WO2014208937A1

WO2014208937A1 - 이미지 비교를 통한 피싱 사이트 탐지 방법 및 장치

Info

Publication number: WO2014208937A1
Application number: PCT/KR2014/005469
Authority: WO
Inventors: 문성건; 김기영
Original assignee: 주식회사 안랩
Priority date: 2013-06-25
Filing date: 2014-06-20
Publication date: 2014-12-31
Also published as: KR101473671B1

Abstract

본 발명은 이미지 비교를 통한 피싱 사이트 탐지 방법 및 장치에 관한 것이다. 이에 따른 피싱 사이트 탐지 방법은 피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 로드하는 단계와, 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하는 단계와, 추출된 비교 대상 이미지 정보와 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하는 단계와, 비교의 결과에 따라 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보하는 단계를 포함하며, 탐지 대상 사이트를 운용하는 주체와의 협업이 없어도 피싱 사이트를 탐지하거나 접속을 방지할 수 있도록 하고, 탐지 대상 사이트를 이용하는 통신 단말 장치의 단독적인 처리로도 피싱 사이트의 접속을 탐지하거나 방지할 수 있는 이점이 있다.

Description

이미지 비교를 통한 피싱 사이트 탐지 방법 및 장치

본 발명은 피싱(phishing) 사이트 탐지 방법 및 장치에 관한 것이다. 더 구체적으로는, 탐지 대상 사이트로부터 추출한 이미지 정보에 따라 피싱 우려 사이트를 판별하여 경보하는 이미지 비교를 통한 피싱 사이트 탐지 장치 및 방법에 관한 것이다.

최근에 안드로이드(Android), i-OS(Operating System), 윈도우 모바일(windows mobile) 등의 모바일 운영체제를 적용하여 스마트 폰 기능을 수행하는 통신 단말 장치의 보급이 활성화되었다.

이와 같은 모바일 운영체제를 적용한 통신 단말 장치에서는 해당 모바일 운영체제를 기반으로 다양한 응용 프로그램(application)을 실행하여 사용자에게 다양한 정보 처리 서비스를 제공한다.

그리고, 모바일 운영체제를 적용한 통신 단말 장치에는 응용 프로그램으로서 브라우저(browser)를 구비하고, 해당 브라우저를 실행하여서 URL에 의거하여 인터넷 웹 사이트에 통신 접속함으로써, 다양한 웹 사이트의 정보를 사용자에게 제공한다.

이러한 모바일 운영체제를 적용한 통신 단말 장치는 응용 프로그램을 실행하여 문자메시지 수신, 멀티미디어메시지 수신, 이메일 수신, 콘텐츠 거래 등의 수행 시에 유입된 URL에 의거하여 통신 접속을 시도하는 일이 빈번하다.

하지만, 이처럼 수신된 URL에 의거한 통신 접속은 접속 대상 사이트의 유해 여부를 확인하지 않고 있기 때문에 피싱 사이트, 국내외 음란 사이트, 사행성 사이트 등과 같은 유해 사이트에 그대로 통신 접속하게 되는 경우가 발생할 수 있다.

이 중에서도 특히 피싱 사이트의 접속은 금융 범죄로 이어지는 경우가 다반사이기 때문에 사회 문제화되고 있다. 예컨대, 문자메시지에 금융기관으로 위장한 피싱 사이트로의 접속을 유도하는 URL 정보가 포함된 경우에 통신 단말 장치가 URL 정보에 따라 피싱 사이트에 쉽게 접속될 수 있으며, 이러한 피싱 사이트의 안내에 따라 비정상적인 송금이 이루어지는 금융 범죄가 발생된다.

종래 기술에 따른 피싱 사이트 접속 방지방법을 살펴보면, 정상 사이트에 청각적인 멜로디와 시각적인 이미지를 결합한 개인화 멀티미디어 데이터가 송출되도록 하여, 피싱 사이트가 정상 사이트의 개인화 멀티미디어 데이터를 모방하지 못하도록 하고, 이를 통해 사용자가 정상 사이트와 피싱 사이트를 구분할 수 있도록 한다.

