정보 중 특정링크와 일치하는 악성링크가 존재하는 경우, 악성등록여부확인부(210)는, 특정링크가 악성링크인 것으로 판단한다. 이후, 악성등록여부확인부(210)는, 특정링크가 악성링크임을 단말(100)로 알리기 위한 악성차단메시지가 생성될 수 있도록 특정링크를 포함하는 문자메시지를 악성차단메시지생성부(240)로 전달한다.If there is a malicious link matching the specific link among the malicious list information, the malicious registration confirmation unit 210 determines that the specific link is a malicious link. Thereafter, the malicious registration confirmation unit 210 transmits a text message including a specific link to the malicious block message generation unit 240 so that a malicious blocking message for notifying that the specific link is a malicious link to the terminal 100 .

한편, 악성리스트정보 중 특정링크와 일치하는 악성링크가 존재하지 않는 경우, 악성등록여부확인부(210)는, 특정링크가 악성링크인지의 여부를 결정할 것을 요청하기 위해 특정링크를 포함하는 문자메시지를 악성링크결정부(220)로 전달한다. On the other hand, when there is no malicious link matching the specific link among the malicious list information, the malicious registration confirmation unit 210 checks whether the specific link is a malicious link or not, To the malicious link determining unit 220.

악성링크결정부(220)는, 정보제공장치(300)로부터 특정링크에 대한 자원등록정보를 수신하여 특정링크에 대한 악성여부를 결정한다.The malicious link determining unit 220 receives the resource registration information for the specific link from the information providing apparatus 300 and determines whether or not the specific link is malicious.

보다 구체적으로, 악성링크결정부(220)는, 문자메시지의 특정링크를 이용하여 자원등록정보를 요청하기 위한 정보제공요청메시지(예: 후이즈 명령)를 생성한다. More specifically, the malicious link determining unit 220 generates an information provision request message (e.g., a Whois command) for requesting resource registration information using a specific link of a text message.

즉, 악성링크결정부(220)는, 특정링크에는 도메인 정보가 포함되어 있으므로, 자원등록정보를 요청을 위해 도메인 정보를 포함하는 정보제공요청메시지를 생성하고, 이를 정보제공장치(300)로 전달한다.That is, since malicious link determination unit 220 includes domain information in a specific link, it generates an information provision request message including domain information for requesting resource registration information, and transmits the information provision request message to information provision apparatus 300 do.

본 발명에서는 특정링크에 포함된 도메인 정보를 이용하여 자원등록정보를 요청하기 위한 정보제공요청메시지를 생성하는 것으로 언급하였으나, 본 발명은 이에 한정되지 않으며, 도메인 정보에 의해 확인된 IP 주소를 이용해서도 자원등록정보를 요청하기 위한 정보제공요청메시지를 생성할 수도 있다. In the present invention, an information providing request message for requesting resource registration information is generated using domain information included in a specific link. However, the present invention is not limited to this, and it is possible to use an IP address identified by domain information May also generate an information provision request message for requesting resource registration information.

이후, 악성링크결정부(220)는, 정보제공장치(300)로부터 정보제공요청메시지에 대한 응답으로 자원등록정보를 수신한다. Then, the malicious link determining unit 220 receives the resource registration information in response to the information providing request message from the information providing apparatus 300. [

즉, 악성링크결정부(220)는, 정보제공장치(300)로부터 특정링크에 대한 도메인, 도메인의 할당일자, 도메인의 소유주, 도메인의 할당 지역 위치, 도메인의 소유주 식별자, 도메인의 관리자 이메일, 도메인의 관리자 전화번호 및 도메인을 이용한 서비스 종류 중 적어도 하나를 포함하는 자원등록정보를 수신한다.In other words, the malicious link determination unit 220 receives malicious link from the information providing apparatus 300, such as a domain for a specific link, an allocation date of the domain, a domain owner, a domain allocation area location, a domain owner identifier, And a service type using a domain name.

이처럼 자원등록정보가 수신되면, 악성링크결정부(220)는, 자원등록정보와 악성결정조건을 비교하여 특정링크가 악성링크인지의 여부를 결정한다.When the resource registration information is received, the malicious link determining unit 220 compares the resource registration information with the malicious determination condition to determine whether or not the specific link is a malicious link.

여기서, 악성결정조건은, 악성리스트정보에 기초하여 기 수집한 악성사이트임을 확인할 수 있는 악성사이트와 관련된 도메인 할당일자, 도메인의 소유주, 도메인의 관리자 이메일, 도메인의 관리자 전화번호 등과 같은 악성사이트 확인조건으로 정의될 수 있다.Here, the malicious decision conditions include malicious site identification conditions such as a domain assignment date related to a malicious site that can be confirmed as malicious sites that have been collected based on malicious list information, a domain owner, an administrator email of a domain, . ≪ / RTI >

즉, 악성링크결정부(220)는, 자원등록정보와 악성결정조건을 비교한 결과 자원등록정보 중 어느 하나가 악성결정조건과 일치하게 되면, 특정링크가 악성링크인 것으로 판단한다. 이후, 악성링크결정부(220)는, 특정링크가 악성링크임을 단말(100)로 알리기 위한 악성차단메시지가 생성될 수 있도록 특정링크를 포함하는 문자메시지를 악성차단메시지생성부(240)로 전달한다.That is, the malicious link determining unit 220 determines that the specific link is a malicious link when one of the resource registration information matches the malicious determination condition as a result of comparing the resource registration information and the malicious determination condition. Then, the malicious link determining unit 220 transmits a text message including the specific link to the malicious block message generating unit 240 so that a malicious blocking message for notifying the terminal 100 that the specific link is a malicious link may be generated do.

한편, 자원등록정보와 악성결정조건을 비교한 결과 자원등록정보 중 어느 하나도 악성결정조건과 일치하지 않으면, 즉 특정링크에 대한 악성여부가 자원등록정보를 이용해서도 결정되지 않으면, 악성링크결정부(220)는, 특정링크가 악성링크인지의 여부를 검증할 것을 요청하기 위해 특정링크를 포함하는 문자메시지를 악성링크검증부(230)로 전달한다.On the other hand, if none of the resource registration information matches the malicious decision condition as a result of the comparison between the resource registration information and the malicious decision condition, that is, if the maliciousness for the specific link is not determined using the resource registration information, The malicious link verification unit 220 forwards the text message including the specific link to the malicious link verification unit 230 in order to request to verify whether the specific link is a malicious link.

악성링크검증부(230)는, 특정링크에 대한 악성여부가 자원등록정보를 이용해서도 결정되지 않는 경우, 검증링크를 이용하여 특정링크의 악성여부를 검증한다. The malicious link verification unit 230 verifies whether or not the specific link is malicious using the verification link if maliciousness of the specific link is not determined even by using the resource registration information.

보다 구체적으로, 악성링크검증부(230)는, 특정링크에 대한 자원등록정보에 포함된 도메인의 할당일자를 검출한다. 악성링크검증부(230)는, 도메인의 할당일자가 무료등록사용기간범위에 포함되는 지의 여부를 판단한다.More specifically, the malicious link verifier 230 detects the allocation date of the domain included in the resource registration information for the specific link. The malicious link verifier 230 determines whether or not the allocation date of the domain is included in the free registration use period range.

여기서, 무료등록사용기간범위는, 정보제공장치(300)에 인터넷 자원과 정보를 등록할 때 비용을 지불하지 않고 무료로 등록하여 사용할 수 있는 사용기간으로서 예를 들어, 1주일 또는 2주일 정도의 기간 동안 무료로 이용 가능한 기간을 의미한다. Here, the free registration use period range is a period of use that can be registered and used free of charge without paying the fee for registering the internet resources and information in the information providing apparatus 300, for example, one week or two weeks Means the period of free use during the period.

즉, 본 발명에서는 해커들이 이러한 무료등록사용기간범위를 악용하여 해당 무료사용기간 동안 악성링크를 생성하여 악성링크를 주로 배포하는 점을 고려하여 도메인의 할당일자가 무료등록사용기간범위에 포함되는지의 여부를 확인함으로써 특정링크가 악성링크인지의 여부를 검증하게 된다.That is, in the present invention, in consideration of the fact that hackers exploit this free registration use period range to generate a malicious link during the corresponding free use period and distribute the malicious link, it is determined whether the allocation date of the domain is included in the free registration use period range It is verified whether or not the specific link is a malicious link.

전술과 같이 도메인의 할당일자가 무료등록사용기간범위에 포함되는 지의 여부를 판단한 결과, 도메인의 할당일자가 무료등록사용기간범위에 포함되면, 악성링크검증부(230)는, 특정링크에 대한 도메인을 이용하여 적어도 2개의 검증링크를 생성한다. As a result of determining whether or not the allocation date of the domain is included in the free registration use period range as described above, if the allocation date of the domain is included in the free registration use period range, the malicious link verifier 230 checks the domain To generate at least two verification links.

여기서, 검증링크는, 특정링크의 악성여부를 검증하기 위해 적어도 2개의 검증단말(예: 모바일 단말, PC 등)에서 특정링크에 접속할 수 있도록 각 검증단말에 적합한 링크형태로 특정링크를 변형하여 생성될 수 있다.Here, the verification link is generated by modifying a specific link in a form suitable for each verification terminal so that at least two verification terminals (for example, a mobile terminal, a PC, etc.) can access a specific link to verify whether the specific link is malicious .

이하에서는, 적어도 2개의 검증단말이 제1 검증단말(예: 모바일 단말)과 제2 검증단말(예: PC)을 포함하며, 적어도 2개의 검증링크가 제1 검증링크 및 제2 검증링크를 포함하는 것으로 가정하여 설명하도록 하겠다.Hereinafter, at least two verification terminals include a first verification terminal (e.g., a mobile terminal) and a second verification terminal (e.g., a PC), and at least two verification links include a first verification link and a second verification link As shown in FIG.

즉, 특정링크가 예를 들어"oa.to/Pjazvb"로 링크된 경우, 악성링크검증부(230)는, 제1 검증단말(예: 모바일 단말)에서 접속 가능한 모바일 버전 링크형태가 되도록 특정링크를 변형하여 제1 검증링크를 생성한다. 또한, 악성링크검증부(230)는, 제2 검증단말(예: PC)에서 접속 가능한 PC 버전 링크형태가 되도록 특정링크를 변형하여 제2 검증링크를 생성한다.That is, when the specific link is linked to, for example, "oa.to/Pjazvb ", the malicious link verification unit 230 verifies whether the specific link is a mobile version link form accessible from the first verification terminal To generate a first verification link. In addition, the malicious link verifier 230 generates a second verification link by modifying a specific link to be a PC version link form accessible from a second verification terminal (e.g., a PC).

이후, 악성링크검증부(230)는, 제1 검증단말(예: 모바일 단말)에서 제1 검증링크를 통해 특정링크의 도메인에 접속한 제1 접속화면과 제2 검증단말(예: PC)에서 제2 검증링크을 통해 특정링크의 도메인에 접속한 제2 접속화면을 비교한 결과화면이 동일하게 표시되는 지의 여부를 확인한 결과와, 제1 검증단말(예: 모바일 말)로부터 리턴되는 특정링크의 도메인과 제2 검증단말(예: PC)로부터 리턴되는 특정링크의 도메인이 동일한지의 여부를 확인한 결과에 기초하여 특정링크에 대한 악성여부를 검증한다.Then, the malicious link verifier 230 verifies whether or not the malicious link verification unit 230 has successfully authenticated the first connection screen and the second verification terminal (e.g., PC) connected to the domain of the specific link through the first verification link at the first verification terminal A result of checking whether or not a screen is displayed as a result of comparing a second connection screen accessed through a domain of a specific link through a second verification link and a domain of a specific link returned from the first verification terminal Based on the result of checking whether or not the domain of the specific link returned from the second verification terminal (for example, PC) is the same.

즉, 악성링크검증부(230)는, 제1 검증단말(예: 모바일 단말)에서 제1 검증링크를 통해 특정링크의 도메인에 접속했을 때의 제1 접속화면과 제2 검증단말(예: PC)에서 제2 검증링크를 통해 특정링크의 도메인에 접속했을 때의 제2 접속화면이 동일하게 표시되며, 제1 검증단말(예: 모바일 말)로부터 리턴되는 특정링크의 도메인과 제2 검증단말(예: PC)로부터 리턴되는 특정링크의 도메인이 동일하게 리턴되어 일치하면, 특정링크가 악성링크가 아닌 것으로 판단한다. 이후, 악성링크검증부(230)는, 특정링크를 포함하는 문자메시지를 단말(100)로 전달한다. That is, the malicious link verifier 230 verifies that the first connection screen and the second connection screen when the first verification terminal (e.g., mobile terminal) accesses the domain of the specific link through the first verification link and the second connection screen, ), A second connection screen when connected to the domain of the specific link via the second verification link is displayed in the same manner, and the domain of the specific link returned from the first verification terminal (e.g., mobile terminal) For example, if the domain of a specific link returned from the PC is the same as the returned one, it is determined that the specific link is not a malicious link. Then, the malicious link verification unit 230 transmits a text message including the specific link to the terminal 100. [

한편, 악성링크검증부(230)는, 제1 접속화면과 제2 접속화면이 동일하게 표시되지 않거나, 제1 접속화면과 제2 접속화면은 동일하게 표시되나 제1 검증단말(예: 모바일 말)로부터 리턴되는 특정링크의 도메인과 제2 검증단말(예: PC)로부터 리턴되는 특정링크의 도메인이 동일하지 않으면, 특정링크가 악성링크인 것으로 판단한다. 이후, 악성링크검증부(230)는, 특정링크가 악성링크임을 단말(100)로 알리기 위한 악성차단메시지가 생성될 수 있도록 특정링크를 포함하는 문자메시지를 악성차단메시지생성부(240)로 전달한다.On the other hand, if the first connection screen and the second connection screen are not displayed equally or the first connection screen and the second connection screen are displayed in the same manner, ) Is not the same as the domain of the specific link returned from the second verification terminal (e.g., PC), it is determined that the specific link is a malicious link. Thereafter, the malicious link verifier 230 transmits a text message including the specific link to the malicious block message generator 240 so that a malicious block message for notifying the terminal 100 of the specific link is a malicious link do.

이에, 본 발명에서는 특정링크를 포함하는 문자메시지가 수신되면, 기 확인된 악성리스트정보 및 특정링크에 대한 자원등록정보를 이용하여 악성여부를 1차 필터링하며, 1차 필터링에서도 특정링크에 대한 악성여부가 결정되지 않는 경우에는 특정링크의 악성여부를 검증하기 위해 도메인의 할당일자가 무료등록사용기간범위에 포함되는지의 여부를 판단하는 2차 필터링을 수행함으로써 악성링크의 차단확률을 획기적으로 증가시킬 수 있는 것이다.In the present invention, when a text message including a specific link is received, maliciousness is firstly filtered using the previously registered malicious list information and the resource registration information of the specific link. In the first filtering, It is possible to dramatically increase the blocking probability of the malicious link by performing the second filtering to determine whether the allocation date of the domain is included in the free registration use period range in order to verify whether the specific link is malicious or not You can.

만일, 전술과 같이 도메인의 할당일자가 무료등록사용기간범위에 포함되는 지의 여부를 판단한 결과, 도메인의 할당일자가 무료등록사용기간범위에 포함되지 않는 경우, 특정링크의 도메인이 비용을 지불하고 정식으로 사용되는 것으로서 해커에 의해 사용될 확률이 낮은 것으로 판단하여 특정링크가 포함된 문자메시지가 단말(100)로 전송한다.If it is determined that the allocation date of the domain is included in the free registration use period range as described above and the allocation date of the domain is not included in the free registration use period range, It is determined that the probability of being used by the hacker is low and the text message including the specific link is transmitted to the terminal 100. [

본 발명에서는, 도메인의 할당일자가 무료등록사용기간범위에 포함되지 않는 경우, 특정링크의 악성여부에 대한 검증을 수행하지 않고 특정링크가 포함된 문자메시지를 단말(100)로 전송하였으나, 본 발명은 이에 한정되지 안으며, 도메인의 할당일자가 무료등록사용기간범위에 포함되는 것과 무관하게 모든 특정링크에 대한 악성여부를 전술과 동일한 방식으로 수행한 결과에 기초하여 악성링크여부에 대한 검증을 수행할 수도 있다.In the present invention, when the domain assignment date is not included in the free registration use period range, the text message including the specific link is transmitted to the terminal 100 without performing verification of maliciousness of the specific link, The present invention is not limited to this, and the malicious link may be verified based on the result of performing maliciousness for all the specific links in the same manner as described above regardless of whether the assignment date of the domain is included in the free registration use period range It is possible.

한편, 악성차단메시지생성부(240)는, 악성등록여부확인부(210), 악성링크결정부(220) 및 악성링크검증부(230)에서의 판단결과 특정링크가 악성링크로 판단되어 악성차단메시지를 생성할 것을 요청 받으면, 문자메시지에서 특정링크를 제거한 후 해당 악성링크를 차단했음을 알리는 알림표시를 추가하여 악성차단메시지를 생성한다. 이후, 악성차단메시지생성부(240)는, 악성차단메시지를 단말(100)로 전송하여 악성링크가 차단되었음을 알린다.On the other hand, the malicious block message generator 240 determines that the specific link is determined to be a malicious link as a result of the malicious registration check unit 210, the malicious link determination unit 220 and the malicious link verification unit 230, When a request is made to generate a message, a malicious block message is generated by removing a specific link from a text message and adding a notification indicating that the malicious link has been blocked. Thereafter, the malicious block message generator 240 transmits a malicious block message to the terminal 100 to notify that the malicious link is blocked.

이하에서는, 도 3을 참조하여 본 발명의 실시예에 따른 악성사이트차단장치에서 악성사이트 차단 서비스를 제공하는 동작 흐름을 구체적으로 설명하도록 한다. 이하에서는 설명의 편의를 위해 전술의 도 1 및 도 2에서 언급한 참조번호를 언급하여 설명하도록 하겠다. Hereinafter, an operation flow of providing a malicious site blocking service in the malicious site blocking apparatus according to an embodiment of the present invention will be described in detail with reference to FIG. Hereinafter, for convenience of description, reference will be made to the reference numerals mentioned in FIGS. 1 and 2.

도 3에 도시한 바와 같이, 본 발명의 실시예에 따른 악성사이트차단장치(200)는, 단말(400)로부터 단말(100)로 전송하려는 문자메시지를 수신한다(S100). 3, the malicious site blocking apparatus 200 according to the embodiment of the present invention receives a text message to be transmitted from the terminal 400 to the terminal 100 (S100).

즉, 악성사이트차단장치(200)는, 단말(100)로 전송되어야 하는 문자메시지를 단말(400)로부터 수신한다.That is, the malicious site blocking apparatus 200 receives a text message to be transmitted to the terminal 100 from the terminal 400.

이후, 악성사이트차단장치(200)는, 문자메시지에 특정링크가 포함되어있는 지의 여부를 확인한다(S101). Thereafter, the malicious site blocking apparatus 200 confirms whether or not a specific link is included in the text message (S101).

여기서, 특정링크는, 문자메시지를 단말(100)로 발송하는 발송자가 단말(100)의 사용자로 하여금 특정 웹사이트로 용이하게 접속할 수 있도록 유도하기 위한 URL 링크(uniform resource locator link)일 수 있다.Here, the specific link may be a URL link (uniform resource locator link) for allowing a sender who sends a text message to the terminal 100 to easily allow a user of the terminal 100 to access a specific web site.

S101 단계의 확인 결과, 문자메시지에 특정링크가 포함되지 않은 경우, 악성사이트차단장치(200)는, 문자메시지를 단말(100)로 전송한다(S102).If it is determined in step S101 that the specific link is not included in the text message, the malicious site blocking apparatus 200 transmits a text message to the terminal 100 (S102).

한편, S101 단계의 확인 결과, 문자메시지에 특정링크가 포함된 경우, 악성사이트차단장치(200)는, 특정링크가 악성으로 기 확인된 악성리스트정보에 포함되는지의 여부를 확인한다(S103). On the other hand, if it is determined in step S101 that a specific link is included in the text message, the malicious site blocking apparatus 200 confirms whether or not the specific link is included in malicious list information identified as malicious (S103).

여기서, 악성리스트정보는, 문자메시지에 포함되어 기 전송되던 악성사이트에 대한 링크정보를 리스트로 저장한 정보, 즉 악성링크 블랙리스트정보일 수 있다.Here, the malicious list information may be malicious link black list information that is information that is stored in a list of malicious sites that were included in the text message and were transmitted.

즉, 악성사이트차단장치(200)는, 문자메시지에 특정링크가 포함된 경우, 특정링크와 악성리스트정보를 비교하여 악성리스트정보 중 특정링크와 일치하는 악성링크가 존재하는 지의 여부를 판단한다.That is, when the specific message is included in the text message, the malicious site blocking apparatus 200 compares the specific link with the malicious list information to determine whether malicious link matching the specific link exists in the malicious list information.

S103 단계의 확인 결과, 악성리스트정보 중 특정링크와 일치하는 악성링크가 존재하는 경우, 악성사이트차단장치(200)는, 특정링크가 악성링크인 것으로 판단한다. 이후, 악성사이트차단장치(200)는, 특정링크가 악성링크임을 알리기 위한 악성차단메시지를 생성하고, 이를 단말(100)로 전송한다(S104).If it is determined in step S103 that there is a malicious link matching the specific link in the malicious list information, the malicious site blocking apparatus 200 determines that the specific link is a malicious link. Thereafter, the malicious site blocking apparatus 200 generates a malicious blocking message for notifying that the specific link is a malicious link, and transmits the malicious blocking message to the terminal 100 (S104).

한편, S103 단계의 확인 결과, 악성리스트정보 중 특정링크와 일치하는 악성링크가 존재하지 않는 경우, 악성사이트차단장치(200)는, 정보제공장치(300)로부터 특정링크에 대한 자원등록정보를 수신하여 특정링크가 악성링크인지의 여부를 결정한다.On the other hand, if it is determined in step S103 that there is no malicious link matching the specific link among the malicious list information, the malicious site blocking apparatus 200 receives the resource registration information for the specific link from the information providing apparatus 300 Thereby determining whether or not the specific link is a malicious link.

보다 구체적으로, 악성사이트차단장치(200)는, 문자메시지의 특정링크를 이용하여 자원등록정보를 요청하기 위한 정보제공요청메시지(예: 후이즈 명령)를 생성한다. More specifically, the malicious site blocking apparatus 200 generates an information provision request message (e.g., a Whois command) for requesting resource registration information using a specific link of a text message.

즉, 악성사이트차단장치(200)는, 특정링크에는 도메인 정보가 포함되어 있으므로, 자원등록정보를 요청을 위해 도메인 정보를 포함하는 정보제공요청메시지를 생성하고, 이를 정보제공장치(300)로 전달한다(S105).That is, since the malicious site blocking apparatus 200 includes domain information in the specific link, the malicious site blocking apparatus 200 generates an information providing request message including domain information for requesting resource registration information, and transmits the information providing request message to the information providing apparatus 300 (S105).

본 발명에서는 특정링크에 포함된 도메인 정보를 이용하여 자원등록정보를 요청하기 위한 정보제공요청메시지를 생성하는 것으로 언급하였으나, 본 발명은 이에 한정되지 않으며, 도메인 정보에 의해 확인된 IP 주소를 이용해서도 자원등록정보를 요청하기 위한 정보제공요청메시지를 생성할 수도 있다.In the present invention, an information providing request message for requesting resource registration information is generated using domain information included in a specific link. However, the present invention is not limited to this, and it is possible to use an IP address identified by domain information May also generate an information provision request message for requesting resource registration information.

이후, 악성사이트차단장치(200)는, 정보제공장치(300)로부터 정보제공요청메시지에 대한 응답으로 자원등록정보를 수신한다(S106). Thereafter, the malicious site blocking apparatus 200 receives the resource registration information in response to the information providing request message from the information providing apparatus 300 (S106).

즉, 악성사이트차단장치(200)는, 정보제공장치(300)로부터 특정링크에 대한 도메인, 도메인의 할당일자, 도메인의 소유주, 도메인의 할당 지역 위치, 도메인의 소유주 식별자, 도메인의 관리자 이메일, 도메인의 관리자 전화번호 및 도메인을 이용한 서비스 종류 중 적어도 하나를 포함하는 자원등록정보를 수신한다.That is, the malicious site blocking apparatus 200 receives, from the information providing apparatus 300, a domain for a specific link, an allocation date of a domain, an owner of a domain, an allocated area location of a domain, an owner identifier of a domain, And a service type using a domain name.

이처럼 자원등록정보가 수신되면, 악성사이트차단장치(200)는, 자원등록정보와 악성결정조건을 비교하여 특정링크가 악성사이트 인지의 여부를 결정한다(S107).When the resource registration information is received, the malicious site blocking apparatus 200 compares the resource registration information with the malicious determination condition to determine whether the specific link is a malicious site (S107).

여기서, 악성결정조건은, 악성리스트정보에 기초하여 기 수집한 악성사이트임을 확인할 수 있는 악성사이트와 관련된 도메인 할당일자, 도메인의 소유주, 도메인의 관리자 이메일, 도메인의 관리자 전화번호 등과 같은 악성사이트 확인조건으로 정의될 수 있다.Here, the malicious decision conditions include malicious site identification conditions such as a domain assignment date related to a malicious site that can be confirmed as malicious sites that have been collected based on malicious list information, a domain owner, an administrator email of a domain, . ≪ / RTI >

S107 단계의 비교 결과, 자원등록정보와 악성결정조건을 비교한 결과 자원등록정보 중 어느 하나가 악성결정조건과 일치하게 되면, 악성사이트차단장치(200)는, 특정링크가 악성링크인 것으로 판단한다. 이후, 악성사이트차단장치(200)는, 특정링크가 악성링크임을 알리기 위한 악성차단메시지를 생성하고, 이를 단말(100)로 전송한다(S108).As a result of the comparison in step S107, if one of the resource registration information matches the malicious decision condition as a result of the comparison between the resource registration information and the malicious decision condition, the malicious site blocking apparatus 200 determines that the specific link is a malicious link . Thereafter, the malicious site blocking apparatus 200 generates a malicious blocking message for notifying that the specific link is a malicious link, and transmits the malicious blocking message to the terminal 100 (S108).

한편, S107 단계의 비교 결과, 자원등록정보와 악성결정조건을 비교한 결과 자원등록정보 중 어느 하나도 악성결정조건과 일치하지 않으면, 즉 특정링크에 대한 악성여부가 자원등록정보를 이용해서도 결정되지 않으면, 악성사이트차단장치(200)는, 특정링크가 악성링크인지의 여부를 검증한다(S109).On the other hand, if it is determined in step S107 that any of the resource registration information does not coincide with the malicious determination condition as a result of the comparison between the resource registration information and the malicious determination condition, that is, whether or not the maliciousness for the specific link is determined using the resource registration information , The malicious site blocking apparatus 200 verifies whether or not the specific link is a malicious link (S109).

즉, 악성사이트차단장치(200)는, 특정링크에 대한 악성여부가 자원등록정보를 이용해서도 결정되지 않는 경우, 특정링크의 악성여부를 검증하기 위한 검증링크를 이용하여 특정링크의 악성여부를 검증한다.That is, if the malicious site blocking device 200 determines that the malicious site for the specific link is not determined using the resource registration information, the malicious site blocking device 200 determines whether the malicious site of the specific link is malicious Verify.

보다 구체적으로, 악성사이트차단장치(200)는, 특정링크에 대한 자원등록정보에 포함된 도메인의 할당일자를 검출한다. 악성사이트차단장치(200)는, 도메인의 할당일자가 무료등록사용기간범위에 포함되는 지의 여부를 판단한다.More specifically, the malicious site blocking apparatus 200 detects the allocation date of the domain included in the resource registration information for the specific link. The malicious site blocking apparatus 200 determines whether or not the allocation date of the domain is included in the free registration use period range.

여기서, 무료등록사용기간범위는, 정보제공장치(300)에 인터넷 자원과 정보를 등록할 때 비용을 지불하지 않고 무료로 등록하여 사용할 수 있는 사용기간으로서 예를 들어, 1주일 또는 2주일 정도의 기간 동안 무료로 이용 가능한 기간을 의미한다. Here, the free registration use period range is a period of use that can be registered and used free of charge without paying the fee for registering the internet resources and information in the information providing apparatus 300, for example, one week or two weeks Means the period of free use during the period.

즉, 본 발명에서는 해커들이 이러한 무료등록사용기간범위를 악용하여 해당 무료사용기간 동안 악성사이트를 생성하여 악성사이트를 주로 배포하는 점을 고려하여 도메인의 할당일자가 무료등록사용기간범위에 포함되는지의 여부를 확인함으로써 특정링크가 악성링크인지의 여부를 검증하게 된다.That is, in the present invention, in consideration of the fact that hackers exploit this free registration use period range to generate a malicious site during the corresponding free use period and mainly distribute the malicious site, it is determined whether the allocation date of the domain is included in the free registration use period range It is verified whether or not the specific link is a malicious link.

전술과 같이 도메인의 할당일자가 무료등록사용기간범위에 포함되는 지의 여부를 판단한 결과, 도메인의 할당일자가 무료등록사용기간범위에 포함되면, 악성사이트차단장치(200)는, 특정링크에 대한 도메인을 이용하여 적어도 2개의 검증링크를 생성한다. As a result of determining whether or not the allocation date of the domain is included in the free registration use period range as described above, if the allocation date of the domain is included in the free registration use period range, the malicious site blocking apparatus 200 determines that the domain To generate at least two verification links.

여기서, 검증링크는, 특정링크의 악성여부를 검증하기 위해 적어도 2개의 검증단말(예: 모바일 단말, PC 등)에서 특정링크에 접속할 수 있도록 각 검증단말에 적합한 링크형태로 특정링크를 변형하여 생성될 수 있다.Here, the verification link is generated by modifying a specific link in a form suitable for each verification terminal so that at least two verification terminals (for example, a mobile terminal, a PC, etc.) can access a specific link to verify whether the specific link is malicious .

이하에서는, 적어도 2개의 검증단말이 제1 검증단말(예: 모바일 단말)과 제2 검증단말(예: PC)을 포함하며, 적어도 2개의 검증링크가 제1 검증링크 및 제2 검증링크를 포함하는 것으로 가정하여 설명하도록 하겠다.Hereinafter, at least two verification terminals include a first verification terminal (e.g., a mobile terminal) and a second verification terminal (e.g., a PC), and at least two verification links include a first verification link and a second verification link As shown in FIG.

즉, 특정링크가 예를 들어"oa.to/Pjazvb"로 링크된 경우, 악성사이트차단장치(200)는, 제1 검증단말(예: 모바일 단말)에서 접속 가능한 모바일 버전 링크형태가 되도록 특정링크를 변형하여 제1 검증링크를 생성한다. 또한, 악성사이트차단장치(200)는, 제2 검증단말(예: PC)에서 접속 가능한 PC 버전 링크형태가 되도록 특정링크를 변형하여 제2 검증링크를 생성한다.That is, when the specific link is linked to, for example, "oa.to/Pjazvb ", the malicious site blocking apparatus 200 transmits a specific link (for example, To generate a first verification link. In addition, the malicious site blocking apparatus 200 generates a second verification link by modifying a specific link to be a PC version link form accessible from a second verification terminal (e.g., PC).

이후, 악성사이트차단장치(200)는, 제1 검증단말(예: 모바일 단말)에서 제1 검증링크를 통해 특정링크의 도메인에 접속한 제1 접속화면과 제2 검증단말(예: PC)에서 제2 검증링크을 통해 특정링크의 도메인에 접속한 제2 접속화면을 비교한 결과화면이 동일하게 표시되는 지의 여부에 따라 특정링크에 대한 악성여부를 검증한다(S110).Thereafter, the malicious site blocking apparatus 200 transmits the first connection screen and the second connection screen, which are connected to the domain of the specific link, through the first verification link in the first verification terminal (e.g., mobile terminal) In step S110, whether the specific link is malicious or not is verified based on whether or not a screen is displayed as a result of comparing a second connection screen accessed through a domain of a specific link through a second verification link.

S110 단계의 검증 결과, 제1 접속화면과 제2 접속화면이 동일하게 표시되지 않으면, 악성사이트차단장치(200)는, 특정링크가 악성링크인 것으로 판단한다. 이후, 악성사이트차단장치(200)는, 특정링크가 악성링크임을 알리기 위한 악성차단메시지를 생성하고, 이를 단말(100)로 전송한다(S111).As a result of the verification in step S110, if the first connection screen and the second connection screen are not displayed in the same manner, the malicious site blocking apparatus 200 determines that the specific link is a malicious link. Thereafter, the malicious site blocking apparatus 200 generates a malicious blocking message for notifying that the specific link is a malicious link, and transmits the malicious blocking message to the terminal 100 (S111).

한편, S110 단계의 검증 결과, 제1 접속화면과 제2 접속화면이 동일하게 표시되면, 악성사이트차단장치(200)는, 제1 접속화면이 표시되는 제1 검증단말(예: 모바일 말)로부터 리턴되는 특정링크의 도메인과 제2 접속화면이 표시되는 제2 검증단말(예: PC)로부터 리턴되는 특정링크의 도메인이 동일한지의 여부를 판단한다(S112).On the other hand, if the first connection screen and the second connection screen are displayed in the same manner as the result of the verification in step S110, the malicious site blocking apparatus 200 determines whether the malicious site blocking apparatus 200 has received the first connection screen from the first verification terminal It is determined whether the domain of the specific link to be returned is the same as the domain of the specific link returned from the second verification terminal (e.g., PC) on which the second connection screen is displayed (S112).

S112 단계의 판단결과, 제1 검증단말(예: 모바일 말)로부터 리턴되는 특정링크의 도메인과 제2 검증단말(예: PC)로부터 리턴되는 특정링크의 도메인이 동일하면, 악성사이트차단장치(200)는, 특정링크가 악성링크가 아닌 것으로 판단한다. 이후, 악성사이트차단장치(200)는, 특정링크를 포함하는 문자메시지를 단말(100)로 전달한다(S113).If it is determined in step S112 that the domain of the specific link returned from the first verification terminal (e.g., mobile terminal) is the same as the domain of the specific link returned from the second verification terminal (e.g., PC), the malicious site blocking apparatus 200 ) Judges that the specific link is not a malicious link. Thereafter, the malicious site blocking apparatus 200 transmits a text message including the specific link to the terminal 100 (S113).

S112 단계의 판단결과, 제1 검증단말(예: 모바일 말)로부터 리턴되는 특정링크의 도메인과 제2 검증단말(예: PC)로부터 리턴되는 특정링크의 도메인이 동일하지 않으면, 악성사이트차단장치(200)는, 특정링크가 악성링크인 것으로 판단한다. 이후, 악성사이트차단장치(200)는, 특정링크가 악성링크임을 알리기 위한 악성차단메시지를 생성하고, 이를 단말(100)로 전송한다(S114).If it is determined in step S112 that the domain of the specific link returned from the first verification terminal (e.g., mobile terminal) and the domain of the specific link returned from the second verification terminal (e.g., PC) are not the same, 200 judges that the specific link is a malicious link. Thereafter, the malicious site blocking apparatus 200 generates a malicious blocking message for notifying that the specific link is a malicious link, and transmits the malicious blocking message to the terminal 100 (S114).

이에, 본 발명에서는 특정링크를 포함하는 문자메시지가 수신되면, 기 확인된 악성리스트정보 및 특정링크에 대한 자원등록정보를 이용하여 악성여부를 1차 필터링하며, 1차 필터링에서도 특정링크에 대한 악성여부가 결정되지 않는 경우에는 특정링크의 악성여부를 검증하기 위해 도메인의 할당일자가 무료등록사용기간범위에 포함되는지의 여부를 판단하는 2차 필터링을 수행함으로써 악성사이트의 차단확률을 획기적으로 증가시킬 수 있는 것이다.In the present invention, when a text message including a specific link is received, maliciousness is firstly filtered using the previously registered malicious list information and the resource registration information of the specific link. In the first filtering, , It is possible to drastically increase the blocking probability of the malicious site by performing the secondary filtering to determine whether the assignment date of the domain is included in the free registration use period range in order to verify whether the specific link is malicious or not You can.

본 발명에서는, 도메인의 할당일자가 무료등록사용기간범위에 포함되지 않는 경우, 특정링크의 악성여부에 대한 검증을 수행하지 않고 특정링크가 포함된 문자메시지를 단말(100)로 전송하였으나, 본 발명은 이에 한정되지 안으며, 도메인의 할당일자가 무료등록사용기간범위에 포함되는 것과 무관하게 모든 특정링크에 대한 악성여부를 전술과 동일한 방식으로 수행한 결과에 기초하여 악성링크여부에 대한 검증을 수행할 수도 있다.In the present invention, when the domain assignment date is not included in the free registration use period range, the text message including the specific link is transmitted to the terminal 100 without performing verification of maliciousness of the specific link, The present invention is not limited to this, and the malicious link may be verified based on the result of performing maliciousness for all the specific links in the same manner as described above regardless of whether the assignment date of the domain is included in the free registration use period range It is possible.

이상에서 설명한 바와 같이 본 발명의 실시예에서는 특정링크를 포함하는 문자메시지가 수신되면, 문자메시지를 단말로 전송하기 이전에 특정링크가 악성링크인지의 여부를 판단한 결과에 기초하여 특정링크를 문자메시지에 포함시켜 전송할 지의 여부를 결정함에 따라, 종래 문자메시지가 사용자에게 전달된 이후 사용자가 특정링크를 선택했을 때 특정링크가 악성링크인지를 판단하는 것과 달리 악성링크확인을 위한 대기시간이 발생되지 않으므로 사용자에게 보다 신속하게 악성사이트 차단 서비스를 제공할 수 있으며, 모바일 환경의 해킹이 지능화되더라도 악성링크가 단말로 전송되지 않도록 근본적으로 차단할 수 있어 악성사이트의 차단확률을 획기적으로 증가시킬 수 있게 된다.As described above, according to the embodiment of the present invention, when a text message including a specific link is received, a specific link is transmitted as a text message based on a result of determining whether the specific link is a malicious link, The waiting time for confirming the malicious link is not generated unless the user determines whether the specific link is a malicious link after the user selects the specific link after the conventional text message is delivered to the user The malicious site blocking service can be provided more quickly to the user and even if the hacking of the mobile environment is intelligent, it is possible to fundamentally block the malicious link from being transmitted to the terminal, thereby greatly increasing the blocking probability of the malicious site.

본 발명의 실시예들은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Embodiments of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and configured for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention.

본 발명의 악성사이트 차단을 위한 장치 및 방법에 따르면, 특정링크(예: 웹사이트 링크)를 포함하는 문자메시지를 모바일 단말로 전송하기 이전에, 특정링크가 악성링크인지의 여부를 판단하여 특정링크를 문자메시지에 포함시켜 전송할 지의 여부를 제어할 수 있다는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.According to the apparatus and method for blocking malicious sites of the present invention, before transmitting a text message including a specific link (e.g., a web site link) to the mobile terminal, it is determined whether or not the specific link is a malicious link, , It is possible to control whether or not to transmit a text message to a text message. Thus, it is possible to overcome the limitations of the prior art, This is an invention that is industrially applicable because it can be done.

100: 단말
200: 악성사이트차단장치
210: 악성등록여부확인부 220: 악성링크결정부
230: 악성링크검증부 240: 악성차단메시지생성부
300: 정보제공장치100: terminal
200: Malicious site blocking device
210: malicious registration confirmation unit 220: malicious link determination unit
230: malicious link verification unit 240: malicious block message generation unit
300: information providing device

Claims (10)

문자메시지에 특정링크가 포함된 것으로 확인되면, 상기 특정링크가 악성리스트정보에 포함되는지의 여부를 확인하는 악성등록여부확인부;
상기 특정링크가 상기 악성리스트정보에 포함되지 않은 경우, 상기 특정링크에 대한 자원등록정보를 이용하여 상기 특정링크에 대한 악성여부를 결정하는 악성링크결정부; 및
상기 악성링크결정부에서 특정링크에 대한 악성여부가 결정되지 않는 경우, 검증링크를 이용하여 상기 특정링크의 악성여부를 검증하는 악성링크검증부
를 포함하는 것을 특징으로 하는 악성사이트차단장치.A malicious registration confirmation unit for verifying whether or not the specific link is included in the malicious list information when it is determined that the specific link is included in the text message;
A malicious link determining unit determining maliciousness of the specific link using the resource registration information for the specific link when the specific link is not included in the malicious list information; And
A malicious link verification unit for verifying whether the specific link is malicious using a verification link when the malicious link determination unit determines that the specific link is malicious,
The malicious site blocking device comprising: 제 1 항에 있어서,
상기 자원등록정보는,
상기 특정링크에 대한 도메인, 상기 도메인의 할당일자, 상기 도메인의 소유주, 상기 도메인의 할당 지역 위치, 상기 도메인의 소유주 식별자, 상기 도메인의 관리자 이메일, 상기 도메인의 관리자 전화번호 및 상기 도메인을 이용한 서비스 종류 중 적어도 하나를 포함하는 것을 특징으로 하는 악성사이트차단장치.The method according to claim 1,
The resource registration information includes:
A domain name of the domain, an allocation date of the domain, an owner of the domain, an allocation area location of the domain, an owner identifier of the domain, an administrator email of the domain, a manager phone number of the domain, The malicious site blocking device comprising: 제 2 항에 있어서,
상기 악성링크검증부는,
상기 도메인의 할당일자가 소정의 무료등록사용기간범위에 포함되면, 상기 특정링크에 대한 도메인을 이용하여 상기 적어도 2개의 검증링크를 생성하는 것을 특징으로 하는 악성사이트차단장치.3. The method of claim 2,
The malicious link verifier may include:
Wherein the at least two verification links are generated using the domain for the specific link when the allocation date of the domain is included in a predetermined free registration use period range. 제 3 항에 있어서,
상기 악성링크검증부는,
상기 적어도 2개의 검증링크가 제1 검증링크 및 제2 검증링크를 포함하는 경우, 상기 제1 검증링크에 의해 제1 검증단말에서 상기 도메인에 접속한 제1 접속화면과 상기 제2 검증링크에 의해 제2 검증단말에서 상기 도메인에 접속한 제2 접속화면을 비교한 결과와, 상기 제1 검증단말과 상기 제2 검증단말로부터 각각 리턴되는 특정링크에 대한 일치여부를 확인한 결과 중 적어도 하나에 기초하여 상기 특정링크에 대한 악성여부를 검증하는 것을 특징으로 하는 악성사이트차단장치.The method of claim 3,
The malicious link verifier may include:
Wherein if the at least two verification links include a first verification link and a second verification link, then the first verification link connects to the domain at the first verification terminal and the second verification link Based on at least one of a result of comparing the second connection screen accessed by the second verification terminal with the domain and a result of checking whether the specific link returned from the first verification terminal and the second verification terminal respectively are matched The malicious site blocking device verifying whether or not the specific link is malicious. 제 4 항에 있어서,
상기 악성링크검증부는,
상기 제1 접속화면과 상기 제2 접속화면이 동일하게 표시되며, 상기 제1 검증단말과 상기 제2 검증단말로부터 각각 리턴되는 특정링크가 동일한 경우, 상기 특정링크가 악성이 아닌 것으로 판단하며,
상기 제1 접속화면과 상기 제2 접속화면이 동일하게 표시되지 않거나, 또는 상기 제1 접속화면과 상기 제2 접속화면은 동일하게 표시되나 상기 제1 검증단말과 상기 제2 검증단말로부터 각각 리턴되는 특정링크가 동일하지 않은 경우, 상기 특정링크를 악성인 것으로 판단하는 것을 특징으로 하는 악성사이트차단장치.5. The method of claim 4,
The malicious link verifier may include:
The first connection screen and the second connection screen are displayed in the same manner and when the specific links returned from the first verification terminal and the second verification terminal are the same,
The first connection screen and the second connection screen are not displayed identically or the first connection screen and the second connection screen are displayed identically but are returned from the first verification terminal and the second verification terminal respectively And judges that the specific link is malicious when the specific link is not the same. 문자메시지에 특정링크가 포함된 것으로 확인되면, 상기 특정링크가 악성리스트정보에 포함되는지의 여부를 확인하는 확인단계;
상기 특정링크가 상기 악성리스트정보에 포함되지 않은 경우, 상기 특정링크에 대한 자원등록정보를 이용하여 상기 특정링크에 대한 악성여부를 결정하는 결정단계; 및
상기 결정단계에서 특정링크에 대한 악성여부가 결정되지 않는 경우, 검증링크를 이용하여 상기 특정링크의 악성여부를 검증하는 검증단계
를 포함하는 것을 특징으로 하는 악성사이트차단장치의 동작 방법.A confirmation step of confirming whether the specific link is included in the malicious list information if it is determined that the specific link is included in the text message;
Determining whether the specific link is malicious for the specific link using the resource registration information for the specific link if the specific link is not included in the malicious list information; And
A verification step of verifying whether or not the specific link is malicious using the verification link if the maliciousness of the specific link is not determined in the determining step
The malicious site blocking apparatus comprising: 제 6 항에 있어서,
상기 자원등록정보는,
상기 특정링크에 대한 도메인, 상기 도메인의 할당일자, 상기 도메인의 소유주, 상기 도메인의 할당 지역 위치, 상기 도메인의 소유주 식별자, 상기 도메인의 관리자 이메일, 상기 도메인의 관리자 전화번호 및 상기 도메인을 이용한 서비스 종류 중 적어도 하나를 포함하는 것을 특징으로 하는 악성사이트차단장치의 동작 방법.The method according to claim 6,
The resource registration information includes:
A domain name of the domain, an allocation date of the domain, an owner of the domain, an allocation area location of the domain, an owner identifier of the domain, an administrator email of the domain, a manager phone number of the domain, The malicious site blocking device comprising: 제 7 항에 있어서,
상기 검증단계는,
상기 도메인의 할당일자가 소정의 무료등록사용기간범위에 포함되면, 상기 특정링크에 대한 도메인을 이용하여 상기 적어도 2개의 검증링크를 생성하는 생성단계를 포함하는 것을 특징으로 하는 악성사이트차단장치의 동작 방법.8. The method of claim 7,
Wherein the verifying step comprises:
And generating the at least two verification links using the domain for the specific link if the allocation date of the domain is included in a predetermined free registration use period range. Way. 제 8 항에 있어서,
상기 검증단계는,
상기 적어도 2개의 검증링크가 제1 검증링크 및 제2 검증링크를 포함하는 경우, 상기 제1 검증링크에 의해 제1 검증단말에서 상기 도메인에 접속한 제1 접속화면과 상기 제2 검증링크에 의해 제2 검증단말에서 상기 도메인에 접속한 제2 접속화면을 비교한 결과와, 상기 제1 검증단말과 상기 제2 검증단말로부터 각각 리턴되는 특정링크에 대한 일치여부를 확인한 결과 중 적어도 하나에 기초하여 상기 특정링크에 대한 악성여부를 검증하는 비교검증단계를 포함하는 것을 특징으로 하는 악성사이트차단장치의 동작 방법.9. The method of claim 8,
Wherein the verifying step comprises:
Wherein if the at least two verification links include a first verification link and a second verification link, then the first verification link connects to the domain at a first verification terminal and the second verification link Based on at least one of a result of comparing the second connection screen accessed by the second verification terminal with the domain and a result of checking whether the specific link returned from the first verification terminal and the second verification terminal respectively are matched And comparing and verifying whether or not the specific link is malicious. 제 9 항에 있어서,
상기 비교검증단계는,
상기 제1 접속화면과 상기 제2 접속화면이 동일하게 표시되며, 상기 제1 검증단말과 상기 제2 검증단말로부터 각각 리턴되는 특정링크가 동일한 경우, 상기 특정링크가 악성이 아닌 것으로 판단하며,
상기 제1 접속화면과 상기 제2 접속화면이 동일하게 표시되지 않거나, 또는 상기 제1 접속화면과 상기 제2 접속화면은 동일하게 표시되나 상기 제1 검증단말과 상기 제2 검증단말로부터 각각 리턴되는 특정링크가 동일하지 않은 경우, 상기 특정링크를 악성인 것으로 판단하는 것을 특징으로 하는 악성사이트차단장치의 동작 방법.10. The method of claim 9,
Wherein the comparing and verifying step comprises:
The first connection screen and the second connection screen are displayed in the same manner and when the specific links returned from the first verification terminal and the second verification terminal are the same,
The first connection screen and the second connection screen are not displayed identically or the first connection screen and the second connection screen are displayed identically but are returned from the first verification terminal and the second verification terminal respectively If the specific link is not the same, judges that the specific link is malicious.
KR1020150141198A 2015-10-07 2015-10-07 Apparatus and method for protecting malicious site KR102148189B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150141198A KR102148189B1 (en) 2015-10-07 2015-10-07 Apparatus and method for protecting malicious site

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150141198A KR102148189B1 (en) 2015-10-07 2015-10-07 Apparatus and method for protecting malicious site

Publications (2)

Publication Number Publication Date
KR20170041574A true KR20170041574A (en) 2017-04-17
KR102148189B1 KR102148189B1 (en) 2020-10-14

Family

ID=58703265

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150141198A KR102148189B1 (en) 2015-10-07 2015-10-07 Apparatus and method for protecting malicious site

Country Status (1)

Country Link
KR (1) KR102148189B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022145501A1 (en) * 2020-12-29 2022-07-07 (주)기원테크 Device for providing protective service against email security-based zero-day url attack and method for operating same

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140126633A (en) * 2013-04-23 2014-10-31 주식회사 안랩 Method and appratus for detecting malicious message
KR20140144636A (en) * 2013-06-11 2014-12-19 에스케이텔레콤 주식회사 Apparatus and method for examining malicious url

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140126633A (en) * 2013-04-23 2014-10-31 주식회사 안랩 Method and appratus for detecting malicious message
KR20140144636A (en) * 2013-06-11 2014-12-19 에스케이텔레콤 주식회사 Apparatus and method for examining malicious url

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022145501A1 (en) * 2020-12-29 2022-07-07 (주)기원테크 Device for providing protective service against email security-based zero-day url attack and method for operating same

Also Published As

Publication number Publication date
KR102148189B1 (en) 2020-10-14

Similar Documents

Publication Publication Date Title
JP5231433B2 (en) System and method for authenticating remote server access
CN107135073B (en) Interface calling method and device
KR102321781B1 (en) Processing electronic tokens
JP5719871B2 (en) Method and apparatus for preventing phishing attacks
CA2736582C (en) Authorization of server operations
CN105847245B (en) Electronic mailbox login authentication method and device
WO2007110951A1 (en) User verifying device, method and program
WO2008064403A1 (en) Remote service authentication method
JP2011100489A (en) User confirmation device and method, and program
CN114422139B (en) API gateway request security verification method, device, electronic equipment and computer readable medium
CA3073190C (en) Mobile number verification for mobile network-based authentication
US11658962B2 (en) Systems and methods of push-based verification of a transaction
CN110943840A (en) Signature verification method and system
KR101586048B1 (en) System, Server, Method and Recording Medium for Blocking Illegal Applications, and Communication Terminal Therefor
KR101879843B1 (en) Authentication mehtod and system using ip address and short message service
CN101257518B (en) Method and system for preventing lawless ordering without through charging gateway in WAP platform
KR20110131654A (en) System and method for service control
KR20160109582A (en) User authentication system and user authentication method of Cell phone messaging service and CHATCHA bases
KR102148189B1 (en) Apparatus and method for protecting malicious site
KR20150102292A (en) System and method for providing location authentication service using message
CN104283840A (en) Method, client side and system for improving network access safety
CN106713285A (en) Website link security verification method and system
KR101160903B1 (en) Blacklist extracting system and method thereof
KR101195027B1 (en) System and method for service security
KR20130005635A (en) System for providing secure card payment system using mobile terminal and method thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant