KR20230050977A - 불법 호에 이용되는 발신번호 변작 단말을 탐지하기 위한 시스템 및 방법 - Google Patents
불법 호에 이용되는 발신번호 변작 단말을 탐지하기 위한 시스템 및 방법 Download PDFInfo
- Publication number
- KR20230050977A KR20230050977A KR1020210134417A KR20210134417A KR20230050977A KR 20230050977 A KR20230050977 A KR 20230050977A KR 1020210134417 A KR1020210134417 A KR 1020210134417A KR 20210134417 A KR20210134417 A KR 20210134417A KR 20230050977 A KR20230050977 A KR 20230050977A
- Authority
- KR
- South Korea
- Prior art keywords
- address
- terminal
- packet
- detection system
- alteration
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000001514 detection method Methods 0.000 claims abstract description 76
- 238000000605 extraction Methods 0.000 claims abstract description 32
- 230000004044 response Effects 0.000 claims abstract description 29
- 230000004075 alteration Effects 0.000 claims description 118
- 238000004891 communication Methods 0.000 claims description 29
- 238000010295 mobile communication Methods 0.000 claims description 24
- 238000012795 verification Methods 0.000 claims description 17
- 230000002159 abnormal effect Effects 0.000 claims description 8
- 239000000284 extract Substances 0.000 abstract description 14
- 238000012545 processing Methods 0.000 description 27
- 238000009434 installation Methods 0.000 description 9
- 230000008520 organization Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000002093 peripheral effect Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/22—Arrangements for supervision, monitoring or testing
- H04M3/2281—Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/42—Systems providing special services or facilities to subscribers
- H04M3/42025—Calling or Called party identification service
- H04M3/42034—Calling party identification service
- H04M3/42042—Notifying the called party of information on the calling party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
VoIP 패킷을 분석하여 VoIP 불법 호에 이용되는 발신번호 변작 단말을 정확하게 탐지하기 위한 시스템 및 방법이 개시된다. 일 측면에 다른, 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 탐지 시스템은, 인터넷에서 송수신되는 패킷의 로그 정보를 수집하는 수집부; 및 상기 수집된 로그 정보를 분석하여, 소정 시간 이내에 출발지/목적지 IP 주소가 동일하고 착신번호가 상이한 소정 개수 이상의 발신 호 또는 이에 따른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 추출부를 포함한다.
Description
본 발명은, 불법 호에 이용되는 발신번호 변작 단말을 탐지하기 위한 시스템 및 방법에 관한 것으로, 보다 구체적으로 VoIP 불법 호에 활용되는 발신번호 변작 단말을 탐지하기 위한 시스템 및 방법에 관한 것이다.
일반적으로, VoIP(Voice over IP) 서비스는 인터넷 프로토콜을 이용한 서비스로서, 공중교환전화망(PSTN)과 같은 서킷(Circuit) 망에서 제공하던 음성 통신 서비스를 패킷(packet)망에서 제공할 수 있도록 하는 서비스이다
이러한 VoIP 기술이 보급되면서 다양한 불법 호가 발생하고 있다. 대표적인 VoIP 기술을 이용한 불법 호는 불법 우회 과금(Toll Bypass Fraud)과 보이스피싱이다. 불법 우회 과금은 VoIP 통신 장비를 경유해 장거리 통화를 발생시키고 과금을 회피하여 과금 손실을 발생시키는 불법 호이다. 보이스피싱은 은행 또는 금융 기관으로 사칭하여 금전적 요구를 하는 불법 호이다.
이 중 보이스피싱의 피해는 매년 증가하고 있다. 단순히 해외에서 국내로 VoIP 호를 발신하는 방법에서, 해외에서 국내로 발신한 VoIP 호의 발신번호를 국내에서 국내 이동통신 번호로 변작하여 전화를 받도록 유도하는 방법으로 진화하고 있다. 즉, 해외에서 VoIP 단말로 VoIP 호 처리 장치로 호를 발신하면, VoIP 호 처리 장치는 국내에 설치된 발신번호 변작 단말로 세션 개시 프로토콜인 SIP(Session Initiation Protocol) 신호를 전송하고, 발신번호 변작 단말은 착신 단말로 전송하는 발신 호의 발신번호를 국내 이동통신 번호로 변작함으로써, 착신자 측에서 국내 발신 호 같이 보이게끔 만든다.
이러한 발신번호 변작 단말은, 국내에서 이동통신 개통이 완료되어 국내 이동통신 번호를 부여받은 상태로, 최대 수십 개의 USIM이 삽입되어, 동시에 많은 사용자들에게 보이스피싱 불법 호를 발신한다. 보이스피싱 조직은 해외에 콜센터를 두고 발신번호 변작 단말을 국내 여러 지역에 설치하여 범행을 벌이고 있기 때문에, 조직원들을 검거하기가 쉽지 않다. 따라서, 조직원들의 검거에 앞서 국내에 설치된 발신번호 변작 단말의 위치를 찾아 수거하여 조기에 피해를 예방하는 것이 중요하다. 현재는 경찰들이 전파 탐지기를 휴대하고 다니며 발신번호 변작 단말의 위치를 찾고 있다. 이는 매우 비효율적이고 대규모의 인원이 필요한 단점이 있다. 따라서, 효율적으로 발신번호 변작 단말의 위치를 찾을 수 있는 방법이 필요한 실정이다.
본 발명은 상술한 문제점을 해결하기 위해 제안된 것으로, VoIP 패킷을 분석하여 VoIP 불법 호에 이용되는 발신번호 변작 단말을 정확하게 탐지하기 위한 시스템 및 방법을 제공하는데 그 목적이 있다.
일 측면에 다른, 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 탐지 시스템은, 인터넷에서 송수신되는 패킷의 로그 정보를 수집하는 수집부; 및 상기 수집된 로그 정보를 분석하여, 소정 시간 이내에 출발지/목적지 IP 주소가 동일하고 착신번호가 상이한 소정 개수 이상의 발신 호 또는 이에 따른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 추출부를 포함한다.
상기 추출부는, 출발지/목적지 IP 주소 및 커맨드시퀀스가 동일하고 착신번호가 상이한 소정 개수 이상의 발신 호 또는 이에 따른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출할 수 있다.
상기 추출부는, 전화번호 형식이 아닌 발신번호를 포함하는 발신 호 또는 이에 따른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출할 수 있다.
상기 추출부는, 비정상 User agent를 포함하는 발신 호 또는 이에 다른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출할 수 있다.
상기 추출부는, SIM(Subscriber Identity Module) 제어 서버와 통신하는 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출할 수 있다.
상기 추출부는, 딕셔너리 형식의 데이터로서, SIM 등록, 갱신 또는 해제에 관한 데이터와, 발신 호 정보를 포함하는 패킷을, 상기 SIM 제어 서버와 통신하는 패킷으로 판단할 수 있다.
상기 추출부는, 변작 단말 관리 서버와 통신하는 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출할 수 있다.
상기 추출부는, 딕셔너리 형식의 데이터로서, 발신 호 정보를 포함하고, 그 발신 호의 정보는 복수의 IMSI(International Mobile Station Identity)를 포함하는 패킷을, 상기 변작 단말 관리 서버와 통신하는 패킷으로 판단할 수 있다.
상기 수집부는, 이동통신망으로부터 통화 정보를 더 수집하고, 상기 탐지 시스템은, 상기 통화 정보로부터 불법 호 패턴을 보이는 기지국의 위치를 확인하고, 그 기지국의 위치와, 상기 추출된 IP 주소의 물리적 위치를 비교하여 상기 추출된 IP 주소를 검증하는 검증부를 더 포함할 수 있다.
상기 검증부는, 상기 기지국의 위치와 상기 추출된 IP 주소의 물리적 위치가 소정 거리 이내인지 확인할 수 있다.
상기 추출부는, 상기 수집된 로그 정보를 분석하여, 제조사 서버와 통신하기 위한 패킷에서 IP 주소를 추출하고, 상기 탐지 시스템은, 상기 추출된 발신번호 변작 단말의 IP 주소와 상기 제조사 서버와 통신하는 패킷에서 추출한 IP 주소가 일치하는지 검증하는 검증부를 더 포함할 수 있다.
상기 제조사 서버와 통신하기 위한 패킷은, 도메인 질의 패킷일 수 있다.
상기 추출부는, 상기 추출된 발신번호 변작 단말의 IP 주소와 통신하는 상대 IP 주소를 추출하고, 상기 탐지 시스템은, 상기 상대 IP 주소를 블랙리스트에 등록하는 블랙리스트 등록부를 더 포함할 수 있다.
다른 측면에 따른, 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 방법은, 인터넷에서 송수신되는 패킷의 로그 정보를 수집하는 단계; 및 상기 수집된 로그 정보를 분석하여, 소정 시간 이내에 출발지/목적지 IP 주소가 동일하고 착신번호가 상이한 소정 개수 이상의 발신 호 또는 이에 따른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 단계를 포함한다.
또 다른 측면에 따른, 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 탐지 시스템은, 인터넷에서 송수신되는 패킷의 로그 정보를 수집하는 수집부; 및 상기 수집된 로그 정보를 분석하여, IP 주소를 기준으로 소정 조건을 만족하는 패킷들에 각 조건에 대응하는 점수를 부여하여 합산하고, 합산 점수가 임계 점수 이상인 경우, 해당 IP 주소를 상기 발신번호 변작 단말의 IP 주소를 추출하는 추출부를 포함하며, 상기 소정 조건은, 출발지/목적지 IP 주소가 동일하고, 착신번호 및 커맨드시퀀스가 상이한 조건; 출발지/목적지 IP 주소 및 커맨드시퀀스가 동일하고, 착신번호가 상이한 조건; 전화번호 형식이 아닌 발신번호를 포함하는 조건; 비정상 User agent를 포함하는 조건; SIM(Subscriber Identity Module) 제어 서버와 통신하는 조건; 및 변작 단말 관리 서버와 통신하는 조건을 포함한다.
본 발명은, 패킷을 분석하여 발신번호 변작 단말의 IP 주소를 정확하게 탐지함으로써, 발신번호 변작 단말의 설치 위치를 빠르게 확인하여 수거할 수 있도록 한다. 따라서, 보이스피싱에 의한 피해를 줄일 수 있다.
도 1은 본 발명의 일 실시예에 따른 불법 호 환경 및 탐지 시스템을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 방법을 설명하는 흐름도이다.
도 3은 도 2에서 추출된 발신번호 변작 단말의 IP 주소를 검증하는 방법을 설명하는 흐름도이다.
도 4는 본 발명의 다른 실시예에 따른 불법 호 환경 및 탐지 시스템을 나타낸 도면이다.
도 5는 본 발명의 다른 실시예에 따른 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 방법을 설명하는 흐름도이다.
도 6은 본 발명의 또 다른 실시예에 따른 불법 호 환경 및 탐지 시스템을 나타낸 도면이다.
도 7은 도 2 또는 도 5에서 추출된 발신번호 변작 단말의 IP 주소를 검증하는 다른 방법을 설명하는 흐름도이다.
도 8은 본 발명의 또 다른 실시예에 따른 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 방법을 설명하는 흐름도이다.
도 2는 본 발명의 일 실시예에 따른 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 방법을 설명하는 흐름도이다.
도 3은 도 2에서 추출된 발신번호 변작 단말의 IP 주소를 검증하는 방법을 설명하는 흐름도이다.
도 4는 본 발명의 다른 실시예에 따른 불법 호 환경 및 탐지 시스템을 나타낸 도면이다.
도 5는 본 발명의 다른 실시예에 따른 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 방법을 설명하는 흐름도이다.
도 6은 본 발명의 또 다른 실시예에 따른 불법 호 환경 및 탐지 시스템을 나타낸 도면이다.
도 7은 도 2 또는 도 5에서 추출된 발신번호 변작 단말의 IP 주소를 검증하는 다른 방법을 설명하는 흐름도이다.
도 8은 본 발명의 또 다른 실시예에 따른 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 방법을 설명하는 흐름도이다.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 또한, 본 명세서에 개시된 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 발명을 구현함에 있어서 설명의 편의를 위하여 구성요소를 세분화하여 설명할 수 있으나, 이들 구성요소가 하나의 장치 또는 모듈 내에 구현될 수도 있고, 혹은 하나의 구성요소가 다수의 장치 또는 모듈들에 나뉘어져서 구현될 수도 있다.
도 1은 본 발명의 일 실시예에 따른 불법 호 환경 및 탐지 시스템을 나타낸 도면이다. 도 1을 참조하면, 불법 호는 해외에서 발신되어 국내로 유입된다. 해외에서 발신된 불법 호는 인터넷(130)을 경유하여 국내에 설치된 발신번호 변작 단말(140)로 유입되고, 발신번호 변작 단말(140)은 불법 호의 발신번호를 국내 이동통신 번호로 변작한 후 국내 이동통신망(150)을 통해 피해자들의 단말, 즉 착신 단말(160)로 전송한다. 따라서, 피해자들은 해외에서 발신된 호로 인지하지 못하고 국내에서 발신된 정상 호로 인식하게 된다. 본 발명에 따른 탐지 시스템(170)은, 인터넷(130)을 통해 송수신되는 패킷을 분석하여 이러한 불법 호에 이용되는 발신번호 변작 단말(140)을 탐지한다.
해외에는 불법 호를 발신하는 범죄 조직이 설치한 발신 단말(110)과 호 처리 서버(120)가 위치한다. 발신 단말(110)은, 스마트폰이나 태블릿 PC, 또는 랩탑 컴퓨터 등의 VoIP 서비스를 이용할 수 있는 단말이다. 발신 단말(110)은 사용자의 조작에 따라 발신 호를 호 처리 서버(120)로 전송한다. 본 실시예에서 발신 단말(110)은 불법 호를 발신하는 범죄자가 이용하는 통화 단말이다.
호 처리 서버(120)는, VoIP(Voice over IP) 서비스를 제공하는 장비로서, 예를 들어, SIP(Session Initiation Protocol) 서버이다. SIP는 IETF에서 정의한 음성과 화상 통화 같은 멀티미디어 세션을 제어하기 위한 시그널링 프로토콜이다. 호 처리 서버(120)는, 발신 단말(110)로부터 발신 호로서 SIP INVITE 패킷을 수신할 수 있다.
호 처리 서버(120)는, 발신 단말(110)로부터 발신 호가 수신되면, 발신 호를 인터넷(130)을 통해 국내에 설치된 발신번호 변작 단말(140)로 전송한다. 이를 위해, 호 처리 서버(120)는, 발신 호의 목적지 IP 주소 및 포트 정보로서, 발신번호 변작 단말(140)의 IP 주소 및 포트 정보를 설정하고, 또한 발신 호에 발신번호와 착신번호를 설정한다. 여기서 착신번호는 국내에 위치한 피해자들의 전화번호이다. 또한 호 처리 서버(120)는, 발신 호에 호 처리 서버(120)의 고유 특성 정보(예, User agent)를 설정한다.
발신번호 변작 단말(140)은, 불법 호를 발신하는 범죄 조직이 국내에 설치한 장비로서, 인터넷(130)에 연결되고, 또한 국내에 개통된 복수의 가입자 식별 모듈, 즉 USIM을 실장하여, 국내 이동통신망(150)을 통해 호를 발신한다. 즉, 발신번호 변작 단말(140)은, USIM의 개수만큼 국내 이동통신 번호를 보유하여, 각 이동통신 번호로 호를 발신할 수 있다. 구체적으로, 발신번호 변작 단말(140)은, 상기 호 처리 서버(120)로부터 인터넷(130)을 통해 발신 호가 수신되면, 발신 호를 국내 이동통신 번호로 변작한 후 국내 이동통신망(150)을 통해 피해자들의 단말, 즉 착신 단말(160)로 전송한다.
발신번호 변작 단말(140)은, 복수의 국내 이동통신 번호를 보유하는데, 각 국내 이동통신 번호별로 ID를 매칭하여 저장 및 관리한다. 예를 들어, 010-1111-1111은 ID 1, 010-1111-1112는 ID 2와 같은 방식으로 저장 및 관리한다. 범죄 조직은, 해외에서 발신 단말(110)로 불법 호를 발신할 때, 발신번호로서 전화번호 형식이 아닌, 발신번호 변작 단말(140)에서 국내 이동통신 번호별로 매칭되어 관리되는 ID를 설정한다. 즉, 발신 단말(110)로부터 호 처리 서버(120)로, 그리고 호 처리 서버(120)에서 발신번호 변작 단말(140)로 전송되는 발신 호에는, 발신번호로서 전화번호 형식이 아닌 숫자, 문자, 특수문자 등으로 구성된 ID가 포함된다.
발신번호 변작 단말(140)은, 복수의 국내 이동통신 번호를 보유하고, 따라서 동시에 복수의 발신 호를 서로 다른 국내 이동통신 번호로 처리할 수 있다. 따라서, 범죄 조직은 여러 명의 조직원이 동시에 하나의 발신번호 변작 단말(140)을 통해 여러 피해자들의 착신 단말(160)들로 불법 호를 발생시킨다. 즉, 소정 시간 이내에 출발지 IP 주소와 목적지 IP 주소가 동일하고 착신번호가 상이한 복수의 발신 호, 예를 들어, SIP INVITE 패킷이 소정 개수 이상 다량 발생하는 것이 일반적이다.
또한, 하나의 발신번호 변작 단말(140)을 이용하여 동시에 복수의 발신 호가 처리되므로 호 처리 서버(120)로부터 발신번호 변작 단말(140)로 전송되는 발신 호의 헤더에 포함되는 커맨드시퀀스(CSeg)가 동일한 것이 일반적이다. 즉, 출발지 IP 주소와 목적지 IP 주소 그리고 커맨드시퀀스가 동일하고 착신번호가 상이한 복수의 발신 호, 예를 들어, SIP INVITE 패킷이 소정 개수 이상 다량 발생하는 것이 일반적이다.
한편, 발신번호 변작 단말(140)는, 발신 호에 대한 응답 패킷을 인터넷(130)을 통해 호 처리 서버(120)로 전송한다. 여기서 응답 패킷은, 예를 들어, SIP Response 패킷으로서, SIP 100 Trying, 180 Ringing, 183 Session Progress, 200 OK 등이다. SIP 표준 규격에 따르면, SIP INVITE 패킷에 후속하는 패킷들은, SIP INVITE 패킷과 동일한 발신번호, 착신번호, 출발지 IP 주소/포트 정보, 목적지 IP 주소/포트 정보를 포함한다. 즉, 응답 패킷에, 전화번호 형식이 아닌 숫자, 문자, 특수문자 등으로 구성된 ID가 발신번호로서 포함된다. 그리고 발신 호와 마찬가지로, 소정 시간 이내에 출발지 IP 주소와 목적지 IP 주소가 동일하고 착신번호가 상이한 복수의 응답 패킷이 소정 개수 이상 다량 발생하게 된다. 이때 다량 발생하는 응답 패킷들의 커맨드시퀀스는 동일할 수 있다.
탐지 시스템(170)은, 인터넷(130)을 통해 송수신되는 패킷의 로그 정보를 수집하고, 이상에서 설명한 불법 호의 특징을 기초로, 상기 수집된 로그 정보 중 발신 호 패킷 또는 이에 따른 응답 패킷을 분석하여 불법 호에 이용되는 발신번호 변작 단말(140)을 탐지한다. 즉, 탐지 시스템(170)은, 로그 정보를 분석하여, 다음과 같은 4가지 조건 중 적어도 하나의 조건을 만족하는 발신 호/응답 패킷의 목적지 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소로 추출한다. 탐지 시스템(170)은, 추출된 IP 주소에 대응하는 설치 위치를 확인하여, 경찰 등의 관계 기관으로 통보할 수 있다.
제1조건 : 발신번호로서 전화번호 형식이 아닌 숫자, 문자, 특수문자 등으로 구성된 ID가 포함.
제2조건 : 비정상 User agent를 포함. 예를 들어, User agent에 발신번호 변작 단말 제조사 정보 등이 포함.
제3조건 : 소정 시간 이내에 출발지/목적지 IP 주소가 동일하고 착신번호가 상이한 패킷이 소정 개수 이상 발생.
제3조건 : 출발지/목적지 IP 주소, 및 커맨드시퀀스가 동일하고 착신번호가 상이한 패킷이 소정 개수 이상 발생.
탐지 시스템(170)은, 상기 4가지 조건 중 적어도 하나의 조건을 만족하는 발신 호/응답 패킷의 목적지 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소로 결정하면서, 출발지 IP 주소를 블랙리스트로 등록한다. 출발지 IP 주소는 불법 호에 이용되는 호 처리 서버(120)의 IP 주소이기 때문이다. 범죄 조직은 발신번호 변작 단말(140)을 새로운 위치에 계속해서 설치하므로, 탐지 시스템(170)은, 블랙리스트에 등록된 IP 주소와 통신하는 IP 주소가 탐지되면, 새로운 발신번호 변작 단말(140)이 설치되었음을 알 수 있다.
불법 호에 이용되는 발신번호 변작 단말(140)은, 일반적으로 짧은 시간안에 다량의 호를 발신하고, 은행 업무 시간에만 호를 발신하는 경향이 있다. 또한 특정 착신번호로 소정 시간 이내에 다량의 호를 발신하고, 3G 통신만을 이용하기도 한다. 또한, 다량의 호를 발생시키기 때문에, 임계치 이상의 통화 시간, 요금이 발생한다. 또한, 불법 호를 받은 사용자들이 불법 호의 발신번호를 신고할 수 있다. 일 실시예에서, 탐지 시스템(170)은, 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소가 탐지되면, 상술한 통화 패턴을 참조하여 검증할 수 있다.
구체적으로, 탐지 시스템(170)은, 이동통신망(150)으로부터 통화 정보를 수집하여 위와 같은 패턴을 보이는 기지국의 위치를 확인하고, 기지국의 위치와, 탐지된 발신번호 변작 단말(140)의 IP 주소에 대응하는 물리적 설치 위치가 소정 거리 이내인 경우, 해당 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소로 확정할 수 있다. 또는 탐지 시스템(170)은, 불법 호로 신고된 발신번호의 통화 기록을 확인하여 기지국을 특정하고, 특정된 기지국의 위치와, 탐지된 발신번호 변작 단말(140)의 IP 주소에 대응하는 물리적 설치 위치를 비교하여 검증할 수 있다.
도 1을 참조하면, 탐지 시스템(170)은, 수집부(171), 추출부(172), 검증부(173) 및 블랙리스트 등록부(174)를 포함한다. 탐지 시스템(170)은, 메모리, 하나 이상의 프로세서(CPU), 주변 인터페이스, 입출력(I/O) 서브시스템, 디스플레이 장치, 입력 장치 및 통신 회로를 포함할 수 있다.
메모리는 고속 랜덤 액세스 메모리를 포함할 수 있고, 또한 하나 이상의 자기 디스크 저장 장치, 플래시 메모리 장치와 같은 불휘발성 메모리, 또는 다른 불휘발성 반도체 메모리 장치를 포함할 수 있다. 메모리는 각종 정보와 프로그램 명령어를 저장할 수 있고, 프로그램은 프로세서에 의해 실행된다.
주변 인터페이스는 입출력 주변 장치를 프로세서 및 메모리와 연결한다. 하나 이상의 프로세서는 다양한 소프트웨어 프로그램 및/또는 메모리에 저장되어 있는 명령어 세트를 실행하여 시스템을 위한 여러 기능을 수행하고 데이터를 처리한다.
I/O 서브시스템은 디스플레이 장치, 입력 장치와 같은 입출력 주변장치와 주변 인터페이스 사이에 인터페이스를 제공한다. 통신 회로는 외부 포트를 통한 통신 또는 RF 신호에 의한 통신을 수행한다. 통신 회로는 전기 신호를 RF 신호로 또는 그 반대로 변환하며 이 RF 신호를 통하여 통신 네트워크, 다른 이동형 게이트웨이 장치 및 통신 장치와 통신할 수 있다.
수집부(171), 추출부(172), 검증부(173) 및 블랙리스트 등록부(174)는, 프로그램으로 구현되어 메모리에 저장되고 적어도 하나의 프로세서에 의해 실행될 수 있고, 하드웨어와 소프트웨어의 조합으로 구현되어 동작할 수 있다.
수집부(171)는, 인터넷(130)을 통해 송수신되는 패킷의 로그 정보를 수집한다. 또한, 수집부(171)는, 이동통신망(150)으로부터 통화 정보를 수집할 수 있다. 또한, 수집부(171)는, 불법 호 신고 정보를 수집할 수 있다. 신고 정보는, 발신번호와 시간 정보를 포함할 수 있다.
추출부(172)는, 상기 수집부(171)에서 수집된 로그 정보 중 발신 호의 패킷 또는 이에 따른 응답 패킷을 분석하여, 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소와, 발신번호 변작 단말(140)과 통신하는 호 처리 서버(120)의 IP 주소를 추출한다.
추출부(172)는, 로그 정보를 분석하여, 상술한 4가지 조건 중 적어도 하나의 조건을 만족하는 발신 호/응답 패킷의 목적지 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소로 추출하고, 출발지 IP 주소를 호 처리 서버(120)의 IP 주소로 추출한다.
일 실시예에서, 추출부(172)는, 상기 4가지 조건 각각에 점수를 부여하고, IP 주소(출발지 IP 주소 및/또는 목적지 IP 주소)를 기준으로 상기 4가지 조건 중 적어도 하나의 조건을 만족하는 패킷이 있을 때, 해당 만족하는 조건의 점수를 합산하고, 합산 점수가 임계 점수 이상일 경우, 해당 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소 그리고 이와 통신하는 호 처리 서버(120)의 IP 주소로 결정할 수 있다.
추출부(172)는, 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소에 대응하는 설치 위치를 확인하여, 경찰 등의 관계 기관으로 통보할 수 있다. 발신번호 변작 단말(140)은, 인터넷(130)에 연결되어야 하므로, 인터넷 청약 정보가 인터넷 사업자에 저장되어 있고, 인터넷 청약 정보에는 설치 위치(예, 주소)가 기록되어 있다. 추출부(172)는, 인터넷 청약 정보에서 설치 위치를 확인할 수 있다.
검증부(173)는, 상기 수집부(171)에서 수집된 통화 정보를 분석하여, 불법 호의 패턴을 보이는 기지국의 위치를 확인하고, 그 기지국의 위치와, 상기 추출부(172)에서 추출된 발신번호 변작 단말(140)의 IP 주소에 대응하는 물리적 설치 위치를 비교하여, 소정 거리 이내인 경우, 해당 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소로 확정할 수 있다.
또는, 검증부(173)는, 불법 호로 신고된 발신번호의 통화 기록을 확인하여 기지국을 특정하고, 특정된 기지국의 위치와, 상기 추출부(172)에서 추출된 발신번호 변작 단말(140)의 IP 주소에 대응하는 물리적 설치 위치를 비교하여, 소정 거리 이내인 경우, 해당 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소로 확정할 수 있다.
블랙리스트 등록부(174)는, 상기 추출부(172)에서 추출된, 또는 상기 검증부(173)에서 불법 호에 이용되는 것으로 검증된 발신번호 변작 단말(140)과 통신하는 호 처리 서버(120)의 IP 주소를 블랙리스트로 등록한다. 블랙리스트에 등록된 호 처리 서버(120)의 IP 주소는, 상기 추출부(172)에서 참조된다. 상기 추출부(172)는, 블랙리스트에 등록된 IP 주소와 통신하는 IP 주소가 탐지되면, 새로운 발신번호 변작 단말(140)이 설치된 것으로 판단할 수 있다.
도 2는 본 발명의 일 실시예에 따른 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 방법을 설명하는 흐름도이다.
도 2를 참조하면, 단계 S201에서, 탐지 시스템(170)은, 인터넷(130)을 통해 송수신되는 패킷의 로그 정보를 수집한다. 단계 S202에서, 탐지 시스템(170)은, 수집된 로그 정보의 패킷이 발신 호 또는 이에 따른 응답 패킷인지 확인한다.
발신 호 또는 이에 따른 응답 패킷인 경우, 단계 S203에서, 탐지 시스템(170)은, 해당 패킷에 포함된 발신번호가 전화번호 형식이 아닌 숫자, 문자, 특수문자 등으로 구성된 ID인지 확인한다.
발신번호가 전화번호 형식인 경우, 단계 S204에서, 탐지 시스템(170)은, 해당 패킷에 포함된 User agent가 비정상인지 확인한다. User agent가 정상인 경우, 단계 S205에서, 탐지 시스템(170)은, 출발지/목적지 IP 주소가 동일하고 착신번호가 상이한 패킷이 소정 개수 이상 발생하였는지 확인한다.
출발지/목적지 IP 주소가 동일하고 착신번호가 상이한 패킷이 소정 개수 이상 발생한 경우, 단계 S206에서, 탐지 시스템(170)은, 그 패킷들이 소정 시간 이내에 발생하였는지 확인한다. 소정 시간 이내에 발생하지 않은 경우, 단계 S207에서, 탐지 시스템(170)은, 해당 패킷들의 커맨드시퀀스가 동일한지 확인한다.
상기 단계 S203에서 발신번호가 전화번호 형식이 아닌 경우, 또는 상기 단계 S204에서 User agent가 비정상인 경우, 또는 상기 단계 S206에서 확인한 결과, 소정 시간 이내에 출발지/목적지 IP 주소가 동일하고 착신번호가 상이한 패킷이 소정 개수 이상 발생한 경우, 또는 상기 단계 S207에서 확인한 결과, 출발지/목적지 IP 주소 및 커맨드시퀀스가 동일하고 착신번호가 상이한 패킷이 소정 개수 이상 발생한 경우, 단계 S208에서, 탐지 시스템(170)은, 해당 패킷에 포함된 목적지 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소로 결정한다.
도 3은 도 2에서 추출된 발신번호 변작 단말의 IP 주소를 검증하는 방법을 설명하는 흐름도이다.
도 3을 참조하면, 단계 S301에서, 탐지 시스템(170)은, 이동통신망(150)으로부터 통화 정보를 수집한다. 단계 S302에서, 탐지 시스템(170)은, 불법 호의 통화 패턴 보이는 기지국의 위치를 확인한다.
단계 S303에서, 탐지 시스템(170)은, 도 2에서 추출된 발신번호 변작 단말(140)의 IP 주소에 대응하는 물리적 위치와, 상기 단계 S302에서 확인한 기지국의 위치를 비교하여, 소정 거리 이내인지 확인한다.
소정 거리 이내인 경우, 단계 S304에서, 탐지 시스템(170)은, 상기 발신번호 변작 단말(140)의 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소로 확정한다.
도 4는 본 발명의 다른 실시예에 따른 불법 호 환경 및 탐지 시스템을 나타낸 도면이다. 발신번호 변작 단말(140)은, 복수의 가입자 식별 모듈, 즉 USIM을 실장하여, 국내 이동통신망(150)을 통해 호를 발신한다. 복수의 USIM은 물리적인 형태일 수도 있지만, 소프트웨어 형태로 발신번호 변작 단말(140)에 설치될 수 있다. 범죄 조직은 해외에어 이러한 발신번호 변작 단말(140)의 복수의 USIM을 제어하여, USIM을 등록하거나 갱신하거나 해제할 수 있다. 이를 위해, 도 4에 도시된 바와 같이, 해외에는 SIM(Subscriber Identity Module) 제어 서버(410)와 변작 단말 관리 서버(420)가 설치된다.
SIM 제어 서버(410)는, 발신번호 변작 단말(140)에 설치된 USIM을 등록, 갱신, 해제하기 위한 패킷을 발신번호 변작 단말(140)과 송수신한다. SIM 제어 서버(410)는 전용 프로토콜로 통신을 하고, {Key:Vaules)의 딕셔너리 형식으로 데이터 통신을 한다.
또한, SIM 제어 서버(410)는, 발신번호 변작 단말(140)로부터 발신 호 정보를 수신한다. 발신 호 정보는 호 처리 서버(120)에서 발신번호 변작 단말(140)로 전송한 발신 호에 포함된 전화번호 형식이 아닌 ID 형식의 발신번호와, 착신번호, IMEI(International Mobile Equipment Identity), IMSI(International Mobile Station Identity)를 포함한다. 특히, 발신번호 변작 단말(140)에는 복수의 USIM이 설치되므로, 복수의 IMSI가 포함된다.
따라서, 탐지 시스템(170)의 수집부(170)에서 패킷의 로그 정보가 수집되면, 추출부(172)는, 딕셔너리 형식의 데이터로서, USIM 등록/갱신/해제, 그리고 상기 발신 호 정보를 포함하는 패킷에서, SIM 제어 서버(410) 및 발신번호 변작 단말(140)의 IP 주소를 추출하고, 블랙리스트 등록부(174)는 추출된 SIM 제어 서버(410)의 IP 주소를 블랙리스트에 등록한다.
변작 단말 관리 서버(420)는, 발신번호 변작 단말(140)과 통신하여 발신번호 변작 단말(140)로부터 발신 호 정보를 수신한다. SIM 제어 서버(140)와 마찬가지로, 변작 단말 관리 서버(420)는, 발신번호 변작 단말(140)로부터 딕셔너리 형식의 발신 호 정보를 수신하고, 발신 호 정보는 호 처리 서버(120)에서 발신번호 변작 단말(140)로 전송한 발신 호에 포함된 전화번호 형식이 아닌 ID 형식의 발신번호와, 착신번호, IMEI(International Mobile Equipment Identity), IMSI(International Mobile Station Identity)를 포함한다. 특히, 발신번호 변작 단말(140)에는 복수의 USIM이 설치되므로, 복수의 IMSI가 포함된다.
따라서, 탐지 시스템(170)의 수집부(170)에서 패킷의 로그 정보가 수집되면, 추출부(172)는, 딕셔너리 형식의 데이터로서 상기 발신 호 정보를 포함하는 패킷에서, 변작 단말 관리 서버(420) 및 발신번호 변작 단말(140)의 IP 주소를 추출하고, 블랙리스트 등록부(174)는 추출된 변작 단말 관리 서버(420)의 IP 주소를 블랙리스트에 등록한다.
탐지 시스템(170)의 검증부(173)는, 도 1을 참조하여 설명한 바와 같이, SIM 제어 서버(410)와의 통신 패킷, 변작 단말 관리 서버(420)와의 통신 패킷을 통해 추출된 발신번호 변작 단말(140)의 IP 주소에 대해 검증할 수 있다.
도 5는 본 발명의 다른 실시예에 따른 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 방법을 설명하는 흐름도이다.
도 5를 참조하면, 단계 S501에서, 탐지 시스템(170)은, 인터넷(130)을 통해 송수신되는 패킷의 로그 정보를 수집한다. 단계 S502에서, 탐지 시스템(170)은, 수집된 로그 정보의 패킷이 딕셔너리 형식의 데이터를 포함하는 패킷인지 확인한다.
딕셔너리 형식의 데이터를 포함하는 패킷인 경우, 단계 S503에서, 탐지 시스템(170)은, 해당 패킷에 발신 호 정보를 포함하는지 확인한다. 탐지 시스템(170)은, 전화번호 형식이 아닌 ID 형식의 발신번호와, 착신번호, IMEI(International Mobile Equipment Identity), IMSI(International Mobile Station Identity)를 포함하는지를 확인함으로서, 발신 호 정보 포함 여부를 판단할 수 있다.
발신 호 정보를 포함하지 않은 경우, 단계 S504에서, 탐지 시스템(170)은, 해당 패킷이 SIM 등록 또는 갱신 또는 해제에 관한 패킷인지 확인한다.
발신 호 정보를 포함하거나, SIM 등록/갱신/해제에 관한 패킷인 경우, 단계 S505에서, 탐지 시스템(170)은, 해당 패킷의 로그 정보에서, 출발지 IP 주소 또는 목적지 IP 주소를 발신번호 변작 단말(140)의 IP 주소로 결정한다. 패킷이 해외로 송신되는 패킷인 경우, 출발지 IP 주소를, 패킷이 국내로 송신되는 패킷인 경우 목적지 IP 주소를, 발신번호 변작 단말(140)의 IP 주소로 결정할 수 있다.
도 5에 도시하지 않았지만, 탐지 시스템(170)은, SIM 관리 서버(410)의 IP 주소를 블랙리스트에 등록한다.
도 5는 SIM 관리 서버(410)와의 통신 패킷을 탐지하여 발신번호 변작 단말(140)의 IP 주소를 추출하는 예이고, 변작 단말 관리 서버(420)와의 통신 패킷을 탐지하여 발신번호 변작 단말(140)의 IP 주소를 추출하는 것도 도 5와 크게 다르지 않다. SIM 등록/갱신/해제의 판단만 제외하고 나머지 과정은 동일하다.
도 6은 본 발명의 또 다른 실시예에 따른 불법 호 환경 및 탐지 시스템을 나타낸 도면이다. 도 6에 도시된 환경은 도 4에 도시된 환경과 비교하여, 제조사 서버(610)를 더 포함한다. 도 4를 참조하여 설명한 SIM 제어 서버(410) 및 변작 단말 관리 서버(420)는 범죄 조직이 설치하여 운용하는 반면, 제조사 서버(610)는 범죄 조직이 운용하지 않고, 발신번호 변작 단말(140)을 제조하는 제조사에서 운용한다.
발신번호 변작 단말(140)은, 제조사 서버(610)로 단말의 로그 파일, 상태 변경 정보를 전송하여 공유한다. 이러한 동작은 범죄 조직과는 무관하게 이루어진다. 여기서 상태 변경은, 예를 들어, 할당 IP 주소의 변경 등을 포함하고, 로그 파일은 단말 로그인 기록, 시스템 로그 등을 포함한다.
따라서, 발신번호 변작 단말(140)과 제조사 서버(610) 간의 통신하는 패킷을 탐지함으로서, 발신번호 변작 단말(140)임을 확인할 수 있다. 다만, 불법 호에 이용되지 않는 발신번호 변작 단말(140)이 있을 수 있으므로, 제조사 서버(610)와의 통신 패킷을 통해 발신번호 변작 단말(140)이 탐지되더라도, 불법 호에 이용되는 단말로 확정할 수는 없고, 도 2 또는 도 5를 참조하여 설명한 실시예에서 추출된 발신번호 변작 단말(140)의 IP 주소를 검증하는 용도로 활용할 수 있다.
탐지 시스템(170)의 추출부(172)는 수집된 패킷의 로그 정보에서 제조사 서버(610)와 통신하는 패킷을 확인하고 해당 패킷에서 발신번호 변작 단말(140)의 IP 주소를 추출한다. 그리고 검증부(173)는 그 추출된 IP 주소와, 발신 호 또는 이에 따른 응답 패킷을 통해 추출된 IP 주소 또는 SIM 제어 서버(410)/변작 단말 관리 서버(420)와의 통신 패킷을 통해 추출된 IP 주소를 비교하여, 일치할 경우에, 발신 호 또는 이에 따른 응답 패킷을 통해 추출된 IP 주소 또는 SIM 제어 서버(410)/변작 단말 관리 서버(420)와의 통신 패킷을 통해 추출된 IP 주소를 발신번호 변작 단말(140)의 IP 주소로 확정할 수 있다.
한편, 발신번호 변작 단말(140)은, 제조사 서버(610)와 통신을 하기 위해, DNS 서버(620)로 도메인 질의 패킷을 전송한다. 따라서, 탐지 시스템(170)의 수집부(170)는, 도메인 질의 패킷의 로그 정보를 수집하고, 추출부(172)는 수집된 도메인 질의 패킷의 로그 정보 중 제조사 서버(610)에 대한 도메인 질의 패킷의 로그 정보에서 발신번호 변작 단말(140)의 IP 주소를 추출할 수 있고, 검증부(173)는 이를 이용하여 발신 호 또는 이에 따른 응답 패킷을 통해 추출된 IP 주소 또는 SIM 제어 서버(410)/변작 단말 관리 서버(420)와의 통신 패킷을 통해 추출된 IP 주소를 검증할 수 있다.
도 7은 도 2 또는 도 5에서 추출된 발신번호 변작 단말의 IP 주소를 검증하는 다른 방법을 설명하는 흐름도이다.
도 7을 참조하면, 단계 S701에서, 탐지 시스템(170)은, 인터넷(130)으로부터 패킷의 로그 정보를 수집한다. 단계 S702에서, 탐지 시스템(170)은, 도 2 또는 도 5에서 추출된 발신번호 변작 단말(140)로 의심되는 IP 주소로부터 제조사 서버(610)로 전송되는 패킷이 있는지 확인한다.
제조사 서버(610)로 전송되는 패킷이 있는 경우, 단계 S703에서, 탐지 시스템(170)은, 도 2 또는 도 5에서 추출된 발신번호 변작 단말(140)로 의심되는 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소로 확정한다.
도 7은 제조사 서버(610)와 직접 송수신하는 패킷을 통해 IP 주소를 검증하는 방법이다. 다른 실시예로서, 탐지 시스템(170)은, 제조사 서버(610)에 대한 도메인 질의 패킷의 로그 정보를 수집하고 해당 로그 정보에서 발신번호 변작 단말(140)의 IP 주소를 추출하고, 그 IP 주소가 도 2 또는 도 5에서 추출된 발신번호 변작 단말(140)로 의심되는 IP 주소와 동일할 경우, 도 2 또는 도 5에서 추출된 발신번호 변작 단말(140)로 의심되는 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소로 확정할 수 있다.
앞서 설명한 바와 같이, 호 처리 서버(120)의 IP 주소, SIM 제어 서버(410)의 IP 주소, 그리고 변작 단말 관리 서버(420)의 IP 주소는 블랙리스트에 등록될 수 있다. 호 처리 서버(120), SIM 제어 서버(410) 및 변작 단말 관리 서버(420)는 그대로 있는 상태에서, 범죄 조직은 발신번호 변작 단말(140)을 국내에 새로 설치할 수 있다. 따라서, 탐지 시스템(170)은, 블랙리스트에 등록된 IP 주소와 직접 통신하는 패킷에서 발신번호 변작 단말(140)의 IP 주소를 추출할 수 있고, 또는 블랙리스트에 등록된 IP 주소를 질의하는 도메인 질의 패킷에서 발신번호 변작 단말(140)의 IP 주소를 추출할 수 있다. 이하의 도 8을 참조하여 설명하는 실시예는 도메인 질의 패킷을 이용하는 방법을 설명한다.
도 8은 본 발명의 또 다른 실시예에 따른 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 방법을 설명하는 흐름도이다.
도 8을 참조하면, 단계 S801에서, 탐지 시스템(170)은, DNS 서버(620)로부터 도메인 질의 패킷의 로그 정보를 수집한다. 단계 S802에서, 탐지 시스템(170)은, 블랙리스트에 등록된 IP 주소에 대한 도메인 질의 패킷이 있는지 확인한다. 블랙리스트에 등록된 IP 주소에 대한 도메인 질의 패킷이 있는 경우, 단계 S803에서, 탐지 시스템(170)은, 해당 도메인 질의 패킷을 전송한 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소로 결정한다.
블랙리스트를 이용하여 발신번호 변작 단말(140)의 IP 주소를 탐지하는데 있어서 오류가 있을 수 있다. 불법 호에 이용되는 발신번호 변작 단말(140)이 아닌, 정상적인 단말에서 오류로 블랙리스트에 등록된 IP 주소로 패킷을 전송하거나 도메인 질의를 할 수 있다. 따라서, 이러한 오류를 방지하기 위해, 탐지 시스템(170)의 검증부(173)는 블랙리스트에 등록된 IP 주소로 패킷을 전송하거나 도메인 질의를 하는 IP 주소와, 블랙리스트에 등록된 IP 주소 간의 넷플로우를 분석하여, TCP 또는 UDP 통신 횟수가 초당 소정 횟수 이상(예, 100회)인 IP 주소를 발신번호 변작 단말(140)의 IP 주소로 확정할 수 있다.
일 실시예에서, 블랙리스트를 이용하여 발신번호 변작 단말(140)의 IP 주소를 탐지하는데 있어서, 탐지 시스템(170)을 전용의 우회 경로에 설치하고, 블랙리스트에 등록된 IP 주소를 인터넷(130)에 연결된 경계 라우터에 설정하여, 블랙리스트에 등록된 IP 주소로 향하는 패킷들을 상기 우회 경로에 설치된 탐지 시스템(170)을 경유하도록 함으로서, 효율적으로 불법 호에 이용되는 발신번호 변작 단말(140)을 탐지할 수 있다. 즉, 모든 패킷을 분석하지 않고, 블랙리스트에 등록된 IP 주소로 향하는 패킷만을 분석함으로써, 빠르고 정확하게 불법 호에 이용되는 발신번호 변작 단말(140)을 탐지할 수 있다.
이상의 실시예들에서, 발신번호 변작 단말(140)의 IP 주소를 추출하는 여러 조건을 설명하였다. 일 실시예에서, 추출부(172)는, 상술한 여러 조건 각각에 점수를 부여하고, IP 주소(출발지 IP 주소 및/또는 목적지 IP 주소)를 기준으로 적어도 하나의 조건을 만족하는 패킷이 있을 때, 해당 만족하는 조건의 점수를 합산하고, 합산 점수가 임계 점수 이상일 경우에, 해당 IP 주소를 불법 호에 이용되는 발신번호 변작 단말(140)의 IP 주소로 결정할 수 있다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
110 : 발신 단말
120 : 호 처리 서버
130 : 인터넷
140 : 발신번호 변작 단말
150 : 이동통신망
160 : 착신 단말
170 : 탐지 시스템
171 : 수집부
172 : 추출부
173 : 검증부
174 : 블랙리스트 등록부
410 : SIM 제어 서버
420 : 변작 단말 관리 서버
610 : 제조사 서버
120 : 호 처리 서버
130 : 인터넷
140 : 발신번호 변작 단말
150 : 이동통신망
160 : 착신 단말
170 : 탐지 시스템
171 : 수집부
172 : 추출부
173 : 검증부
174 : 블랙리스트 등록부
410 : SIM 제어 서버
420 : 변작 단말 관리 서버
610 : 제조사 서버
Claims (27)
- 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 탐지 시스템에 있어서,
인터넷에서 송수신되는 패킷의 로그 정보를 수집하는 수집부; 및
상기 수집된 로그 정보를 분석하여, 소정 시간 이내에 출발지/목적지 IP 주소가 동일하고 착신번호가 상이한 소정 개수 이상의 발신 호 또는 이에 따른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 추출부를 포함하는 탐지 시스템. - 제1항에 있어서,
상기 추출부는,
출발지/목적지 IP 주소 및 커맨드시퀀스가 동일하고 착신번호가 상이한 소정 개수 이상의 발신 호 또는 이에 따른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 것을 특징으로 하는 탐지 시스템. - 제1항에 있어서,
상기 추출부는,
전화번호 형식이 아닌 발신번호를 포함하는 발신 호 또는 이에 따른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 것을 특징으로 하는 탐지 시스템. - 제1항에 있어서,
상기 추출부는,
비정상 User agent를 포함하는 발신 호 또는 이에 다른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 것을 특징으로 하는 탐지 시스템. - 제1항에 있어서,
상기 추출부는,
SIM(Subscriber Identity Module) 제어 서버와 통신하는 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 것을 특징으로 하는 탐지 시스템. - 제5항에 있어서,
상기 추출부는,
딕셔너리 형식의 데이터로서, SIM 등록, 갱신 또는 해제에 관한 데이터와, 발신 호 정보를 포함하는 패킷을, 상기 SIM 제어 서버와 통신하는 패킷으로 판단하는 것을 특징으로 하는 탐지 시스템. - 제1항에 있어서,
상기 추출부는,
변작 단말 관리 서버와 통신하는 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 것을 특징으로 하는 탐지 시스템. - 제7항에 있어서,
상기 추출부는,
딕셔너리 형식의 데이터로서, 발신 호 정보를 포함하고, 그 발신 호의 정보는 복수의 IMSI(International Mobile Station Identity)를 포함하는 패킷을, 상기 변작 단말 관리 서버와 통신하는 패킷으로 판단하는 것을 특징으로 하는 탐지 시스템. - 제1항 내지 제8항 중 어느 한 항에 있어서,
상기 수집부는, 이동통신망으로부터 통화 정보를 더 수집하고,
상기 탐지 시스템은,
상기 통화 정보로부터 불법 호 패턴을 보이는 기지국의 위치를 확인하고, 그 기지국의 위치와, 상기 추출된 IP 주소의 물리적 위치를 비교하여 상기 추출된 IP 주소를 검증하는 검증부를 더 포함하는 것을 특징으로 하는 탐지 시스템. - 제9항에 있어서,
상기 검증부는,
상기 기지국의 위치와 상기 추출된 IP 주소의 물리적 위치가 소정 거리 이내인지 확인하는 것을 특징으로 하는 탐지 시스템. - 제1항 내지 제8항 중 어느 한 항에 있어서,
상기 추출부는,
상기 수집된 로그 정보를 분석하여, 제조사 서버와 통신하기 위한 패킷에서 IP 주소를 추출하고,
상기 탐지 시스템은,
상기 추출된 발신번호 변작 단말의 IP 주소와 상기 제조사 서버와 통신하는 패킷에서 추출한 IP 주소가 일치하는지 검증하는 검증부를 더 포함하는 것을 특징으로 하는 탐지 시스템. - 제11항에 있어서,
상기 제조사 서버와 통신하기 위한 패킷은,
도메인 질의 패킷인 것을 특징으로 하는 탐지 시스템. - 제1항에 있어서,
상기 추출부는,
상기 추출된 발신번호 변작 단말의 IP 주소와 통신하는 상대 IP 주소를 추출하고,
상기 탐지 시스템은,
상기 상대 IP 주소를 블랙리스트에 등록하는 블랙리스트 등록부를 더 포함하는 것을 특징으로 하는 탐지 시스템. - 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 방법에 있어서,
인터넷에서 송수신되는 패킷의 로그 정보를 수집하는 단계; 및
상기 수집된 로그 정보를 분석하여, 소정 시간 이내에 출발지/목적지 IP 주소가 동일하고 착신번호가 상이한 소정 개수 이상의 발신 호 또는 이에 따른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 단계를 포함하는 방법. - 제14항에 있어서,
상기 수집된 로그 정보를 분석하여, 출발지/목적지 IP 주소 및 커맨드시퀀스가 동일하고 착신번호가 상이한 소정 개수 이상의 발신 호 또는 이에 따른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 단계를 더 포함하는 것을 특징으로 하는 방법. - 제14항에 있어서,
상기 수집된 로그 정보를 분석하여, 전화번호 형식이 아닌 발신번호를 포함하는 발신 호 또는 이에 따른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 단계를 더 포함하는 것을 특징으로 하는 방법. - 제14항에 있어서,
상기 수집된 로그 정보를 분석하여, 비정상 User agent를 포함하는 발신 호 또는 이에 다른 응답 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 단계를 더 포함하는 것을 특징으로 하는 방법. - 제14항에 있어서,
상기 수집된 로그 정보를 분석하여, SIM(Subscriber Identity Module) 제어 서버와 통신하는 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 단계를 더 포함하는 것을 특징으로 하는 방법. - 제18항에 있어서,
상기 SIM 제어 서버와 통신하는 패킷은,
딕셔너리 형식의 데이터로서, SIM 등록, 갱신 또는 해제에 관한 데이터와, 발신 호 정보를 포함하는 것을 특징으로 하는 방법. - 제14항에 있어서,
상기 수집된 로그 정보를 분석하여, 변작 단말 관리 서버와 통신하는 패킷에서 상기 발신번호 변작 단말의 IP 주소를 추출하는 단계를 더 포함하는 것을 특징으로 하는 방법. - 제20항에 있어서,
상기 변작 단말 관리 서버와 통신하는 패킷은,
딕셔너리 형식의 데이터로서, 발신 호 정보를 포함하고, 그 발신 호의 정보는 복수의 IMSI(International Mobile Station Identity)를 포함하는 패킷인 것을 특징으로 하는 방법. - 제14항 내지 제21항 중 어느 한 항에 있어서,
이동통신망으로부터 통화 정보를 수집하는 단계; 및
상기 통화 정보로부터 불법 호 패턴을 보이는 기지국의 위치를 확인하고, 그 기지국의 위치와, 상기 추출된 IP 주소의 물리적 위치를 비교하여 상기 추출된 IP 주소를 검증하는 단계를 더 포함하는 것을 특징으로 하는 방법. - 제22에 있어서,
상기 검증하는 단계는,
상기 기지국의 위치와 상기 추출된 IP 주소의 물리적 위치가 소정 거리 이내인지 확인하는 것을 특징으로 하는 방법. - 제14항 내지 제21항 중 어느 한 항에 있어서,
상기 수집된 로그 정보를 분석하여, 제조사 서버와 통신하기 위한 패킷에서 IP 주소를 추출하는 단계; 및
상기 추출된 발신번호 변작 단말의 IP 주소와 상기 제조사 서버와 통신하는 패킷에서 추출한 IP 주소가 일치하는지 검증하는 단계를 더 포함하는 것을 특징으로 하는 방법. - 제24항에 있어서,
상기 제조사 서버와 통신하기 위한 패킷은,
도메인 질의 패킷인 것을 특징으로 하는 방법. - 제14항에 있어서,
상기 추출된 발신번호 변작 단말의 IP 주소와 통신하는 상대 IP 주소를 추출하는 단계; 및
상기 상대 IP 주소를 블랙리스트에 등록하는 단계를 더 포함하는 것을 특징으로 하는 방법. - 불법 호에 이용되는 발신번호 변작 단말을 탐지하는 탐지 시스템에 있어서,
인터넷에서 송수신되는 패킷의 로그 정보를 수집하는 수집부; 및
상기 수집된 로그 정보를 분석하여, IP 주소를 기준으로 소정 조건을 만족하는 패킷들에 각 조건에 대응하는 점수를 부여하여 합산하고, 합산 점수가 임계 점수 이상인 경우, 해당 IP 주소를 상기 발신번호 변작 단말의 IP 주소를 추출하는 추출부를 포함하며,
상기 소정 조건은,
출발지/목적지 IP 주소가 동일하고, 착신번호 및 커맨드시퀀스가 상이한 조건; 출발지/목적지 IP 주소 및 커맨드시퀀스가 동일하고, 착신번호가 상이한 조건; 전화번호 형식이 아닌 발신번호를 포함하는 조건; 비정상 User agent를 포함하는 조건; SIM(Subscriber Identity Module) 제어 서버와 통신하는 조건; 및 변작 단말 관리 서버와 통신하는 조건을 포함하는 탐지 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210134417A KR20230050977A (ko) | 2021-10-08 | 2021-10-08 | 불법 호에 이용되는 발신번호 변작 단말을 탐지하기 위한 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210134417A KR20230050977A (ko) | 2021-10-08 | 2021-10-08 | 불법 호에 이용되는 발신번호 변작 단말을 탐지하기 위한 시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20230050977A true KR20230050977A (ko) | 2023-04-17 |
Family
ID=86128147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210134417A KR20230050977A (ko) | 2021-10-08 | 2021-10-08 | 불법 호에 이용되는 발신번호 변작 단말을 탐지하기 위한 시스템 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20230050977A (ko) |
-
2021
- 2021-10-08 KR KR1020210134417A patent/KR20230050977A/ko unknown
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9264539B2 (en) | Authentication method and system for screening network caller ID spoofs and malicious phone calls | |
| Mustafa et al. | You can call but you can't hide: detecting caller id spoofing attacks | |
| Mustafa et al. | End-to-end detection of caller ID spoofing attacks | |
| US20120099711A1 (en) | Telecommunication fraud prevention system and method | |
| US20210314434A1 (en) | Active Call Verification to Prevent Falsified Caller Information | |
| CN107872588B (zh) | 呼叫处理方法、相关装置及系统 | |
| KR101945782B1 (ko) | 인터넷 전화 불법 피싱호 차단 서비스 제공 방법 및 장치 | |
| GB2517276A (en) | Detecting porting or redirection of a mobile telephone number | |
| Puzankov | Stealthy SS7 attacks | |
| US9769670B2 (en) | Monitoring of signalling traffic | |
| JP2016158157A (ja) | 呼制御装置、呼制御方法、及び、呼制御システム | |
| KR20230050977A (ko) | 불법 호에 이용되는 발신번호 변작 단말을 탐지하기 위한 시스템 및 방법 | |
| KR101618730B1 (ko) | 패턴 매칭을 이용한 불법 인터넷 국제 발신호 차단 장치 및 불법 인터넷 국제 발신호 차단 방법 | |
| CN101505478A (zh) | 一种过滤报文的方法、装置和系统 | |
| KR101571100B1 (ko) | 패턴 분석을 통한 불법 발신호 탐지 장치 및 불법 발신호 탐지 방법 | |
| KR20230106985A (ko) | 불법 통신장비 탐지 장치 및 방법 | |
| KR101379779B1 (ko) | 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법 | |
| Wang et al. | Spoofing against spoofing: Toward caller ID verification in heterogeneous telecommunication systems | |
| CN112040068B (zh) | 虚假国际号码识别方法、装置、设备及可读存储介质 | |
| KR101022787B1 (ko) | 차세대 네트워크 보안 관리 시스템 및 그 방법 | |
| KR20090129179A (ko) | 보이스 피싱 예방 시스템 및 그 방법 | |
| KR100991364B1 (ko) | 미디어 정보를 이용한 감청 방법 및 장치 | |
| WO2015163563A1 (ko) | 패턴 매칭을 이용한 불법 인터넷 국제 발신호 차단 장치 및 불법 인터넷 국제 발신호 차단 방법 | |
| US10291772B2 (en) | Telephony communications system for detecting abuse in a public telephone network | |
| Lema et al. | Security Enhancement of SIP Protocol in VoIP Communication |