KR20210069900A - 스미싱 탐지 시스템 - Google Patents

스미싱 탐지 시스템 Download PDF

Info

Publication number
KR20210069900A
KR20210069900A KR1020190159707A KR20190159707A KR20210069900A KR 20210069900 A KR20210069900 A KR 20210069900A KR 1020190159707 A KR1020190159707 A KR 1020190159707A KR 20190159707 A KR20190159707 A KR 20190159707A KR 20210069900 A KR20210069900 A KR 20210069900A
Authority
KR
South Korea
Prior art keywords
smishing
url
message
text
access information
Prior art date
Application number
KR1020190159707A
Other languages
English (en)
Other versions
KR102296861B1 (ko
Inventor
박민수
이상혁
Original Assignee
주식회사 핑거
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 핑거 filed Critical 주식회사 핑거
Priority to KR1020190159707A priority Critical patent/KR102296861B1/ko
Publication of KR20210069900A publication Critical patent/KR20210069900A/ko
Application granted granted Critical
Publication of KR102296861B1 publication Critical patent/KR102296861B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2281Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/60Information retrieval; Database structures therefor; File system structures therefor of audio data
    • G06F16/65Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Human Computer Interaction (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명의 일 실시예에 의하면, 스미싱 탐지 시스템은, 수신자 단말에 수신된 문자 메세지 중 URL을 스미싱 탐지 서버로 전송하는 단계; 상기 스미싱 탐지 서버를 통해 상기 URL에 접속하고, 접속결과에 대한 접속정보를 분석하여, 데이터베이스에 저장된 스미싱 어휘들이 상기 접속정보에 포함되는지 여부를 1단계로 분석하는 단계; 그리고 분석한 결과를 상기 수신자 단말에 표시하는 단계를 포함한다.

