KR20240041603A - 보이스 피싱 번호 탐지 장치 및 동작 방법 - Google Patents
보이스 피싱 번호 탐지 장치 및 동작 방법 Download PDFInfo
- Publication number
- KR20240041603A KR20240041603A KR1020220120807A KR20220120807A KR20240041603A KR 20240041603 A KR20240041603 A KR 20240041603A KR 1020220120807 A KR1020220120807 A KR 1020220120807A KR 20220120807 A KR20220120807 A KR 20220120807A KR 20240041603 A KR20240041603 A KR 20240041603A
- Authority
- KR
- South Korea
- Prior art keywords
- call
- text
- voice phishing
- phone
- numbers
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000001514 detection method Methods 0.000 claims abstract description 54
- 230000008520 organization Effects 0.000 claims abstract description 42
- 230000001186 cumulative effect Effects 0.000 claims description 10
- 206010002953 Aphonia Diseases 0.000 abstract 1
- 239000000284 extract Substances 0.000 description 20
- 238000012790 confirmation Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 14
- 230000009471 action Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 238000013480 data collection Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 238000011017 operating method Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000009365 direct transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000009349 indirect transmission Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/22—Arrangements for supervision, monitoring or testing
- H04M3/2281—Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2203/00—Aspects of automatic or semi-automatic exchanges
- H04M2203/60—Aspects of automatic or semi-automatic exchanges related to security aspects in telephonic communication systems
- H04M2203/6027—Fraud preventions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Computer Networks & Wireless Communication (AREA)
- Telephonic Communication Services (AREA)
Abstract
적어도 하나의 프로세서에 의해 동작하는 보이스 피싱 번호 탐지 장치의 동작 방법으로서, 기 신고된 미끼문자 발신번호들을 기초로 복수의 잠재 피해 전화번호들을 획득한다. 발신된 문자의 수신번호가 잠재 피해 전화번호들 중 하나이면, 발신된 문자의 발신번호 또는 문자에 포함된 착신 전환번호가 기관 사칭 전화번호인지 판단한다. 발신번호 또는 착신 전환번호가 기관 사칭 전화번호이면, 문자를 수신자에게 전송하기 전에 문자의 발신번호로 통화 연결을 요청하고, 통화가 연결되면 상대방 통화 음성을 분석한 결과를 토대로 보이스 피싱 여부를 판단하여 문자를 폐기한다.
Description
본 발명은 유무선 통신망에서 문자와 전화 서비스를 제공하는 회선의 서비스 구성 정보 및 트래픽 정보를 이용하여 보이스 피싱 피해 발생 전에 잠재 보이스피싱 번호를 획득하는, 보이스 피싱 번호 탐지 장치 및 동작 방법에 관한 것이다.
보이스 피싱(Voice Phishing)은 전화를 통해 관련 기관을 사칭하여, 개인 정보를 빼내거나 송금을 유도하는 사기 수법을 말한다. 보이스 피싱이 사회 문제로 대두되고 수법이 알려짐에 따라 사람들도 보이스 피싱의 위험성을 인식하고는 있다.
그러나, 보이스 피싱 수법도 교묘하게 진화하고 있어, 최근에도 계속적으로 피해 사례가 보고되고 있는 실정이다. 따라서, 사람들은 점점 모르는 번호로 전화가 걸려오면 받기를 주저하게 되고, 심지어 주소록에 등록되지 않은 사람에게서 온 전화는 전혀 받지 않는 사람들도 상당히 늘어나고 있는 추세다.
보이스 피싱을 방지하기 위한 종래의 기술로, 통신 사업자 망에 보이스 피싱에 사용된 전화번호를 저장해 두고 통화를 원천적으로 차단하거나 착신 단말로 알려주는 서비스가 있다. 그러나, 보이스 피싱을 시도하는 발신자 단말에서 발신번호를 달리하여 전화하는 경우, 이에 대한 대처 방법이 없다.
또한, 최근에는 문자를 이용하는 방법으로 보이스 피싱 방법이 진화하여, 고객으로 하여금 문자에 포함된 전화번호로 발신하도록 유도하는 미끼문자가 급증하고 있다. 미끼문자는 고액 결제를 사용자에게 통보하고 문제가 있으면 전화하라고 안내하거나 대출 등을 안내하고, 수신 거부를 하려면 전화하라고 안내하는 방식 등을 통해 보이스 피싱을 시도하고 있다. 이러한 미끼문자는 수신을 막을 방법이 없는 실정이다.
따라서, 본 발명은 후보 보이스 피싱 미끼문자가 미리 설정된 의심 조건을 충족하는지 판단하고, 의심 조건을 충족하면 미끼문자로의 통화 연결을 차단하고, 후보 보이스 피싱 미끼문자를 발신한 전화번호를 이용 정지시키는 보이스 피싱 번호 탐지 장치 및 동작 방법을 제공한다.
상기 본 발명의 기술적 과제를 달성하기 위한 본 발명의 하나의 특징인 적어도 하나의 프로세서에 의해 동작하는 보이스 피싱 번호 탐지 장치의 동작 방법으로서,
기 신고된 미끼문자 발신번호들을 기초로 복수의 잠재 피해 전화번호들을 획득하는 단계, 발신된 문자의 수신번호가 상기 잠재 피해 전화번호들 중 하나이면, 상기 발신된 문자의 발신번호 또는 상기 문자에 포함된 착신 전환번호가 기관 사칭 전화번호인지 판단하는 단계, 그리고 상기 발신번호 또는 착신 전환번호가 기관 사칭 전화번호이면, 상기 문자를 수신자에게 전송하기 전에 상기 문자의 발신번호로 통화 연결을 요청하는 단계, 통화가 연결되면, 상대방 통화 음성을 분석한 결과를 토대로 보이스 피싱 여부를 판단하는 단계, 그리고 보이스 피싱으로 판단되면, 상기 문자를 폐기하는 단계를 포함한다.