그러나, 이러한 종래 기술은 정상 사이트를 운용하는 사이트 운용 서버 등이 개인화 멀티미디어 데이터를 반드시 수신 및 재생하여야만 한다. 즉, 정상 사이트를 운용하는 주체와의 협업을 통해서만 피싱 사이트의 접속을 방지할 수 있는 문제점이 있었다. 따라서, 사이트를 이용하는 통신 단말 장치의 단독적인 처리로는 피싱 사이트의 접속을 탐지하거나 방지할 수가 없었다.

본 발명의 실시예는, 탐지 대상 사이트로부터 추출한 이미지 정보에 따라 피싱 우려 사이트를 판별하여 경보함으로써, 탐지 대상 사이트를 운용하는 주체와의 협업이 없어도 피싱 사이트를 탐지하거나 접속을 방지할 수 있도록 한다.

본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.

본 발명의 일 관점에 따르면, 이미지 비교를 통한 피싱 사이트 탐지 방법은, 피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 로드하는 단계와, 상기 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하는 단계와, 추출된 상기 비교 대상 이미지 정보와 상기 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하는 단계와, 상기 비교의 결과에 따라 상기 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보하는 단계를 포함할 수 있다.

여기서, 접속 요청된 사이트의 접속 위치 정보를 획득하는 단계와, 기 저장된 탐지 기준 사이트 리스트를 로드하는 단계와, 상기 접속 위치 정보와 상기 탐지 기준 사이트 리스트를 비교한 결과에 따라 상기 탐지 대상 사이트를 판별하는 단계를 더 포함할 수 있다.

또한, 상기 피싱 탐지 기준 정보는, 상기 기준 이미지 정보와 상기 비교 대상 이미지 정보의 비교 방식 정보를 더 포함할 수 있다.

또한, 복수의 상기 보호 사이트는, 각각 개별의 상기 피싱 탐지 기준 정보를 가지며, 상기 피싱 탐지 기준 정보는, 상기 보호 사이트의 기준 이미지 정보 및 상기 비교 대상 이미지 정보를 추출하기 위한 이미지 추출 범위 정보를 포함할 수 있다.

또한, 상기 피싱 탐지 기준 정보는, 상기 피싱 우려 사이트의 판별을 위한 유사도 기준치를 포함하며, 상기 추출하는 단계는, 상기 이미지 추출 범위 정보에 의한 이미지 추출 범위 내에서 반복적으로 수행하여 복수의 상기 비교 대상 이미지 정보를 추출하고, 상기 비교하는 단계는, 상기 비교 방식 정보에 따라 상기 복수의 비교 대상 이미지 정보와 상기 기준 이미지 정보를 비교하여 오차 값을 여러 회에 걸쳐서 산출할 수 있다.

또한, 상기 경보하는 단계는, 산출된 상기 오차 값 중에서 가장 작은 최소 오차 값과 상기 유사도 기준치와의 비교 결과에 따라 상기 피싱 우려 사이트를 판별할 수 있다.

또한, 상기 보호 사이트의 기준 이미지 정보는, 상기 보호 사이트를 구성하는 복수의 페이지를 동일한 화면 상에 순차로 표시할 때에 중첩하는 이미지 정보를 사전에 추출하여 수집할 수 있다.

본 발명의 다른 관점에 따르면, 이미지 비교를 통한 피싱 사이트 탐지 장치는, 피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 제공하는 탐지 정보 제공부와, 상기 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하며, 추출된 상기 비교 대상 이미지 정보와 상기 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하는 이미지 비교부와, 상기 비교의 결과에 따라 상기 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보하는 피싱 경보부를 포함할 수 있다.

여기서, 접속 요청된 사이트의 접속 위치 정보를 획득하고, 기 저장된 탐지 기준 사이트 리스트를 로드하며, 상기 접속 위치 정보와 상기 탐지 기준 사이트 리스트를 비교한 결과에 따라 상기 탐지 대상 사이트를 판별하는 대상 판별부를 더 포함할 수 있다.

또한, 상기 피싱 탐지 기준 정보는, 상기 피싱 우려 사이트의 판별을 위한 유사도 기준치를 포함하며, 상기 이미지 비교부는, 상기 이미지 추출 범위 정보에 의한 이미지 추출 범위 내에서 상기 비교 대상 이미지의 추출을 반복적으로 수행하여 복수의 상기 비교 대상 이미지 정보를 추출하고, 상기 비교 방식 정보에 따라 상기 복수의 비교 대상 이미지 정보와 상기 기준 이미지 정보를 비교하여 오차 값을 여러 회에 걸쳐서 산출할 수 있다.

또한, 상기 피싱 경보부는, 산출된 상기 오차 값 중에서 가장 작은 최소 오차 값과 상기 유사도 기준치와의 비교 결과에 따라 상기 피싱 우려 사이트를 판별할 수 있다.

본 발명의 실시예에 따르면, 탐지 대상 사이트로부터 추출한 이미지 정보에 따라 피싱 우려 사이트를 판별하여 경보함으로써, 탐지 대상 사이트를 운용하는 주체와의 협업이 없어도 피싱 사이트를 탐지하거나 접속을 방지할 수 있도록 한다.

따라서, 탐지 대상 사이트를 이용하는 통신 단말 장치의 단독적인 처리로도 피싱 사이트의 접속을 탐지하거나 방지할 수 있는 효과가 있다.

도 1은 본 발명의 실시예에 따른 피싱 사이트 탐지 장치를 적용한 피싱 사이트 접속 방지 시스템의 네트워크 구성도이다.

도 2는 본 발명의 실시예에 따른 피싱 사이트 탐지 장치의 세부적인 블록 구성도이다.

도 3은 본 발명의 실시예에 따른 피싱 사이트 탐지 방법을 설명하기 위한 흐름도이다.

도 4a 내지 도 4d는 보호 사이트로부터 기준 이미지 정보를 추출하는 과정을 설명하기 위한 접속 화면의 예시도들이다.

도 5는 본 발명의 실시예에 따른 피싱 사이트 탐지 방법에 의하여 이미지를 비교할 구획을 구분하여 나타낸 접속 화면의 구획도이다.

도 6은 본 발명의 실시예에 따른 피싱 사이트 탐지 방법에 의하여 피싱 우려 사이트를 판별할 때에 이미지 비교의 결과값인 오차와 유사도 기준치를 비교하는 과정을 설명하기 위한 그래프이다.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

이에 나타낸 바와 같이 피싱 사이트 접속 방지 시스템은, 피싱 사이트 탐지 장치(100)를 탑재하는 통신 단말 장치(10), 통신망(20), 사이트 운용 서버(31, 33), 피싱 사이트 탐지 서버(200) 등을 포함한다.

통신 단말 장치(10)는 안드로이드, i-OS, 윈도우 모바일 등의 모바일 운영체제가 탑재되어 통신망(20)을 통해 각종 사이트에 접속할 수 있는 스마트 기기이다. 예컨대, 스마트폰, 태블릿 PC 등으로 구현할 수 있다.

사이트 운용 서버(31, 33)는 통신망(20)을 통해 접속된 통신 단말 장치(10)에게 각종 정보 및 이미지를 제공할 수 있는 사이트를 운용하는 주체이다. 이러한 사이트 운용 서버(31, 33)가 악의적으로 운용될 경우에는 금융기관 등으로 위장한 피싱 사이트를 운용하여 통신 단말 장치(10)의 접속을 유도할 수 있다. 여기서, 사이트 운용 서버(31, 33)에 #1, #N을 병기한 것은 도시된 2개 이외에도 여러 개의 사이트 운용 서버들이 운용될 수 있음을 나타낸 것이다.

피싱 사이트 탐지 장치(100)는 사이트 운용 서버(31, 33)에 의해 운용되는 탐지 대상 사이트로부터 추출한 비교 대상 이미지 정보와 기준 이미지 정보의 비교 결과에 따라 피싱 우려 사이트를 판별하여 경보한다. 이러한 피싱 사이트 탐지 장치(100)의 세부적인 구성요소에 대해서는 도 2를 참조하여 설명하기로 한다.

피싱 사이트 탐지 서버(200)는 사이트 운용 서버(31, 33) 또는 여타의 사이트 운용 서버에 의해 운용되는 사이트들 중에서 피싱 행위로부터 보호하고자 하는 보호 사이트를 대상으로 하여 피싱 탐지를 위해 이용하기 위한 기준 이미지 정보를 수집하며, 수집된 기준 이미지 정보를 통신 단말 장치(10)에 탑재된 피싱 사이트 탐지 장치(100)에게 제공한다.

이에 나타낸 바와 같이 피싱 사이트 탐지 장치(100)는, 탐지 정보 제공부(110), 대상 판별부(120), 이미지 비교부(130), 피싱 경보부(140) 등을 포함한다.

탐지 정보 제공부(110)는 피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 제공한다.

대상 판별부(120)는 접속 요청된 사이트의 접속 위치 정보를 획득하고, 기 저장된 탐지 기준 사이트 리스트를 로드하며, 접속 위치 정보와 탐지 기준 사이트 리스트를 비교한 결과에 따라 탐지 대상 사이트를 판별한다.

이미지 비교부(130)는 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하며, 추출된 비교 대상 이미지 정보와 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하여 오차 값을 산출한다.

여기서, 복수의 보호 사이트는 각각 개별의 피싱 탐지 기준 정보를 가지며, 피싱 탐지 기준 정보는 탐지 대상 사이트의 비교 대상 이미지 정보를 추출하기 위한 이미지 추출 범위 정보, 기준 이미지 정보와 비교 대상 이미지 정보의 비교 방식 정보, 피싱 우려 사이트의 판별을 위한 유사도 기준치 등을 포함한다. 따라서, 이미지 비교부(130)는 기준 이미지 정보와 비교 대상 이미지 정보를 피싱 탐지 기준 정보에 포함된 비교 방식 정보에 따라 비교하여 오차를 산출할 수 있다.

또한, 이미지 비교부(130)는 피싱 탐지 기준 정보에 포함된 이미지 추출 범위 정보에 의한 이미지 추출 범위 내에서 비교 대상 이미지의 추출을 반복적으로 수행하여 복수의 비교 대상 이미지 정보를 추출할 수 있으며, 피싱 탐지 기준 정보에 포함된 비교 방식 정보에 따라 복수의 비교 대상 이미지 정보와 기준 이미지 정보를 비교하여 오차 값을 여러 회에 걸쳐서 산출할 수 있다.

피싱 경보부(140)는 이미지 비교부(130)에 의한 이미지 비교의 결과에 따라 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보한다. 이러한 피싱 경보부(140)는 이미지 비교부(130)에 의해 산출된 오차와 피싱 탐지 기준 정보에 포함된 유사도 기준치의 비교 결과에 따라 피싱 우려 사이트를 판별할 수 있다. 이러한 피싱 경보부(140)는 이미지 비교부(130)에 의해 산출된 오차 값 중에서 가장 작은 최소 오차 값과 유사도 기준치와의 비교 결과에 따라 피싱 우려 사이트를 판별할 수 있다.

이에 나타낸 바와 같이 본 발명의 피싱 사이트 탐지 방법은, 피싱 행위로부터 보호하고자 하는 보호 사이트의 기준 이미지 정보를 수집하여 기준 이미지 정보, 탐지 대상 사이트의 비교 대상 이미지 정보를 추출하기 위한 이미지 추출 범위 정보, 기준 이미지 정보와 비교 대상 이미지 정보의 비교 방식 정보, 피싱 우려 사이트의 판별을 위한 유사도 기준치 등을 포함하는 피싱 탐지 기준 정보를 저장하는 단계(S301, S303)를 포함한다.

그리고, 접속 요청된 사이트의 접속 위치 정보를 획득하고, 기 저장된 탐지 기준 사이트 리스트를 로드하며, 접속 위치 정보와 탐지 기준 사이트 리스트를 비교한 결과에 따라 탐지 대상 사이트를 판별하는 단계(S305 내지 S313)를 더 포함한다.

아울러, 피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 로드하는 단계(S315), 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하는 단계(S317), 탐지 대상 사이트로부터 추출된 비교 대상 이미지 정보와 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하는 단계(S319)를 더 포함한다.

또한, 비교 대상 이미지 정보와 기준 이미지 정보의 비교의 결과에 따라 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보하는 단계(S321 내지 S325)를 더 포함한다.

본 발명의 실시예에 따른 피싱 사이트 탐지 방법은 도 1 내지 도 6를 참조하는 아래의 설명으로부터 충분히 이해할 수 있다.

이하, 도 1 내지 도 6를 참조하여 본 발명의 실시예에 따른 피싱 사이트 탐지 장치가 피싱 사이트 접속 방지 시스템에서 피싱 우려 사이트를 판별하여 경보하는 과정에 대해 자세히 살펴보기로 한다.

먼저, 피싱 사이트 탐지 서버(200)는 피싱 행위로부터 보호하고자 하는 보호 사이트의 기준 이미지 정보를 수집한다. 이를 위해 피싱 사이트 탐지 서버(200)는 사이트 운용 서버(31, 33)나 여타의 사이트 운용 서버에 의해 운용되는 사이트들 중에서 피싱 행위로부터 보호하고자 하는 사이트에 접속하며, 해당 사이트를 구성하는 복수의 페이지를 열람한다. 그리고, 열람한 페이지들에 포함된 이미지들 중에서 각 페이지들에 모두 포함된 중첩 이미지 정보를 추출하며, 추출된 중첩 이미지 정보를 해당 사이트의 기준 이미지 정보로서 수집한다(S301).

도 4a 내지 도 4d를 참조하면, “http://shop.ahnlab.com”이 보호 사이트일 경우에 먼저 도 4a의 메인 페이지를 열람하고, 도 4b의 서브 페이지1 및 도 4c의 서브 페이지2도 순차적으로 열람한다. 그리고, 이러한 복수의 페이지들을 동일한 화면 상에 순차로 표시할 때에 중첩하는 이미지 정보인 도 4d를 해당하는 보호 사이트의 기준 이미지 정보로서 수집한다. 통상적으로 대부분의 사이트들은 페이지마다 변하지 않고 중첩되는 위치에 로고 등과 같은 이미지 정보를 포함하며, 피싱 사이트는 이러한 이미지를 그대로 차용하여 사용자들로 하여금 정상 사이트로 착각하게끔 한다. 이에 착안하여, 본 발명의 실시예에서는 보호 사이트의 기준 이미지 정보를 수집하여 이를 피싱 우려 사이트를 탐지하는 데에 활용한다.

피싱 사이트 탐지 서버(200)가 보호 사이트의 기준 이미지 정보를 수집하여 통신 단말 장치(10)에게 제공하며, 통신 단말 장치(10)에 탑재된 피싱 사이트 탐지 장치(100)의 탐지 정보 제공부(110)는 기준 이미지 정보가 포함된 피싱 탐지 기준 정보를 저장한다(S303).

여기서, 탐지 정보 제공부(110)에 의해 저장되는 피싱 탐지 기준 정보에는 탐지 대상 사이트의 이미지 추출 범위 정보, 이미지 비교 방식 정보, 피싱 우려 사이트의 판별을 위한 유사도 기준치 등을 더 포함한다. 이러한 피싱 탐지 기준 정보에 포함되는 개별의 정보들에 대해서는 아래의 적소에서 설명하기로 한다.

그리고, 피싱 사이트 탐지 장치(100)는 피싱 사이트 탐지 서버(200)로부터 피싱 탐지 기준 정보를 제공받지 않고 처음부터 탐지 기준 정보를 사전 저장한 상태에서 운용되는 스탠드 얼론(standalone) 방식으로 동작할 수도 있다.

피싱 사이트 탐지 장치(100)에 의해 피싱 사이트 탐지(S305)가 시작된 상태에서 통신 단말 장치(10)에 의해 사이트 접속이 시도(S307)되면 피싱 사이트 탐지 장치(100)의 대상 판별부(120)가 접속 요청된 사이트의 접속 위치 정보를 획득하고(S309), 기 저장된 탐지 기준 사이트 리스트를 로드하며(S311), 접속 위치 정보와 탐지 기준 사이트 리스트를 비교한 결과에 따라 탐지 대상 사이트를 판별한다(S313).

여기서, 탐지 기준 사이트 리스트에는 정상 사이트 또는 피싱 사이트의 접속 위치 정보가 포함될 수 있다. 예컨대, 이미 수행된 피싱 사이트 탐지 과정에 의해 정상 사이트로 판별되었거나 피싱 사이트로 판별된 사이트에 대해서는 또 다시 피싱 우려 사이트인지를 판별할 필요가 없다. 즉, 대상 판별부(120)는 탐지 기준 사이트 리스트에 포함되지 않은 접속 위치 정보를 가지는 사이트에 대해서만 탐지 대상 사이트로 판별할 수 있다. 여기서, 접속 위치 정보는 URL 정보 또는 이에 대응하는 IP 주소 정보를 이용할 수 있다.

대상 판별부(120)에 의해 탐지 대상 사이트로 판별되면 피싱 사이트 탐지 장치(100)의 이미지 비교부(130)는 탐지 정보 제공부(110)로부터 피싱 탐지 기준 정보를 로드한다(S315).

이어서, 이미지 비교부(130)는 피싱 탐지 기준 정보에 포함된 이미지 추출 범위 정보에 따라 탐지 대상 사이트의 화면 중 소정의 위치에서 기준 이미지 정보와 동일한 크기의 비교 대상 이미지 정보를 추출하며(S317), 탐지 대상 사이트로부터 추출된 비교 대상 이미지 정보와 기준 이미지 정보를 비교하여 오차를 산출한다(S319). 이러한 이미지 정보 추출 및 오차 산출 과정은 피싱 탐지 기준 정보에 포함된 이미지 추출 범위 내에서 반복적으로 수행된다. 예컨대, 설정된 개수의 픽셀 단위로 이미지 추출 위치를 변경하면서 기준 이미지 정보와 비교하여 오차를 산출할 수 있다. 그리고, 이미지 비교부(130)는 여러 회에 걸쳐서 산출한 오차 값 중에서 가장 작은 최소 오차 값을 피싱 경보부(140)에게 제공한다.

이 때, 이미지 비교부(130)는 피싱 탐지 기준 정보에 포함된 이미지 추출 범위 정보에 의거하여 접속 화면의 특정 구획에서 이미지 비교를 위한 이미지 정보를 추출하기 때문에 접속 화면의 전체를 대상으로 할 때보다 더 신속하게 오차 산출 과정을 끝낼 수 있다. 예컨대, 도 5에 예시한 접속 화면(400)을 구성하는 복수의 화면 구획(401 내지 406) 중에서 화면 구획(401)이 이미지 추출 범위 정보로서 피싱 탐지 기준 정보에 포함되어 있으면 이미지 비교부(130)는 접속 화면(400)의 전체를 대상으로 하여 비교 대상 이미지 정보를 추출하지 않고, 접속 화면(400)의 화면 구획(401)만을 대상으로 하여 비교 대상 이미지 정보를 추출한다. 이에, 접속 화면(400)의 전체를 대상으로 하여 이미지 정보를 추출할 때와 비교하면 상대적으로 적은 연산 처리에 의해 더 빠른 시간 내에 이미지 정보 추출 및 비교 과정을 끝낼 수 있다.

아울러, 피싱 탐지 기준 정보에 포함된 비교 방식 정보는 이미지 비교부(130)가 탐지 대상 사이트로부터 추출된 비교 대상 이미지 정보와 기준 이미지 정보를 비교할 때에 이용하게 된다. 예컨대, 이미지 비교부(130)는 피싱 탐지 기준 정보에 포함된 비교 방식 정보에 의거하여 픽셀 단위의 색상 차이값을 합산하여 비교하는 방식으로 이미지를 비교하거나 가로축과 세로축의 색상 분포를 나타내는 히스토그램을 비교하는 방식으로 이미지를 비교할 수 있다(S321).

여기서, 이미지 비교부(130)는 이미지 비교 시간을 단축하기 위해 처음에는 기 설정된 복수의 픽셀 단위로 이미지 추출 위치를 변경하여 띄엄띄엄 기준 이미지 정보와의 오차를 계산하며, 오차 값이 기 설정된 값보다 낮은 영역에서만 한 픽셀 단위로 이미지 추출 위치를 변경하면서 기준 이미지 정보와의 오차를 계산할 수도 있다.

다음으로, 피싱 사이트 탐지 장치(100)의 피싱 경보부(140)는 이미지 비교부(130)에 의한 이미지 비교의 결과에 따라 탐지 대상 사이트가 피싱 우려 사이트인지를 판별한다. 여기서, 피싱 경보부(140)는 이미지 비교부(130)에 의해 산출된 최소 오차 값과 피싱 탐지 기준 정보에 포함된 유사도 기준치의 비교 결과에 따라 피싱 우려 사이트를 판별할 수 있다.

예컨대, 도 6에 나타낸 그래프와 같이 탐지 대상 사이트인 A 사이트, B 사이트 및 C 사이트의 이미지 비교에 따라 산출된 최소 오차 값과 피싱 탐지 기준 정보에 기 설정된 유사도 기준치를 비교하며, 유사도 기준치보다 더 낮은 오차 값을 가지는 A 사이트를 피싱 우려 사이트로 판별할 수 있다(S323).

아울러, 피싱 경보부(140)는 피싱 사이트 탐지 결과를 화면이나 음향 등을 통해 출력하여 사용자에게 경보하거나 통신 단말 장치(10)에게 전달하여 피싱 사이트 탐지 결과를 출력할 수 있도록 한다. 이에 따라, 통신 단말 장치(10)가 피싱 사이트에 접속하는 것을 방지할 수 있다(S325).

한편, 도 1 내지 도 3의 예시에서는 피싱 사이트 탐지 서버(200)가 보호 사이트를 대상으로 하여 기준 이미지 정보를 수집하여 통신 단말 장치(10)에게 제공하면 피싱 사이트 탐지 장치(100)가 피싱 우려 사이트를 직접 판별하여 경보하는 경우를 설명하였다. 이외에도, 피싱 사이트 탐지 장치(100)가 통신 단말 장치(10)에 의해 접속이 시도되는 탐지 대상 사이트의 접속 위치 정보를 획득하여 피싱 사이트 탐지 서버(200)에게 제공하면 피싱 사이트 탐지 서버(200)가 탐지 대상 사이트를 대상으로 하여 피싱 우려 사이트를 판별한 후에 그 판별 결과를 통신 단말 장치(10)에게 제공하도록 구현할 수도 있다.

첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.

Claims

피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 로드하는 단계와,

상기 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하는 단계와,

추출된 상기 비교 대상 이미지 정보와 상기 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하는 단계와,

상기 비교의 결과에 따라 상기 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보하는 단계

를 포함하는 이미지 비교를 통한 피싱 사이트 탐지 방법.
제 1 항에 있어서,

접속 요청된 사이트의 접속 위치 정보를 획득하는 단계와,

기 저장된 탐지 기준 사이트 리스트를 로드하는 단계와,

상기 접속 위치 정보와 상기 탐지 기준 사이트 리스트를 비교한 결과에 따라 상기 탐지 대상 사이트를 판별하는 단계

를 더 포함하는 이미지 비교를 통한 피싱 사이트 탐지 방법.
제 1 항에 있어서,

상기 피싱 탐지 기준 정보는, 상기 기준 이미지 정보와 상기 비교 대상 이미지 정보의 비교 방식 정보를 더 포함하는

이미지 비교를 통한 피싱 사이트 탐지 방법.
제 3 항에 있어서,

복수의 상기 보호 사이트는, 각각 개별의 상기 피싱 탐지 기준 정보를 가지며,

상기 피싱 탐지 기준 정보는, 상기 보호 사이트의 기준 이미지 정보 및 상기 비교 대상 이미지 정보를 추출하기 위한 이미지 추출 범위 정보를 포함하는

이미지 비교를 통한 피싱 사이트 탐지 방법.
제 4 항에 있어서,

상기 피싱 탐지 기준 정보는, 상기 피싱 우려 사이트의 판별을 위한 유사도 기준치를 포함하며,

상기 추출하는 단계는, 상기 이미지 추출 범위 정보에 의한 이미지 추출 범위 내에서 반복적으로 수행하여 복수의 상기 비교 대상 이미지 정보를 추출하며,

상기 비교하는 단계는, 상기 비교 방식 정보에 따라 상기 복수의 비교 대상 이미지 정보와 상기 기준 이미지 정보를 비교하여 오차 값을 여러 회에 걸쳐서 산출하는

이미지 비교를 통한 피싱 사이트 탐지 방법.
제 5 항에 있어서,

상기 경보하는 단계는, 산출된 상기 오차 값 중에서 가장 작은 최소 오차 값과 상기 유사도 기준치와의 비교 결과에 따라 상기 피싱 우려 사이트를 판별하는

이미지 비교를 통한 피싱 사이트 탐지 방법.
제 1 항에 있어서,

상기 보호 사이트의 기준 이미지 정보는, 상기 보호 사이트를 구성하는 복수의 페이지를 동일한 화면 상에 순차로 표시할 때에 중첩하는 이미지 정보를 사전에 추출하여 수집하는

이미지 비교를 통한 피싱 사이트 탐지 방법.
피싱 사이트의 탐지를 위한 피싱 탐지 기준 정보를 제공하는 탐지 정보 제공부와,

상기 피싱 탐지 기준 정보에 의거하여 탐지 대상 사이트로부터 비교 대상 이미지 정보를 추출하며, 추출된 상기 비교 대상 이미지 정보와 상기 피싱 탐지 기준 정보에 포함된 보호 사이트의 기준 이미지 정보를 비교하는 이미지 비교부와,

상기 비교의 결과에 따라 상기 탐지 대상 사이트가 피싱 우려 사이트로 판별되면 피싱 사이트 탐지 결과를 경보하는 피싱 경보부

를 포함하는 이미지 비교를 통한 피싱 사이트 탐지 장치.
제 8 항에 있어서,

접속 요청된 사이트의 접속 위치 정보를 획득하고, 기 저장된 탐지 기준 사이트 리스트를 로드하며, 상기 접속 위치 정보와 상기 탐지 기준 사이트 리스트를 비교한 결과에 따라 상기 탐지 대상 사이트를 판별하는 대상 판별부

를 더 포함하는 이미지 비교를 통한 피싱 사이트 탐지 장치.
제 8 항에 있어서,

상기 피싱 탐지 기준 정보는, 상기 기준 이미지 정보와 상기 비교 대상 이미지 정보의 비교 방식 정보를 더 포함하는

이미지 비교를 통한 피싱 사이트 탐지 장치.
제 10 항에 있어서,

복수의 상기 보호 사이트는, 각각 개별의 상기 피싱 탐지 기준 정보를 가지며,

상기 피싱 탐지 기준 정보는, 상기 보호 사이트의 기준 이미지 정보 및 상기 비교 대상 이미지 정보를 추출하기 위한 이미지 추출 범위 정보를 포함하는

이미지 비교를 통한 피싱 사이트 탐지 장치.
제 11 항에 있어서,

상기 피싱 탐지 기준 정보는, 상기 피싱 우려 사이트의 판별을 위한 유사도 기준치를 포함하며,

상기 이미지 비교부는, 상기 이미지 추출 범위 정보에 의한 이미지 추출 범위 내에서 상기 비교 대상 이미지의 추출을 반복적으로 수행하여 복수의 상기 비교 대상 이미지 정보를 추출하며, 상기 비교 방식 정보에 따라 상기 복수의 비교 대상 이미지 정보와 상기 기준 이미지 정보를 비교하여 오차 값을 여러 회에 걸쳐서 산출하는

이미지 비교를 통한 피싱 사이트 탐지 장치.
제 12 항에 있어서,

상기 피싱 경보부는, 산출된 상기 오차 값 중에서 가장 작은 최소 오차 값과 상기 유사도 기준치와의 비교 결과에 따라 상기 피싱 우려 사이트를 판별하는

이미지 비교를 통한 피싱 사이트 탐지 장치.
제 8 항에 있어서,

상기 보호 사이트의 기준 이미지 정보는, 상기 보호 사이트를 구성하는 복수의 페이지를 동일한 화면 상에 순차로 표시할 때에 중첩하는 이미지 정보를 사전에 추출하여 수집하는

이미지 비교를 통한 피싱 사이트 탐지 장치.