Description

스미싱 탐지 시스템{SYSTEM FOR DETECTING SMS PHISHING}
본 발명은 스미싱 탐지 시스템에 관한 것으로, 더욱 상세하게는 스미싱 탐지 서버를 통해 문자 메세지에 포함된 URL(uniform resource locator)에 접속하고 접속결과에 대한 접속정보를 분석하여 스미싱을 탐지할 수 있는 시스템에 관한 것이다.
근래에 들어, 휴대폰, 스마트폰(smart phone) 등의 사용자 단말은 현대인에게 없어서는 안될 필수품으로서 남녀노소를 막론하고 사용하고 있으며, 서비스 제공자 및 단말기 제조자는 다른 업체와의 차별화를 위해 제품 또는 서비스를 경쟁적으로 개발하고 있다.
이러한, 사용자 단말은 폰북(phone book), 게임(game), 메세지(message), 이메일(email), 모닝콜(morning call), MP3(MPEG Layer 3), 디지털 카메라 및 무선 인터넷 서비스가 가능한 멀티미디어 기기로 발전하여 다양한 서비스를 제공하고 있다.
한편, 위와 같은 사용자 단말의 기능 가운데 메세지 기능은 음성 통화에 비하여 비교적 저렴하다는 장점 때문에 사용자들이 많이 사용하고 있다. 이러한, 메세지는 예를 들어 SMS(short messaging service), MMS(multimedia messaging service), 패킷기반 메세지 등이 될 수 있다. SMS는 간단한 텍스트를 전송할 수 있는 메세지를 말할 수 있으며, MMS는 단순한 문자 메세지에서 벗어나 동영상, 사진, 음악 파일 등을 부가하여 전송할 수 있는 메세지를 말할 수 있다. 또한, 패킷기반 메세지는 데이터망을 이용하여 패킷 교환 방식을 통해 전송되는 메세지로 MMS와 마찬가지로 동영상, 사진, 음악파일 등의 파일 첨부가 가능하며, 사용자간 대화형식의 메세지 교환도 가능한 메세지를 말할 수 있다.
하지만, 최근에는 다수의 기업 혹은 불특정 개인이 위와 같은 SMS/MMS 메세지 기능 등을 이용하여 기업의 공지, 홍보, 광고 등에 이용하고 있어서 사용자는 불필요한 수많은 메세지의 수신으로 인한 공해를 느끼는 등의 불편함이 있으며, 또한, 비정상적인 기업으로부터의 사행성 광고 메세지, 음란 메세지 등과 같은 스팸 메세지로 인해 불편함을 겪는 문제점이 있었다.
또한, 위와 같이 기업, 개인 등의 메세지 전송 주체로부터 공지, 홍보, 광고의 타겟이 되는 다수의 사용자 단말로 전송되는 SMS, MMS 또는 패킷기반 메세지 등의 메세지 중에는 메세지내 악성 URL을 삽입하여 악의적인 목적 을 실현하는 스팸(스미싱) 메세지도 존재할 수 있으며, 스미싱(smishing)은 문자메세지(SMS: Short Message Service)와 피싱(phishing)을 결합한 합성어이다.
이때, 위와 같은 악성 URL이 포함된 메세지는 해당 메세지를 수신한 사용자가 URL을 클릭하는 경우 악성 코드를 포함하는 애플리케이션이 설치되도록 하거나 해외의 스미싱 업체로 연결되도록 하는 등으로 사용자에게 피해를 발생시킬 수 있다.
따라서, 사용자의 이동통신 단말기 등으로 전송되는 메세지 중 악성 URL이 포함된 메세지에 대해서는 메세지의 전송이 차단되도록 하거나, 메세지가 사용자 단말로 전송되는 경우 메세지내 포함된 URL의 위험성이 경고되도록 함으로써, 악성 URL에 의한 피해를 줄일 수 있도록 하는 기술 개발이 필요하다.
한국등록특허공보 0482538호(2005.04.14.)
본 발명의 목적은 스미싱 탐지 서버를 통해 문자 메세지에 포함된 URL에 접속하고 접속결과에 대한 접속정보를 분석하여 스미싱을 탐지할 수 있는 방법을 제공하는 데 있다.
본 발명의 다른 목적들은 다음의 상세한 설명과 첨부한 도면으로부터 보다 명확해질 것이다.
본 발명의 일 실시예에 의하면, 스미싱 탐지 시스템은, 수신자 단말에 수신된 문자 메세지 중 URL을 스미싱 탐지 서버로 전송하는 단계; 상기 스미싱 탐지 서버를 통해 상기 URL에 접속하고, 접속결과에 대한 접속정보를 분석하여, 데이터베이스에 저장된 스미싱 어휘들이 상기 접속정보에 포함되는지 여부를 1단계로 분석하는 단계; 그리고 분석한 결과를 상기 수신자 단말에 표시하는 단계를 포함한다.
상기 스미싱 탐지 시스템은, 상기 접속정보에 포함된 상기 스미싱 어휘들을 기준으로 상기 문자 메세지가 스미싱에 해당할 확률을 연산하는 단계; 그리고 상기 확률이 기설정된 확률 이상일 경우 상기 수신자 단말에 알람메세지를 전송하는 단계를 더 포함할 수 있다.
상기 1차로 분석하는 단계에서, 상기 접속정보에 포함된 이미지에서 텍스트를 추출하고 상기 텍스트에 상기 스미싱 어휘들이 포함되었는지 여부를 분석할 수 있다.