상기 잠재 피해 전화번호들을 획득하는 단계는, 상기 기 신고된 미끼문자 발신번호들이 수신번호인 제1 통화기록들을 추출하는 단계, 추출한 제1 통화기록들 중 미리 설정된 통화시간보다 긴 시간 동안 통화한 제2 통화기록들을 추출하는 단계, 그리고 상기 제2 통화 기록들로부터 각각 발신번호와 제1 통화시작 시각을 추출하여, 상기 발신번호를 상기 잠재 피해 전화번호로 획득하는 단계를 포함할 수 있다.
상기 기관 사칭 전화번호인지 판단하는 단계는, 상기 잠재 피해 전화번호에 대해 미리 설정한 기간동안의 전체 통화 기록들로부터, 수신번호가 상기 잠재 피해 전화번호인 제3 통화기록들을 추출하는 단계, 상기 제3 통화기록들 중 미리 설정된 통화시간보다 긴 시간동안 통화한 제4 통화기록들을 추출하는 단계, 상기 제4 통화기록들 각각의 제2 통화시작 시각이 상기 제1 통화시작 시각 이후인 제5 통화기록들을 추출하는 단계, 그리고 상기 제5 통화기록들에 포함된 발신번호들의 누적 카운트가 미리 설정된 임계수 이상인 발신번호들을 상기 기관 사칭 전화번호로 판단하는 단계를 더 포함할 수 있다.
상기 문자를 폐기하는 단계 이후에, 기 설정된 기간동안 전체 통화기록들에서 통화 시간이 기 설정된 설정 값 이상인 긴 통화기록들을 추출하는 단계, 상기 긴 통화기록들에서 수신번호를 추출하여 누적 카운트를 계산하고, 상기 누적 카운트가 설정치 이상인 수신번호로 통화를 시도하는 단계, 그리고 상기 통화에서 미리 설정된 멘트가 송출되면, 상기 수신번호를 추가 미끼 발신번호로 설정하는 단계를 더 포함할 수 있다.
상기 보이스 피싱 여부를 판단하는 단계 이후에, 상기 보이스 피싱으로 판단되면, 상기 문자 발신자의 명의로 개통된 전화번호들을 이용 정지시키는 단계, 그리고 보이스 피싱으로 판단된 상기 발신번호 또는 수신번호를 기관 사칭 전화번호로 신규 추가하는 단계를 더 포함할 수 있다.
본 발명에 따르면, 보이스 피싱 미끼문자 발신 전화번호를 탐지 직후에 차단하고, 고객의 금전적 피해가 발생되기 이전에 잠재적인 피해자로의 문자 전송과 전화 통화를 차단하고 이용을 정지시켜 보이스 피싱을 효과적으로 예방할 수 있다.
도 1은 본 발명의 실시예에 따라 보이스 피싱 번호 탐지 장치가 적용된 환경의 예시도이다.
도 2는 본 발명의 실시예에 따른 보이스 피싱 번호 탐지 장치의 구조도이다.
도 3은 본 발명의 실시예에 따른 보이스 피싱 번호 탐지 장치의 동작 방법을 나타낸 흐름도이다.
도 4는 실시예에 따른 미끼문자의 구성 예시도이다.
도 5는 본 발명의 실시예에 따라 생성된 잠재 피해 전화번호의 예시도이다.
도 6은 본 발명의 실시예에 따른 기관 사칭 전화번호 탐지의 예시도이다.
도 7은 본 발명의 실시예에 따라 주의 통보 대상 번호를 탐지하는 예시도이다.
도 8은 본 발명의 실시예에 따른 미끼 번호 탐지 방법에 대한 예시도이다.
도 2는 본 발명의 실시예에 따른 보이스 피싱 번호 탐지 장치의 구조도이다.
도 3은 본 발명의 실시예에 따른 보이스 피싱 번호 탐지 장치의 동작 방법을 나타낸 흐름도이다.
도 4는 실시예에 따른 미끼문자의 구성 예시도이다.
도 5는 본 발명의 실시예에 따라 생성된 잠재 피해 전화번호의 예시도이다.
도 6은 본 발명의 실시예에 따른 기관 사칭 전화번호 탐지의 예시도이다.
도 7은 본 발명의 실시예에 따라 주의 통보 대상 번호를 탐지하는 예시도이다.
도 8은 본 발명의 실시예에 따른 미끼 번호 탐지 방법에 대한 예시도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
또한, 명세서에 기재된 "…부", "…기", "…모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
본 발명에서 설명하는 장치들은 적어도 하나의 프로세서, 메모리 장치, 통신 장치 등을 포함하는 하드웨어로 구성되고, 지정된 장소에 하드웨어와 결합되어 실행되는 프로그램이 저장된다. 하드웨어는 본 발명의 방법을 실행할 수 있는 구성과 성능을 가진다. 프로그램은 도면들을 참고로 설명한 본 발명의 동작 방법을 구현한 명령어(instructions)를 포함하고, 프로세서와 메모리 장치 등의 하드웨어와 결합하여 본 발명을 실행한다.
본 명세서에서 "전송 또는 제공"은 직접적인 전송 또는 제공하는 것뿐만 아니라 다른 장치를 통해 또는 우회 경로를 이용하여 간접적으로 전송 또는 제공도 포함할 수 있다.
본 명세서에서 단수로 기재된 표현은 "하나" 또는 "단일" 등의 명시적인 표현을 사용하지 않은 이상, 단수 또는 복수로 해석될 수 있다.
본 명세서에서 도면에 관계없이 동일한 도면번호는 동일한 구성요소를 지칭하며, "및/또는" 은 언급된 구성 요소들의 각각 및 하나 이상의 모든 조합을 포함한다.
본 명세서에서, 제1, 제2 등과 같이 서수를 포함하는 용어들은 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 개시의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
본 명세서에서 도면을 참고하여 설명한 흐름도에서, 동작 순서는 변경될 수 있고, 여러 동작들이 병합되거나, 어느 동작이 분할될 수 있고, 특정 동작은 수행되지 않을 수 있다.
명세서에서 단말(Terminal/User equipment)은 접속망(Access Network)/무선 접속망(Radio Access network, RAN)의 기지국에 접속하여 코어망(Core Network)의 네트워크 기능들(Network Functions, NFs)를 이용한다. 여기서, 기지국은 접속망에 따라 eNB, gNB, AP 등을 포함할 수 있다. 단말은 휴대 단말, IoT 단말, 차량 단말(vehicle), 디스플레이 단말, 방송 단말, 게임 단말 등 다양한 형태 및 용도의 단말일 수 있다. 네트워크를 구성하는 장치들은 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
본 발명의 실시예들은 3GPP(3rd Generation Partnership Project) LTE(Long Term Evolution), LTE-A, 3GPP2, IEEE(Institute of Electrical and Electronics Engineers) 시스템, FS_NextGen(Study on Architecture for Next Generation System)과 같은 3GPP 5G 시스템 중 적어도 하나와 관련된 표준 문서에 의해 뒷받침될 수 있다. 즉, 본 발명의 실시예들 중 본 발명의 기술적 사상을 명확히 드러내기 위해 설명하지 않은 단계들 또는 부분들은 상기 문서에 의해 뒷받침될 수 있다. 또한, 본 문서에서 개시하고 있는 모든 용어들은 상기 표준 문서에 의해 설명될 수 있다.
이하, 도면을 참조로 하여 본 발명의 실시예에 따른 보이스 피싱 번호 탐지 장치 및 동작 방법을 설명한다.
도 1은 본 발명의 실시예에 따라 보이스 피싱 번호 탐지 장치가 적용된 환경의 예시도이다.
도 1을 참조하면, 보이스 피싱 번호 탐지 장치(100)는 데이터 수집 장치(200), 트래픽 수집 장치(300) 및 이동통신 시스템(400)과 연동하여 동작한다.
보이스 피싱 번호 탐지 장치(100)는 트래픽 및 통신 사업자의 내부 데이터와 외부 신고 데이터 등을 수집한다. 여기서, 트래픽은 트래픽 수집 장치(300)가 수집한 데이터이고, 내부 데이터와 외부 신고 데이터는 데이터 수집 장치(200)를 통해 트래픽 수집 장치(300)가 수집한 데이터이다.
데이터 수집 장치(200)는 경찰청 등과 같은 외부 기관의 서버(도면 미도시)로부터 외부 신고 데이터들을 수집한다. 데이터 수집 장치(200)는 수집한 외부 신고 데이터들에서 각각 전화번호를 추출하고, 트래픽 수집 장치(300)에 저장된 전화번호와 비교하여 신고된 전화번호의 단말정보 및 문자/전화 통화 이력을 추출한다.
트래픽 수집 장치(300)는 통신망의 문자 및 전화 통화 신호 메시지(패킷 등)를 트래픽으로 수집한다. 그리고, 트래픽 수집 장치(300)는 트래픽에서 단말 정보를 추출하여 저장한다. 이때 단말 정보에는 IMEI(International Mobile Equipment Identity), IMSI(International Mobile Subscriber Identity), MSISDN(Mobile Station Integrated System Digital Network), 전화번호, 통화 이력이 포함되어 있으며, 이 외의 정보들이 추가로 포함될 수 있다.
보이스 피싱 번호 탐지 장치(100)는 트래픽 수집 장치(300)가 수집한 트래픽으로부터 문자 데이터를 추출한다. 보이스 피싱 번호 탐지 장치(100)는 문자 데이터로부터 발신번호, 문자 내용, 착신 전환번호, 그리고 문자를 수신할 단말의 수신번호를 확인한다.
보이스 피싱 번호 탐지 장치(100)는 수신번호가 잠재 피해 전화번호인지 확인한다. 수신번호가 잠재 피해 전화번호라면, 보이스 피싱 번호 탐지 장치(100)는 발신번호 또는 착신 전환번호가 기관 사칭 전화번호인지 확인한다.
보이스 피싱 번호 탐지 장치(100)는 발신번호 또는 착신 전환번호가 기관 사칭 전화번호라면, 수집한 문자를 보이스 피싱 의심 문자 즉, 미끼문자인 것으로 확인한다.
보이스 피싱 번호 탐지 장치(100)는 미끼문자를 수신자에게 전송하기 전에, 문자의 발신번호로 통화 연결을 요청한다. 이때, 통화 연결 요청 대상에는 문자의 발신번호 뿐만 아니라, 문자 내용에 포함된 전화번호인 착신 전환번호가 될 수 있다.
보이스 피싱 번호 탐지 장치(100)는 발신번호 또는 착신 전환번호 중 어느 하나와의 통화가 연결되면, 통화 음성을 분석한 결과를 토대로 미끼문자가 보이스 피싱 문자인지 여부를 판단한다. 보이스 피싱 번호 탐지 장치(100)는 미끼문자가 보이스 피싱 문자인 것으로 판단하면, 미끼문자를 수신자에게 전송하지 않고 폐기한다.
또한, 보이스 피싱 번호 탐지 장치(100)는 미끼문자의 발신자 명의로 개통된 전화번호들과, 해당 전화번호들과 관련된 연관 전화번호들의 이용을 정지시킨다.
보이스 피싱 번호 탐지 장치(100)는 가입자 장치인 HSS(404), 호 처리 장치인 CSCF/SBC/BGCF(408), TAS(409), 고객 정보 관리 시스템(600)으로 해당 전화번호들과 연관 전화번호들의 이용 정지를 요청할 수 있다.
이동통신 시스템(400)은 LTE(Long-Term Evolution) 시스템과 IMS(Internet Protocol Multimedia Subsystem) 시스템을 포함할 수 있다. LTE 시스템은 eNodeB(401), 메시지 센터(402), MME(Mobility Management Entity)(403), HSS(Home Subscriber Server)(404), S-GW(Serving Gateway)(405), P-GW(Packet Gateway)(406), PDN(Packet Data Network)(407)을 포함할 수 있다. 이때, LTE 시스템을 예시로 설명하나, 5G 시스템일 수도 있다. IMS 시스템은 CSCF(Call State Control Function)/SBC(Session Border Controller)/BGCF(Breakout Gateway Control Function)(408), TAS(Telephony Application Server)를 포함할 수 있다.
이와 같은 환경에 구현된 보이스 피싱 번호 탐지 장치(100)의 구조에 대해 도 2를 참조로 설명한다.
도 2는 본 발명의 실시예에 따른 보이스 피싱 번호 탐지 장치의 구조도이다.
상술한 도 1의 보이스 피싱 번호 탐지 장치(100)를 기능 단위로 나타낸 블록도인 도 2에 도시된 바와 같이, 보이스 피싱 번호 탐지 장치(100)는 잠재 보이스 피싱 피해자 판단부(110), 기관 사칭 전화번호 판단부(120), 보이스 피싱 확정 판단부(130), 보이스 피싱 조치부(140) 및 보이스 피싱 전화번호 구성부(150)를 포함할 수 있다.
잠재 보이스 피싱 피해자 판단부(110)는 통신사 또는 경찰청 등 외부 기관의 서버를 통해 수집된 미끼 발신번호로부터, 미끼문자로 통화를 시도하는 가입자가 잠재 보이스 피싱 피해자인지 여부를 판단한다. 여기서, 미끼 발신번호는 보이스 피싱 시도자들이 전송한 미끼문자를 수신한 수신자(피해자)가, 발신번호 또는 문자 내에 포함된 착신 전환번호로 통화를 시도할 때 피해자의 전화번호를 미끼 발신번호라 지칭한다.
즉, 잠재 보이스 피싱 피해자 판단부(110)는 미끼문자를 수신한 수신번호의 단말 가입자가 과거 보이스피싱 전화번호로 등록된 문자 발신자나 문자 발신자의 명의로 개통된 다른 전화번호의 단말과 일정 시간 통화 이력이 있는지 여부를 확인한다. 그리고 통화 이력을 기초로, 수신번호의 단말 가입자인 미끼문자 수신자가 잠재 보이스 피싱 피해자인지 여부를 판단한다.
본 발명의 실시예에서는 잠재 보이스 피싱 피해자 판단부(110)가 수신번호를 기초로 잠재 보이스 피싱 피해자 여부를 판단하는 것을 예로 하여 설명하나, 추가로 새롭게 탐지된 미끼문자 발신번호에 대해서도 동일한 방법으로 잠재 보이스피싱 피해자를 판단할 수 있다. 이에 대해서는 이후 설명한다.
기관 사칭 전화번호 판단부(120)는 잠재 보이스 피싱 피해자 판단부(110)에서 미끼문자 수신자가 잠재 보이스 피싱 피해자로 확인하면, 미끼문자를 발신한 미끼문자 발신번호 또는 문자 내에 포함된 착신 전환번호가, 은행 또는 정부기관을 사칭하는 기관 사칭 전화번호인지 확인한다. 이를 위해, 기관 사칭 전화번호 판단부(120)는 보이스 피싱 전화번호 구성부(150)에 실제 기관들의 전화번호가 저장될 수 있고, 이를 토대로 미끼문자에서 추출한 전화번호를 비교한다.
문자 수신자의 잠재 보이스피싱 피해자 여부와 발신번호 또는 착신 전환번호의 기관 사칭 전화번호 여부를 판단한 후, 보이스 피싱 확정 판단부(130)는 미끼문자의 발신번호나 기관 사칭 전화번호로 통화 연결을 직접 수행한다. 통화가 연결되면, 보이스 피싱 확정 판단부(130)는 미끼문자의 발신자 또는 기관 사칭 전화번호를 이용하는 사용자와 통화한 통화 음성을 분석한 결과를 토대로, 미끼문자가 보이스 피싱을 위한 문자인지 여부를 판단한다.
미끼문자의 발신자와의 통화를 위해, 보이스 피싱 확정 판단부(130)는 자동 전화 호를 발신하는 통화봇 모듈을 포함한다. 보이스 피싱 확정 판단부(130)는 미끼문자 발신번호가 매핑된 발신자 단말과 통화 호가 연결되면, 미끼문자를 수신할 수신자 대신 음성 통화를 진행한다.
그리고, 보이스 피싱 확정 판단부(130)는 상대방 즉, 미끼문자 발신자와의 통화 음성을 STT(Speech-to-Text)로 변환하고, 변환된 통화 텍스트를 분석하여 보이스 피싱 여부를 결정할 수 있다. 따라서, 통화봇 모듈은 음성 통화를 위한 기능, 음성을 텍스트로 변환하는 기능 등을 수행할 수 있다.
미끼문자의 보이스 피싱 여부를 판단하기 위해, 보이스 피싱 확정 판단부(130)는 변환된 통화 텍스트로부터 추출한 블랙리스트 키워드 출현 빈도가 임계 횟수 이상으로 출현되었다면, 미끼문자를 보이스 피싱 문자로 결정할 수 있다.
또는, 보이스 피싱 확정 판단부(130)는 변환된 통화 텍스트로부터 위험도 및 업종을 분류하고, 명의 정보 및 등록 업종 정보를 추출하여, 개인 명의이면서 위험도가 높은 업종이거나 또는 법인/사업자 명의이면서 등록 업종과 다른 통화 내용이면 보이스 피싱으로 결정할 수 있다. 여기서, 명의 정보 및 등록 업종 정보는 전화번호 개통시 전화번호와 함께 고객 정보 관리 시스템(600)에 등록되어 있다.
보이스 피싱 조치부(140)는 보이스 피싱 확정 판단부(130)에서 보이스 피싱 문자로 확인한 미끼문자의 발신번호 또는 기관 사칭 전화번호의 이용을 정지한다. 그리고, 보이스 피싱 조치부(140)는 이용 정지된 번호로 발/수신 요청이 있으면, 해당 호를 차단하거나 잠재 보이스 피싱 피해자에게 문자/안내 방송 등을 송출하여 보이스피싱 범죄 번호임을 통보한다.
또한, 보이스 피싱 조치부(140)는 미끼문자 또는 기관 사칭 전화번호 개통 명의자로 개통된 다른 전화번호들과, 미끼문자 또는 기관 사칭 전화번호를 포함하는 문자의 발신 전화번호들과 관련된 연관 전화번호들의 이용을 정지시킨다. 예컨대, 보이스 피싱 조치부(140)는 미끼문자를 발신한 문자 발신자의 명의로 개통된 전화번호들, 착신 전환번호, 동일한 착신 전환번호를 등록한 전화번호들, 각 전화번호들의 명의자의 다른 멀티 넘버 서비스 가입 전화번호 전체를 이용 정지시킬 수 있다.
보이스 피싱 전화번호 구성부(150)는 미끼문자의 발신번호, 미끼문자의 발신번호 명의자로 개통된 전화번호들, 미끼문자의 발신번호 명의자로 개통된 전화번호들과 연관된 전화번호들을 포함하여 보이스 피싱 전화번호를 구성, 저장한다.
다음은 본 발명의 실시예에 따라 보이스 피싱 번호 탐지 장치(100)의 동작 방법에 대해 도 3 및 도 4를 참조로 설명한다.
도 3은 본 발명의 실시예에 따른 보이스 피싱 번호 탐지 장치의 동작 방법을 나타낸 흐름도이고, 도 4는 실시예에 따른 미끼문자의 구성 예시도이다.
도 3에 도시된 바와 같이, 보이스 피싱 번호 탐지 장치(100)는 외부 기관으로부터 신고된 미끼문자 발신번호 또는 보이스 피싱 발신번호를 등록한다(S100).
잠재 보이스 피싱 피해자 판단부(110)는 이동통신 시스템(400)으로부터 수집한 트래픽으로부터 문자 데이터를 추출한다(S101). 잠재 보이스 피싱 피해자 판단부(110)는 추출한 문자로부터 발신번호, 문자 내용, 착신 전환번호를 추출하고, 문자를 수신할 단말의 수신번호를 추출한다(S102).
도 4를 참조하면, 잠재 보이스 피싱 피해자 판단부(110)는 문자(600)의 발신번호(610), 문자 내용(620) 및 문자에 포함된 착신 전환번호(630)를 문자(600)로부터 추출할 수 있다. 또한, 잠재 보이스 피싱 피해자 판단부(110)는 문자 데이터로부터 문자 수신번호도 추출할 수 있다.
잠재 보이스 피싱 피해자 판단부(110)는 문자를 수신한 수신번호를 기 저장된 잠재 피해 전화번호와 비교하여 문자를 수신할 수신번호가 잠재 피해 전화번호인지 확인한다(S103). 수신번호가 잠재 피해 전화번호이면, 기관 사칭 전화번호 판단부(120)는 발신번호 또는 착신 전환번호가 기관 사칭 전화번호인지 확인한다(S104).
발신번호 또는 착신 전환번호가 기관 사칭 전화번호에 해당하면, 보이스 피싱 확정 판단부(130)는 발신번호를 보이스 피싱 의심 전화번호로 판단한다(S105). 보이스 피싱 확정 판단부(130)는 보이스 피싱 의심 전화번호 또는 착신 전환번호(640)로 자동 호를 발신한다(S106).
보이스 피싱 확정 판단부(130)는 통화가 연결되면, 통화 음성을 녹취하면서 STT 변환을 수행한다(S107). 보이스 피싱 확정 판단부(130)는 통화 텍스트로부터 블랙리스드 키워드를 추출한다(S108).
보이스 피싱 확정 판단부(130)는 블랙리스트 키워드 출현 빈도가 미리 설정한 임계 빈도 이상으로 출현되었는지 판단한다(S109).
보이스 피싱 확정 판단부(120)는 블랙리스트 키워드 출현 빈도가 임계 빈도를 충족하지 않으면, 단계를 종료한다.
그러나 블랙리스트 키워드 출현 빈도가 임계 빈도 이상으로 출현되었다면, 보이스 피싱 확정 판단부(130)는 문자의 발신번호, 문자의 발신번호에 대한 착신 전환번호를 보이스피싱 번호로 구성하여 저장할 수 있다(S110).
보이스 피싱 조치부(140)는 발신번호 명의자로 개통된 모든 전화번호들, 그리고 그에 연관된 전화번호들에 대한 이용 정지를 수행한다(S111). S111에서 보이스 피싱 조치부(140)는 고객 정보 관리 시스템(600)으로 이용 정지 요청을 전송할 수 있다.
또한, 보이스 피싱 조치부(140)는 문자 수신자에게 문자를 전송하지 않고 폐기 처리한다(S112).
이상의 동작 방법에서, 보이스 피싱 번호 탐지 장치(100)가 수신번호를 잠재 피해 전화번호와 비교하기 위해, 잠재 피해 전화번호를 파악하는 예에 대해 도 5를 참조로 설명한다.
도 5는 본 발명의 실시예에 따라 생성된 잠재 피해 전화번호의 예시도이다.
통신사가 탐지하거나 경찰청 등 외부 기관으로부터 신고된 미끼문자의 발신번호가 확보되면, 보이스 피싱 번호 탐지 장치(100)는 도 5의 (a)에 도시된 바와 같이 미리 설정한 시간(예를 들어, 3분/5분/10분 등)의 통화 기록(CDR: Call Detail Record)에서 수신번호가 미끼번호인 CDR을 추출한다.
미끼문자를 수신한 사용자가 미끼문자 내 미끼문자 발신번호 또는 착신 전환번호로 발신을 시도할 경우, 해당 사용자가 미끼문자를 발신한 범죄자의 기만을 눈치 챌 경우 짧은 시간에 통화를 종료한다. 그러나, 기만에 속을 경우 일정 시간 이상의 통화를 하게 된다. 따라서, 본 발명의 실시예에서는 도 5의 (b)와 같이 추출한 CDR 중 미리 설정된 통화시간보다 긴 시간 동안 통화한 CDR을 추출한다.
보이스 피싱 번호 탐지 장치(100)는 추출한 CDR에서 {발신번호-통화시작 시각(①)} 쌍을 추출하여, 도 5의 (c)에 도시한 바와 같이 잠재 보이스 피싱 피해자 판단부(110) 내에 저장한다. 이를 위해, 잠재 보이스 피싱 피해자 판단부(110)는 내부에 잠재 피해 전화번호 데이터베이스가 추가로 구비되어 있는 것을 예로 하여 설명하나, 별도의 데이터베이스를 이용할 수도 있다.
참고로, 잠재 피해 전화번호 데이터베이스에 저장된 전화번호들 중 이 후 단계에서 설명할 기관 사칭 전화번호와 통화 이력이 있는 경우, 해당 사용자가 실제 보이스 피싱 피해를 당할 가능성이 높다. 기관 사칭 전화번호와 통화 이력이 있다는 것은 미끼문자 전화번호와 통화 시 미끼문자에서 언급한 서비스(예를 들어, 저금리대출/코로나정부지원금 등)에 대한 상담을 희망을 명시적으로 표현한 경우이기 때문이다.
상담을 원치 않음을 명시적으로 표현한 경우에는 기관 사칭 전화번호로부터 전화가 오지 않을 가능성이 높다. 다만, 미끼문자 번호로 통화 호를 발신했다는 통화 이력은 보이스피싱 조직에서도 보관할 수 있기 때문에, 향후 추가적인 범죄 시도 가능성이 있으므로, 잠재 피해 전화번호 데이터베이스에 일정 기관 보관하여 모니터링하는 것을 예로 하여 설명한다.
다음은, 보이스 피싱 번호 탐지 장치(100)가 기관 사칭 전화번호를 탐지하는 예에 대해 도 6을 참조로 설명한다.
도 6은 본 발명의 실시예에 따른 기관 사칭 전화번호 탐지의 예시도이다.
보이스 피싱 번호 탐지 장치(100)는 잠재 피해 전화번호 데이터베이스에 저장된 전화번호에 대해, 도 6의 (a)에 나타낸 바와 같이 일정기간 전체 통화 CDR에서 수신번호가 잠재 피해 전화번호인 CDR을 추출한다.
통상적으로 사용자가 범죄자의 기만을 눈치 챌 경우 짧은 시간에 통화를 종료하지만, 기만에 속을 경우 일정 시간 이상의 통화를 한다. 따라서, 본 발명의 실시예에서는 추출한 CDR들 중 미리 설정된 통화시간보다 긴 시간 동안 통화한 CDR들을 추출한다.
이때, 추출한 해당 CDR의 발신번호에는 기관 사칭 전화번호와 일반 정상 전화번호가 함께 포함되어 있을 수 있다. 그러므로, 보이스 피싱 번호 탐지 장치(100)는 추출한 CDR 중 통화시작 시각이, 상술한 도 5에서 추출한 통화시작 시간(①) 이후인 CDR들만 추출한다. 이는 통상의 보이스피싱 범죄 시나리오 상 미끼문자를 발송한 번호와의 통화 이후에, 피해자로 하여금 기관 사칭 전화번호로 통화하도록 유도하기 때문이다.
보이스 피싱 번호 탐지 장치(100)는 추출한 CDR에서 유니크한 발신번호를 추출하고, 도 6의 (c)에 나타낸 바와 같이 해당 발신번호의 누적 카운트를 계산한다. 누적 카운트가 설정치 이상인 전화번호 중 해당 전화번호의 개통 명의자가 단기간(예를 들어, 동일날짜, 1주일 등)에 미리 설정한 개통 임계수 이상의 전화번호를 동시에 개통한 경우, 도 6의 (d)에 나타낸 바와 같이 해당 전화번호를 기관 사칭 전화번호 판단부(120)의 기관 사칭 전화번호 데이터베이스에 저장한다. 이는 통상 범죄에 사용하는 전화번호는 명의 도용 등을 통해 한꺼번에 복수개의 전화번호를 개통하는 특성이 있기 때문이다.
따라서, 보이스 피싱 번호 탐지 장치(100)는 기관 사칭 전화번호 데이터베이스에 저장된 전화번호를 보이스 피싱 전화번호 구성부(150)에 차단 번호로 저장한다. 이를 통해, 이 후 발생하는 모든 통화에서 차단번호와 발신 또는 수신하는 호에 대해서는 주의 알림 안내/문자 메시지를 송출하거나 통화가 차단되도록 한다.
이때, 주의 알림 안내/문자 메시지가 송출되는 주의 통보 번호 탐지의 예에 대해 도 7을 참조로 설명한다.
도 7은 본 발명의 실시예에 따라 주의 통보 대상 번호를 탐지하는 예시도이다.
상술한 바와 같이 보이스 피싱 번호 탐지 장치(100)가 탐지한 기관 사칭 전화번호와 통화한 이력이 있는 잠재 피해 고객에게 보이스피싱 주의를 안내하기 위해, 도 7의 (a)에 도시된 바와 같이 일정 기간의 전체 CDR에서 발신번호가 기관 사칭 전화번호 데이터베이스에 저장된 번호인 CDR들을 추출한다.
보이스 피싱 번호 탐지 장치(100)는 추출한 CDR에서 수신번호를 추출하고, 도 7의 (b)에 도시된 바와 같이 고객 정보 데이터베이스에서 해당 수신번호의 명의자 정보를 추출한다. 보이스 피싱 번호 탐지 장치(100)는 추출한 수신번호를 보이스피싱 주의 알림 통보 전화번호 데이터베이스에 추가한다.
보이스 피싱 번호 탐지 장치(100)는, 보이스피싱 주의 알림 통보 전화번호 데이터베이스에 기록된 전화번호로 문자나 안내방송을 송출한다. 이때, 임의의 전화번호가 현재 통화중이고, 해당 전화번호로 발신한 발신번호가 기관 사칭 전화번호인 경우 통화를 차단한다.
추가적으로, 보이스 피싱 번호 탐지 장치(100)는 단말이 보이스피싱 금융 범죄 예방 부가서비스를 가입한 경우, 고객이 미리 등록해 둔 은행으로 해당 고객 정보를 전달한다. 이를 통해, 평소 거래가 없는 계좌로의 이체, 고액 출금, 동일 금액 반복 출금/이체 등 비정상적인 금융 거래가 발생하는지 모니터링을 요청하거나, 금융거래를 차단하여 보이스피싱 피해를 예방할 수 있다.
다음은, 보이스 피싱 번호 탐지 장치(100)가 추가로 미끼 번호를 탐지하는 예에 대해 도 8을 참조로 설명한다.
도 8은 본 발명의 실시예에 따른 미끼 번호 탐지 방법에 대한 예시도이다.
보이스 피싱 번호 탐지 장치(100)는 도 8의 (a)에 나타낸 바와 같이 일정기간동안 전체 CDR에서, 발신번호가 보이스피싱 주의 알림 통보 전화번호 데이터베이스에 저장된 전화번호들의 CDR을 추출한다.
그리고, 보이스 피싱 번호 탐지 장치(100)는 추출한 CDR들 중 도 8의 (b)에 나타낸 바와 같이 통화시간이 미리 설정한 설정 값 이상인 CDR들을 추출한다.
보이스 피싱 번호 탐지 장치(100)는 추출한 CDR에서 수신번호를 추출하고, 해당 수신번호의 누적 카운트를 도 8의 (c)와 같이 계산한다. 이때, 도 8의 (d)와 같이 누적 카운트가 설정치 이상인 번호를 대상으로 테스트 통화를 한다.
테스트 통화 시 은행 사칭 ARS가 송출되는 경우, 보이스 피싱 번호 탐지 장치(100)는 해당 수신번호를 추가 미끼 발신 번화번호 데이터베이스에 저장한다. 그리고, 보이스 피싱 번호 탐지 장치(100)는 추가 미끼문자 발신 번화번호 데이터베이스에 저장된 번호를 차단번호 데이터베이스에 저장하여, 이 후 발생하는 모든 통화에서 차단번호와 발신 또는 수신하는 호에 대해서는 주의 알림 안내/문자 메시지를 송출하거나 통화를 차단한다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
Claims (5)
- 적어도 하나의 프로세서에 의해 동작하는 보이스 피싱 번호 탐지 장치의 동작 방법으로서,
기 신고된 미끼문자 발신번호들을 기초로 복수의 잠재 피해 전화번호들을 획득하는 단계,
발신된 문자의 수신번호가 상기 잠재 피해 전화번호들 중 하나이면, 상기 발신된 문자의 발신번호 또는 상기 문자에 포함된 착신 전환번호가 기관 사칭 전화번호인지 판단하는 단계,
상기 발신번호 또는 착신 전환번호가 기관 사칭 전화번호이면, 상기 문자를 수신자에게 전송하기 전에 상기 문자의 발신번호로 통화 연결을 요청하는 단계,
통화가 연결되면, 상대방 통화 음성을 분석한 결과를 토대로 보이스 피싱 여부를 판단하는 단계, 그리고
보이스 피싱으로 판단되면, 상기 문자를 폐기하는 단계
를 포함하는, 동작 방법. - 제1항에 있어서,
상기 잠재 피해 전화번호들을 획득하는 단계는,
상기 기 신고된 미끼문자 발신번호들이 수신번호인 제1 통화기록들을 추출하는 단계,
추출한 제1 통화기록들 중 미리 설정된 통화시간보다 긴 시간 동안 통화한 제2 통화기록들을 추출하는 단계, 그리고
상기 제2 통화 기록들로부터 각각 발신번호와 제1 통화시작 시각을 추출하여, 상기 발신번호를 상기 잠재 피해 전화번호로 획득하는 단계
를 포함하는, 동작 방법. - 제2항에 있어서,
상기 기관 사칭 전화번호인지 판단하는 단계는,
상기 잠재 피해 전화번호에 대해 미리 설정한 기간동안의 전체 통화 기록들로부터, 수신번호가 상기 잠재 피해 전화번호인 제3 통화기록들을 추출하는 단계,
상기 제3 통화기록들 중 미리 설정된 통화시간보다 긴 시간동안 통화한 제4 통화기록들을 추출하는 단계,
상기 제4 통화기록들 각각의 제2 통화시작 시각이 상기 제1 통화시작 시각 이후인 제5 통화기록들을 추출하는 단계, 그리고
상기 제5 통화기록들에 포함된 발신번호들의 누적 카운트가 미리 설정된 임계수 이상인 발신번호들을 상기 기관 사칭 전화번호로 판단하는 단계
를 더 포함하는, 동작 방법. - 제3항에 있어서,
상기 문자를 폐기하는 단계 이후에,
기 설정된 기간동안 전체 통화기록들에서 통화 시간이 기 설정된 설정 값 이상인 긴 통화기록들을 추출하는 단계,
상기 긴 통화기록들에서 수신번호를 추출하여 누적 카운트를 계산하고, 상기 누적 카운트가 설정치 이상인 수신번호로 통화를 시도하는 단계, 그리고
상기 통화에서 미리 설정된 멘트가 송출되면, 상기 수신번호를 추가 미끼 발신번호로 설정하는 단계
를 더 포함하는, 동작 방법. - 제4항에 있어서,
상기 보이스 피싱 여부를 판단하는 단계 이후에,
상기 보이스 피싱으로 판단되면, 상기 문자 발신자의 명의로 개통된 전화번호들을 이용 정지시키는 단계, 그리고
보이스 피싱으로 판단된 상기 발신번호 또는 수신번호를 기관 사칭 전화번호로 신규 추가하는 단계
를 더 포함하는, 동작 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220120807A KR20240041603A (ko) | 2022-09-23 | 2022-09-23 | 보이스 피싱 번호 탐지 장치 및 동작 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220120807A KR20240041603A (ko) | 2022-09-23 | 2022-09-23 | 보이스 피싱 번호 탐지 장치 및 동작 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20240041603A true KR20240041603A (ko) | 2024-04-01 |
Family
ID=90667226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220120807A KR20240041603A (ko) | 2022-09-23 | 2022-09-23 | 보이스 피싱 번호 탐지 장치 및 동작 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20240041603A (ko) |
-
2022
- 2022-09-23 KR KR1020220120807A patent/KR20240041603A/ko unknown
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112448894B (zh) | 阻断信令风暴的方法、装置、设备及存储介质 | |
| US8311204B2 (en) | Automatic complaint registration for violations of telephonic communication regulations with call rejection | |
| US11936806B2 (en) | Call screening service for detecting fraudulent inbound/outbound communications with subscriber devices | |
| WO2003055249A1 (en) | Intercepting a call connection to a mobile subscriber roaming in a visited plmn (vplmn) | |
| CN107770777B (zh) | 一种录音诈骗电话的识别方法 | |
| US11665279B2 (en) | Call screening service for detecting fraudulent inbound/outbound communications with subscriber devices | |
| EP2887625A1 (en) | Method for real-time reporting and prevention of call abuse | |
| KR100570348B1 (ko) | 무선통신시스템에서의 선택적인 호 차단 및 전환 방법 | |
| US9131048B2 (en) | Communication system and communication control method | |
| KR101280156B1 (ko) | 통신 시스템 및 통신 제어 방법 | |
| KR101306074B1 (ko) | 피싱방지방법 및 피싱방지시스템 | |
| US20070211639A1 (en) | Central Interception and Evaluation Unit | |
| EP3070918B1 (en) | Method and device for improving lawful interception of a call | |
| JP5381087B2 (ja) | 通信システム及び通信制御方法 | |
| CA2666724A1 (en) | Automatic complaint registration for violations of telephonic communication regulations with call rejection | |
| KR20240041603A (ko) | 보이스 피싱 번호 탐지 장치 및 동작 방법 | |
| KR20150047378A (ko) | 보이스 피싱 방지 장치 | |
| KR20220067498A (ko) | 보이스 피싱 차단 방법 및 그 장치 | |
| KR101379779B1 (ko) | 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법 | |
| KR101478835B1 (ko) | 보이스 피싱 예방 시스템 및 그 방법 | |
| EP2862341B1 (en) | Methods, computer program products and apparatuses enabling to conceal lawful interception from network operators | |
| US20230232232A1 (en) | Methods, systems, and computer readable media for providing call intelligence to a signaling firewall in a communications network | |
| CN114363901A (zh) | 一种防范诈骗电话的装置和方法 | |
| TW201528768A (zh) | 可對網路發信主叫電話號碼驗證與惡意網路發信偵測之方法及其系統(二) | |
| KR101401618B1 (ko) | 발신인증신호를 이용한 발신번호 변작 방지를 위한 시스템 및 그 방법 |