상기 1차로 분석하는 단계 이전에, 상기 접속정보에 포함된 도메인을 추출하고 상기 도메인이 상기 데이터베이스에 저장된 정상도메인에 해당하는지 여부를 0단계로 분석하고 정상도메인에 해당할 경우 상기 수신자 단말에 정상메세지를 전송하는 단계를 더 포함할 수 있다.
상기 1차로 분석하는 단계 이전 또는 이후에, 상기 접속정보에 포함된 출력텍스트가 상기 문자 메세지에 포함된 수신 텍스트를 포함하는지 여부를 분석하는 단계를 더 포함할 수 있다.
상기 수신자 단말은 상기 문자 메세지를 전송한 발신자 단말의 전화번호를 수신하고 수신된 발신자 단말의 전화번호가 상기 수신자 단말에 저장되어 있는지 여부를 확인하며, 상기 발신자 단말의 전화번호가 저장되어 있지 않은 경우 상기 URL을 상기 스미싱 탐지 서버로 전송할 수 있다.
본 발명의 일 실시예에 의하면, 다수의 기업 혹은 불특정 개인 등의 메세지 발신자로부터 해당 기업의 공지, 홍보, 광고 등을 위해서나 개인정보 유출 등의 목적으로 수신자 단말로 발송되는 다양한 메세지 중 URL이 포함된 메세지에 대하여, 수신자 단말을 통해 URL에 접속하지 않고 해당 URL이 악성 URL인지 여부를 판단하고 수신자 단말에 경고메세지를 전송함으로써 악성 URL로 인한 피해를 방지할 수 있다.
도 1은 본 발명의 일 실시예에 따른 스미싱 탐지 시스템이 설정된 환경을 개략적으로 나타내는 도면이다.
도 2는 도 1에 도시한 스미싱 탐지 서버의 구조를 개략적으로 나타내는 도면이다.
도 3은 도 1에 도시한 수신자 단말의 구조를 개략적으로 나타내는 도면이다.
도 4는 본 발명의 일 실시예에 따른 스미싱 탐지 과정에 대한 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 링크정보를 포함하는 모바일 청첩장을 나타내는 도면이다.
도 6은 본 발명의 다른 실시예에 따른 링크정보를 포함하는 복수의 문자 메세지를 나타내는 도면이다.
도 7은 도 4에 도시한 스미싱 탐지 과정에 대한 변형예이다.
이하, 본 발명의 바람직한 실시예들을 첨부된 도 1 내지 도 7을 참고하여 더욱 상세히 설명한다. 본 발명의 실시예들은 여러 가지 형태로 변형될 수 있으며, 본 발명의 범위가 아래에서 설명하는 실시예들에 한정되는 것으로 해석되어서는 안 된다. 본 실시예들은 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 상세하게 설명하기 위해서 제공되는 것이다. 따라서 도면에 나타난 각 요소의 형상은 보다 분명한 설명을 강조하기 위하여 과장될 수 있다.
도 1은 본 발명의 일 실시예에 따른 스미싱 탐지 시스템이 설정된 환경을 개략적으로 나타내는 도면이다. 도 1에 도시한 바와 같이, 스미싱 탐지 서버는 수신자 단말과 연동하며, 수신자 단말로부터 전달되는 URL을 토대로 스미싱 여부를 확인하거나 관리한다.
발신자 단말은 이동통신망을 포함하는 유/무선 통신망 등에 연결된 수신자 단말에 SMS(short message service), MMS(multimedia message service) 메세지 또는 패킷기반 메세지 등의 메세지를 발송하는 주체를 의미한다. 이때, 수신자 단말은 예를 들어 휴대폰, 스마트폰(smart phone) 등의 이동통신 단말기 또는 메세지 수신이 가능한 표시창을 구비한 일반 유/무선 전화기 등을 포함할 수 있고, 위와 같은 메세지는 MMS 메세지, SMS 메세지 또는 패킷기반 메세지 등이 될 수 있다.
또한, 발신자 단말은 예를 들어 금융업체, 제조업체, 오픈 마켓 등의 기업 혹은 불특정 개인 등이 될 수 있으며, 발송되는 메세지는 예를 들어 해당 기업과 관련하여 사용자에게 공지, 홍보 또는 광고하고자 하는 내용의 메세지가 될 수 있다.
위와 같이 기업 혹은 불특정 개인 등의 메세지 전송 주체로부터 다수의 타겟 사용자의 수신자 단말로 전송되는 메세지 중 악성 URL을 포함하는 메세지는 메세지내 포함된 악성 URL이 클릭되는 경우 악성 코드를 포함하는 애플리케이션이 설치되도록 하거나 해외의 스미싱 서버로 연결되도록 함으로써, 피해를 발생시키는 문제점이 있다.
따라서, 본 발명에서는 URL이 포함된 메세지에 대해서는 URL이 악성인지 여부를 검사하는 스미싱 탐지 서버로 악성 URL 여부를 판단하도록 한 후, 악성 URL을 포함한 메세지에 대해서는 위험성이 있는 메세지임을 알리는 경고정보가 수신자 단말에 표시되도록 함으로써 피해가 방지될 수 있도록 한다.
즉, 수신자 단말은 수신한 발신번호에 대해 전화번호 목록에 저장되어 있는 번호인지 확인하고, 저장되어 있지 않은 경우 수신된 문자 메세지에 포함된 URL을 스미싱 탐지 서버에 전송하여 스미싱 탐지 과정을 개시하고 스미싱인지 여부를 확인할 수 있다.
도 2는 도 1에 도시한 스미싱 탐지 서버의 구조를 개략적으로 나타내는 도면이다. 먼저, 통신부는 메세지 전송 서버(도시안함)와의 데이터 송수신을 수행하고, 인터넷 등의 통신망과 연결되어 통신망상 웹서버(web server) 등과의 데이터 송수신을 수행한다.
URL 추출부는 수신자 단말로부터 전송되는 메세지 내에 URL이 포함되어 있는지 검사하고, URL이 포함된 경우 해당 URL을 추출한다. 사전 필터링부는 URL 추출부로부터 추출된 URL에 대해 악성 URL 리스트와의 비교를 통한 사전 필터링을 수행하여 메세지로부터 추출된 URL이 악성 URL인지 여부를 판단하고, 악성 URL로 판단하는 경우 이와 같은 판단 정보를 제어부에 제공한다. 이에 따라 제어부는 악성 URL 판단 정보를 수신자 단말로 제공한다. 이때, 이러한 악성 URL 리스트는 스미싱 탐지 서버에서 이전에 검사가 진행되어 악성 URL로 판단된 URL들의 리스트 정보를 말하는 것으로, 이러한 악성 URL 리스트는 데이터베이스에 저장될 수 있으며, 악성 URL 검사 과정에서 악성 URL로 판단된 URL 정보가 주기적으로 업데이트될 수 있다.
분석부는 URL의 접속 후 접속결과에 대한 접속정보를 분석하여 악성 여부를 검사할 수 있다. 즉, 분석부는 에뮬레이터(emulator)를 기반으로 URL에 접속하고 접속결과에 대한 접속정보를 획득하며, 접속정보는 접속된 URL로부터 제공하는 접속 페이지에 대한 화면정보일 수 있다.
분석부는 접속정보에서 텍스트를 추출하고 추출된 텍스트와 메세지 내에 포함되어 있는 어휘 중 데이터베이스에 저장되어 있는 스미싱 어휘들이 있는지 확인한다. 만약 스미싱 어휘들이 있는 것으로 판단하거나 스미싱 어휘들이 없는 것으로 판단하는 등 판단 결과는 수신자 단말로 전송된다. 데이터베이스는 복수의 스미싱 어휘들을 저장하고 있으며, 단말이나 외부로부터 데이터베이스에 저장되어 있지 않은 어휘들 중, 새로 스미싱 어휘로 나타난 어휘들을 수신하여 저장할 수 있다.
한편, 위와 같은 분석 이전에, 분석부는 접속정보에 포함된 도메인을 추출하고 추출된 도메인이 데이터베이스에 저장되어 있는 정상도메인에 해당하는지 확인할 수 있다. 만약 정상도메인에 해당하는 것으로 판단할 경우 판단 결과는 수신자 단말로 전송된다. 데이터베이스는 복수의 정상도메인들을 저장하고 있으며, 새로 정상도메인으로 판명된 도메인들을 수신하여 저장할 수 있다. 예를 들어, 정상도메인은 일반인의 접근이 용이하지 않은 공공기관이나 관공서, 공신력이 인정된 단체 등의 도메인일 수 있으며, 이 경우 악성 URL의 가능성이 현저히 낮기 때문이다.
가공부는 위와 같이 URL 분석을 통해 메세지내 포함된 URL이 악성 URL로 확인되는 경우, 악성 URL임을 알리는 URL 검증 정보를 생성하고, 이와 같이 생성한 URL 검증정보는 제어부 및 통신부에 의해 수신자 단말로 전송된다.
메모리부는 스미싱 탐지 서버의 전반적인 동작을 위한 동작 제어 프로그램을 저장하고 있으며, 제어부는 메모리부에 저장된 동작 제어 프로그램에 따라 스미싱 탐지 서버의 전반적인 동작을 제어한다.
도 3은 도 1에 도시한 수신자 단말의 구조를 개략적으로 나타내는 도면이다. 키입력부는 이동통신 단말기의 다양한 동작 요청을 위한 다수의 숫자키 및 기능키로 구성될 수 있으며, 사용자가 소정의 키를 누를 때 해당하는 키데이터를 발생하여 제어부로 출력한다. 위와 같은 키입력부는 제조사별, 국가별로 문자 배열의 차이가 있다. 또한, 키입력부는 스마트폰(smart phone), 테블릿 PC 등에서는 물리적인 키패드(keypad) 대신, 소프트웨어 방식으로 필요 시마다 표시부상에 터치 스크린(touch screen) 형식으로 표시될 수도 있다.
오디오부는 제어부의 제어를 받아 마이크(MIC)를 통해 입력되는 음성신호를 무선신호로 변조하고, 수신되는 무선신호를 복조하여 스피커(SPK)에 음성신호로서 송출한다. 또한, 오디오부(310)는 음성통화 시 제어부에 의해 설정되는 다양한 음성품질로 음성신호를 처리하는 코덱부(codec)를 더 포함할 수 있다.
통신부는 통신망을 통해 발신자 단말로부터 발송된 메세지를 수신한다. 이때, 위와 같은 메세지는 발신자인 금융업체, 제조업체, 오픈 마켓 등의 기업의 요청에 의해 생성된 메세지 등이 될 수 있으며, 기업과 관련된 공지, 홍보, 광고 등의 내용을 포함한 메세지가 될 수 있다.
표시부는 제어부의 제어에 따라 이동통신 단말기의 각종 정보를 표시하며, 키입력부에서 발생되는 키데이터 및 제어부의 각종 정보신호를 입력받아 디스플레이한다. 또한, 본 발명의 실시예에 따라 수신한 URL의 위험성을 알리는 정보를 스미싱 탐지 서버로부터 수신하여 기설정된 마크(mark)나 그림 또는 문자 등으로 표시시킨다.
제어부는 메모리부에 저장된 동작 프로그램에 따라 이동통신 단말기의 전반적인 동작을 제어한다. 위와 같은 동작 프로그램은 이동통신 단말기의 동작에 필요한 기본적인 운영 시스템(operating system) 뿐만 아니라, 표시부와 키입력부를 연결하고, 데이터의 입/출력을 관리하거나, 이동통신 단말기의 내부 애플리케이션(application) 등을 동작시키도록 제조 시 미리 프로그래밍(programing)되는 소프트웨어(software)를 통칭한다.
또한, 본 발명의 실시예에 따라 다양한 SMS, MMS 메세지 또는 패킷기반 메세지 등의 메세지가 수신되는 경우 URL이 포함된 메세지에 대해서는 메세지내 포함된 URL에 대한 위험성을 메세지의 수신 화면상에 표시시킨다.
즉, 제어부는 수신한 발신번호에 대해 메모리부의 전화번호 목록에 저장되어 있는 번호인지 확인하고, 저장되어 있지 않은 경우 통신부를 통해 수신된 문자 메세지에 포함된 URL을 스미싱 탐지 서버에 전송하여 스미싱 탐지 과정을 개시하고 스미싱인지 여부를 확인할 수 있다.
이때, 제어부는 예를 들어 URL 검증 정보를 이용하여 수신된 메세지내 포함된 URL가 악성 URL인 것을 확인하는 경우, 수신된 메세지가 비정상 메세지임을 알리는 정보를 화면상 문자 또는 그림으로 표시시키거나 소리로 출력시켜 사용자가 메세지의 위험성을 인지하도록 할 수 있다.
도 4는 본 발명의 일 실시예에 따른 스미싱 탐지 과정에 대한 흐름도이다. 도 5는 본 발명의 일 실시예에 따른 링크정보를 포함하는 모바일 청첩장을 나타내는 도면이며, 도 6은 본 발명의 다른 실시예에 따른 링크정보를 포함하는 복수의 문자 메세지를 나타내는 도면이다.
먼저, 수신자 단말은 발신자 단말로부터 발송된 메세지를 수신하며, 수신한 발신번호가 메모리부의 전화번호 목록에 저장되어 있지 않은 경우 수신된 문자 메세지에 포함된 URL을 스미싱 탐지 서버에 전송하여 스미싱 탐지 과정을 개시한다. 이와 같은 과정은 수신자 단말의 메모리부에 저장된 동작 프로그램에 따라 진행될 수 있으며, 수신자의 조작에 따른 입력에 근거하여 동작 프로그램은 실행될 수 있다. 도 5 및 도 6은 링크정보인 URL을 포함하는 메세지를 나타낸다.
스미싱 탐지 서버의 제어부는 전달받은 메세지로부터 메세지 내에 포함된 URL을 추출하고 사전 필터링을 통해 추출된 URL이 악성 URL인지 여부를 검사한다. 이때, 메세지로부터 추출된 URL을 악성 URL 리스트(list)와 비교하여, 추출된 URL이 악성 URL 리스트에 존재하는 경우 악성 URL로 판단하고 악성 URL로 판단하는 경우 이와 같은 판단 정보를 수신자 단말로 제공하여 URL의 위험성이 경고되도록 한다. 이때, 위와 같은 악성 URL 리스트는 스미싱 탐지 서버에서 이전에 검사가 진행되어 악성 URL로 판단된 URL들의 리스트 정보를 말할 수 있으며, 검사 과정에서 악성 URL로 판단된 URL 정보가 주기적으로 업데이트될 수 있다.
다음으로, 제어부는 위와 같은 사전 필터링을 통해 악성 URL인지 여부가 정확히 판단되지 않는 URL에 대해서는 분석부를 통한 스미싱 어휘 검사, 도메인 검사 등을 통해 악성 URL인지 여부를 판단하게 된다.
이때, 분석부는 에뮬레이터를 실행하고 유무선 통신망을 통해 해당 URL 주소로 링크되는 웹서버(도시안함) 등에 접속하고, 접속결과에 대한 접속정보를 분석하여 URL의 악성 여부를 판단할 수 있다. 즉, 분석부는 접속정보에서 텍스트를 추출하고 추출된 텍스트 내에 포함되어 있는 어휘 중 데이터베이스에 저장되어 있는 스미싱 어휘들이 있는지 확인하거나, 접속정보에서 도메인을 추출하고 추출된 도메인이 데이터베이스에 저장되어 있는 정상도메인에 해당하는지 확인하는 방식으로 악성 URL을 판단할 수 있다.
구체적으로, 분석부는 URL의 접속 후 접속결과에 대한 접속정보를 분석하여 악성 여부를 검사할 수 있다. 즉, 분석부는 에뮬레이터(emulator)를 기반으로 URL에 접속하고 접속결과에 대한 접속정보를 획득하며, 접속정보는 접속된 URL로부터 제공하는 접속 페이지에 대한 화면정보일 수 있다.
분석부는 접속정보에서 텍스트를 추출하고 추출된 텍스트와 메세지 내에 포함되어 있는 어휘 중 데이터베이스에 저장되어 있는 스미싱 어휘들이 있는지 확인한다. 만약 스미싱 어휘들이 있는 것으로 판단하거나 스미싱 어휘들이 없는 것으로 판단하는 등 판단 결과는 수신자 단말로 전송된다. 데이터베이스는 복수의 스미싱 어휘들을 저장하고 있으며, 단말이나 외부로부터 데이터베이스에 저장되어 있지 않은 어휘들 중, 새로 스미싱 어휘로 나타난 어휘들을 수신하여 저장할 수 있다.
구체적으로, 분석부는 추출된 텍스트와 메세지 내에 포함된 스미싱 어휘들을 기준으로 베이지안(Bayesian) 기법을 통해 스미싱인지 여부를 판별할 수 있다. 베이지안 기법은 베이즈(Bayes' Theorem)에서 유래된 기법으로서, 확률모형을 이용한 학습을 통해 스미싱에 해당할 확률을 연산하며, 분석부는 연산된 확률이 기설정된 확률 이상일 경우 스미싱인 것으로 판별하고 스미싱임을 알리는 메세지를 수신자 단말에 제공할 수 있다.
베이지안 기법은 나이브 베이지안(Naive-Bayesian) 기법과 파울 그라함의 베이지안(Paul Graham's Bayesian) 기법으로 구분되며, 베이지안 기법은 공지된 내용이므로 상세한 설명은 생략한다. 이하, 파울 그라함의 베이지안 기법에 대해서만 간략하게 설명하면, 스미싱 어휘 a가 존재할 때 스미싱에 해당할 확률값을 산출하고, 산출된 확률값과 소정 기준치(예를 들어, 0부터 1사이의 중간값인 0.5)와의 차이(d)를 산출하며, 다수의 위험어휘들에 대하여 산출된 확률값들 중 차이(d)가 큰 n개(예를 들어, 15개)의 확률값들에 대해서만 조합확률을 계산한다. 이후, 조합확률의 값이 문턱값(기설정된 확률) 이상일 경우 스미싱으로 판별하며, 스미싱임을 알리는 메세지를 추가로 제공할 수 있다. 메세지는 조합확률 자체이거나 조합확률의 크기에 따른 '스미싱 확인', '스미싱 의심'의 형태로 제공될 수 있다.
한편, 앞서 설명한 실시예는 분석부가 베이지안(Bayesian) 기법을 통해 스미싱인지 여부를 판별하는 것으로 설명하였으나, 이와 달리, 분석부는 딥러닝 등의 학습(예를 들어, BERT)을 통해 스미싱 유형을 학습한 결과 스미싱인지 여부를 판별할 수 있다.
위와 같은 분석 이전에, 분석부는 접속정보에 포함된 도메인을 추출하고 추출된 도메인이 데이터베이스에 저장되어 있는 정상도메인에 해당하는지 확인할 수 있다. 만약 정상도메인에 해당하는 것으로 판단할 경우 판단 결과는 수신자 단말로 전송된다. 데이터베이스는 복수의 정상도메인들을 저장하고 있으며, 새로 정상도메인으로 판명된 도메인들을 수신하여 저장할 수 있다. 예를 들어, 정상도메인은 일반인의 접근이 용이하지 않은 공공기관이나 관공서, 공신력이 인정된 단체 등의 도메인일 수 있으며, 이 경우 악성 URL의 가능성이 현저히 낮기 때문이다.
이어, 제어부는 위와 같이 설명된 방법을 통해 메세지내 포함된 URL이 악성 URL로 판단된 경우, 해당 메세지가 위험성 있는 악성 URL을 포함하고 있는 비정상 메세지임을 수신자 단말로 통보하여, 비정상 메세지에 의한 피해가 방지될 수 있도록 한다.
앞서 설명한 실시예에 의하면, 다수의 기업 혹은 불특정 개인 등의 메시지 제공자로부터 해당 기업의 공지, 홍보, 광고 등을 위해서나 개인정보 유출 등의 목적으로 사용자 단말로 발송되는 다양한 메시지 중 URL이 포함된 메시지에 대해서는 악성 URL인지 여부를 검사하고, 악성 URL인 경우 해당 URL이 포함된 메시지를 비정상 메시지로 판단하여 URL의 위험성을 경고함으로써 악성 URL로 인한 피해가 방지되도록 한다.
도 7은 도 4에 도시한 스미싱 탐지 과정에 대한 변형예이다. 즉, 도 4에서 설명한 실시예와 달리, 분석부는 추출된 URL 주소로 링크되는 웹서버 등에 접속하기 이전에, URL 주소로부터 도메인을 추출하고 추출된 도메인이 데이터베이스에 저장되어 있는 정상도메인에 해당하는지 확인할 수 있다. 만약 정상도메인에 해당하는 것으로 판단할 경우 판단 결과는 수신자 단말로 전송된다. 데이터베이스는 복수의 정상도메인들을 저장하고 있으며, 새로 정상도메인으로 판명된 도메인들을 수신하여 저장할 수 있다. 예를 들어, 정상도메인은 일반인의 접근이 용이하지 않은 공공기관이나 관공서, 공신력이 인정된 단체 등의 도메인일 수 있으며, 이 경우 악성 URL의 가능성이 현저히 낮기 때문이다.
이후, 분석부는 에뮬레이터를 실행하고 유무선 통신망을 통해 해당 URL 주소로 링크되는 웹서버(도시안함) 등에 접속하고, 접속결과에 대한 접속정보를 분석하여 URL의 악성 여부를 판단할 수 있다. 즉, 분석부는 접속정보에서 텍스트를 추출하고 추출된 텍스트 내에 포함되어 있는 어휘 중 데이터베이스에 저장되어 있는 스미싱 어휘들이 있는지 확인하는 방식으로 악성 URL을 판단할 수 있다.
이어, 제어부는 위와 같이 설명된 방법을 통해 메세지내 포함된 URL이 악성 URL로 판단된 경우, 해당 메세지가 위험성 있는 악성 URL을 포함하고 있는 비정상 메세지임을 수신자 단말로 통보하여, 비정상 메세지에 의한 피해가 방지될 수 있도록 한다.
본 발명을 바람직한 실시예들을 통하여 상세하게 설명하였으나, 이와 다른 형태의 실시예들도 가능하다. 그러므로, 이하에 기재된 청구항들의 기술적 사상과 범위는 바람직한 실시예들에 한정되지 않는다.

Claims (6)

  1. 수신자 단말에 수신된 문자 메세지 중 URL을 스미싱 탐지 서버로 전송하는 단계;
    상기 스미싱 탐지 서버를 통해 상기 URL에 접속하고, 접속결과에 대한 접속정보를 분석하여, 데이터베이스에 저장된 스미싱 어휘들이 상기 접속정보에 포함되는지 여부를 1차로 분석하는 단계; 및
    분석한 결과를 상기 수신자 단말에 표시하는 단계를 포함하는, 스미싱 탐지 시스템.
  2. 제1항에 있어서,
    상기 스미싱 탐지 시스템은,
    상기 접속정보에 포함된 상기 스미싱 어휘들을 기준으로 상기 문자 메세지가 스미싱에 해당할 확률을 연산하는 단계; 및
    상기 확률이 기설정된 확률 이상일 경우 상기 수신자 단말에 알람메세지를 전송하는 단계를 더 포함하는, 스미싱 탐지 시스템.
  3. 제1항에 있어서,
    상기 1차로 분석하는 단계에서, 상기 접속정보에 포함된 이미지에서 텍스트를 추출하고 상기 텍스트에 상기 스미싱 어휘들이 포함되었는지 여부를 분석하는, 스미싱 탐지 시스템.
  4. 제1항에 있어서,
    상기 1차로 분석하는 단계 이전에, 상기 접속정보에 포함된 도메인을 추출하고 상기 도메인이 상기 데이터베이스에 저장된 정상도메인에 해당하는지 여부를 0단계로 분석하고 정상도메인에 해당할 경우 상기 수신자 단말에 정상메세지를 전송하는 단계를 더 포함하는, 스미싱 탐지 시스템.
  5. 제1항에 있어서,
    상기 1차로 분석하는 단계 이전 또는 이후에, 상기 접속정보에 포함된 출력텍스트가 상기 문자 메세지에 포함된 수신 텍스트를 포함하는지 여부를 분석하는 단계를 더 포함하는, 스미싱 탐지 시스템.
  6. 제1항에 있어서,
    상기 수신자 단말은 상기 문자 메세지를 전송한 발신자 단말의 전화번호를 수신하고 수신된 발신자 단말의 전화번호가 상기 수신자 단말에 저장되어 있는지 여부를 확인하며,
    상기 발신자 단말의 전화번호가 저장되어 있지 않은 경우 상기 URL을 상기 스미싱 탐지 서버로 전송하는, 스미싱 탐지 시스템.
KR1020190159707A 2019-12-04 2019-12-04 스미싱 탐지 시스템 KR102296861B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190159707A KR102296861B1 (ko) 2019-12-04 2019-12-04 스미싱 탐지 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190159707A KR102296861B1 (ko) 2019-12-04 2019-12-04 스미싱 탐지 시스템

Publications (2)

Publication Number Publication Date
KR20210069900A true KR20210069900A (ko) 2021-06-14
KR102296861B1 KR102296861B1 (ko) 2021-09-01

Family

ID=76417811

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190159707A KR102296861B1 (ko) 2019-12-04 2019-12-04 스미싱 탐지 시스템

Country Status (1)

Country Link
KR (1) KR102296861B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100482538B1 (ko) 2002-12-21 2005-04-14 (주)팜미디어 멀티미디어 메시지 서비스 방법 및 시스템
KR100815530B1 (ko) * 2007-07-20 2008-04-15 (주)올라웍스 유해성 컨텐츠 필터링 방법 및 시스템
KR20150003506A (ko) * 2013-07-01 2015-01-09 주식회사 이스트시큐리티 이동통신 단말기, 이동통신 단말기에서의 악성 문자메시지 차단 방법 및 시스템
KR20170024777A (ko) * 2015-08-26 2017-03-08 주식회사 케이티 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100482538B1 (ko) 2002-12-21 2005-04-14 (주)팜미디어 멀티미디어 메시지 서비스 방법 및 시스템
KR100815530B1 (ko) * 2007-07-20 2008-04-15 (주)올라웍스 유해성 컨텐츠 필터링 방법 및 시스템
KR20150003506A (ko) * 2013-07-01 2015-01-09 주식회사 이스트시큐리티 이동통신 단말기, 이동통신 단말기에서의 악성 문자메시지 차단 방법 및 시스템
KR20170024777A (ko) * 2015-08-26 2017-03-08 주식회사 케이티 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법

Also Published As

Publication number Publication date
KR102296861B1 (ko) 2021-09-01

Similar Documents

Publication Publication Date Title
KR102355973B1 (ko) 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법
US8271286B2 (en) Platform for enabling voice commands to resolve phoneme based domain name registrations
US7027802B2 (en) Method of displaying advertisement on display of mobile communication terminal
US7831462B2 (en) Method and apparatus for distributing targeted audible advertisements as ringtones
CN105144767A (zh) 用于检查消息的装置和方法以及用户终端
KR101545964B1 (ko) 악성 url 검사장치 및 방법
KR102550923B1 (ko) 유해 사이트 차단 시스템 및 그 방법
US20130203393A1 (en) Apparatus and method for generating smart reply in a mobile device
WO2013044797A1 (zh) 通信事件处理方法及系统
CN105391860A (zh) 用于处理通信请求的方法和装置
CN111404939A (zh) 邮件威胁检测方法、装置、设备及存储介质
KR102296861B1 (ko) 스미싱 탐지 시스템
KR20160016531A (ko) 번역된 컨텐츠를 제공하기 위한 방법, 장치 및 시스템.
US8452841B2 (en) Text chat for at-risk customers
KR101671750B1 (ko) 캐시콜 리워드 앱 시스템
CN113938311A (zh) 一种邮件攻击溯源方法及系统
EP1821553B1 (en) Method and system for converting a voice message into a text message
Kim et al. HearMeOut: detecting voice phishing activities in Android
KR20120116196A (ko) 모바일에서 메시지에 대한 키워드 광고 기반의 메시지 커뮤니케이션 방법 및 시스템
CN107222559B (zh) 信息调用方法
KR101170814B1 (ko) 확인 시점에 따라 다르게 보여지는 메시지를 제공하는메시지 서비스 시스템 및 그 방법
CN110995940A (zh) 骚扰访客识别方法、装置、电子设备及介质
US10887413B2 (en) Systems and methods for delivering in-application messages
KR102321584B1 (ko) 안심키워드를 이용한 메시지 전송 서비스 제공 시스템
US11468129B2 (en) Automatic false positive estimation for website matching

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant