최근 증가하고 있는 피싱 공격은 사용자의 실수를 유발해 개인정보를 공격자에게 노출시켜 공격자가 경제적 이득을 취하는 공격이다 유사 메일이나 유사 주소로 사용자를 속이던 이 기법은, 메일주소 위조, 도메인 주소 위조 등으로 점점 다양해지며 기술적으로 발전해 왔다. 최근에 이르러서는 몇몇 웹 브라우저에서 발생한 취약점, 정상적인 스크립트, HTML, DNS스니핑 등을 이용한 RUL 스푸핑 공격을 피싱 공격에 이용하면서 그 피해가 크게 늘고 있다. 본 논문에서는 피싱 공격에 사용되는 고도화된 기법인 URL 스푸핑을 이용한 피싱 공격에 대해서 논의하고 이에 대한 검사방법과 예방책, 더 나아가 피싱 공격을 근본적으로 제한할 수 있는 스킴을 제안한다.
최근 증가하고 있는 피싱 공격은 사용자의 실수를 유발해 개인정보를 공격자에게 노출시켜 공격자가 경제적 이득을 취하는 공격이다 유사 메일이나 유사 주소로 사용자를 속이던 이 기법은, 메일주소 위조, 도메인 주소 위조 등으로 점점 다양해지며 기술적으로 발전해 왔다. 최근에 이르러서는 몇몇 웹 브라우저에서 발생한 취약점, 정상적인 스크립트, HTML, DNS 스니핑 등을 이용한 RUL 스푸핑 공격을 피싱 공격에 이용하면서 그 피해가 크게 늘고 있다. 본 논문에서는 피싱 공격에 사용되는 고도화된 기법인 URL 스푸핑을 이용한 피싱 공격에 대해서 논의하고 이에 대한 검사방법과 예방책, 더 나아가 피싱 공격을 근본적으로 제한할 수 있는 스킴을 제안한다.
There has recently been an increase of phishing attacks, attacks which lure users into revealing their personal information to an attacker who in turn exploits this information for economic gain. The conventional methods of fooling the user with similarly modified mail or address are constantly evol...
There has recently been an increase of phishing attacks, attacks which lure users into revealing their personal information to an attacker who in turn exploits this information for economic gain. The conventional methods of fooling the user with similarly modified mail or address are constantly evolving and have diversified to include the forgery of mail or domain addresses. Recently the injury incurred by these attacks has greatly increased as attackers exploit the weaknesses found on a few web browsers and used these to conduct phishing attacks based on URL spoofing. Furthermore we are now witnessing the entrance of highly advanced phishing techniques that no longer simply rely on vulnerabilities, but employ ordinary script, HTML, DNS sniffing, and the list goes on. In this paper we first discuss means of investigating and preventing the advanced URL spoofing techniques used in phishing attacks, and then propose a scheme for fundamentally restricting them altogether.
There has recently been an increase of phishing attacks, attacks which lure users into revealing their personal information to an attacker who in turn exploits this information for economic gain. The conventional methods of fooling the user with similarly modified mail or address are constantly evolving and have diversified to include the forgery of mail or domain addresses. Recently the injury incurred by these attacks has greatly increased as attackers exploit the weaknesses found on a few web browsers and used these to conduct phishing attacks based on URL spoofing. Furthermore we are now witnessing the entrance of highly advanced phishing techniques that no longer simply rely on vulnerabilities, but employ ordinary script, HTML, DNS sniffing, and the list goes on. In this paper we first discuss means of investigating and preventing the advanced URL spoofing techniques used in phishing attacks, and then propose a scheme for fundamentally restricting them altogether.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
빼냈다.'"' 1990년대 후반 전자상거래와 인터넷 금융거래의 빠른 보급화 물결을 타고 사용자의 개인정보가 정보에 국한되지 않고 경제적인 이득과 직결되자 해커들은 위조된 전자우편을 발송하는 기법에 착안하여 사용자의 개인정보를 빼내고자 하였다. 피싱은 주로 스팸메일(spam-mail)과 같은 수신자가 원하지 않는 전자우편을 다량으로 발송하여 합법적인 전자상거래나 인터넷 은행과 같은 금융 관련 사이트로 유인하여 사용자들로 하여금 계좌정보갱신, 로그인.
본 논문에서는 이러한 URL 스푸핑과 피싱이 결합된 공격방법에 대해서 연구하고, 이를 예방하는 방안에 대해서 제안하고자 한다. 2장에서는 피싱과 관련된 현재 연구현황과 배경이론, 3장에서는 URL 스푸핑을 이용한 피싱 공격기법 분석, 4장에서는 제안하는 피싱 공격의 대응방안, 5장에서는 공격 방어실험과 결과에 대해서 살펴보겠다.
게다가, 접속하는 웹 사이트마다 모두 주소를 확인하고 피싱 여부를 검사하는 방법도 다소 무리가 있으며, ISA 서버로의 Reverse Lookup이나 DNS, hosts 파일 변조를 통한 피싱 공격은 주소 확인을 통해서 위조된 사이트의 판별이 불가능하다. 이 절에서는 알려진 피싱 공격의 대응방안과 한계에 대해서 간략하게 서술하도록 하겠다.
이번 장에서는 피싱 공격 방어 기법에 관련된 배경 연구로서 피싱 공격의 개념과 현황 및 피싱 공격에 있어 가장 널리 사용되고 또한 본 논문에서 초점을 맞추고 있는 URL 스푸핑에 대해서 알아볼 것이다.
제안 방법
수신된 이메일에 있는 하이퍼링크를 인터넷 익스플로러 기능중의 하나인 "바로 가기 복사를 이용해 메모장과 같은 문서편집기에 복사하여 URL을 확인한다. 이 방식으로 3.
검사, 웹 캐쉬 질의. DNS 질의의 순서를 거치므로, 도메인 질의 우선순위가 가장 높은 hosts 파일의 위조를 시뮬레이션 하였다. 웹 브라우저가 주소창에 www.
PLT검사를 통해 반환된 IP는 검사의 정확성을 위해 DNS에 한번 더 질의하며, 세션 IP, DNS 질의를 반환 값을 비교하여 그 결과를 기준으로 피싱을 검사한다. TTP의 인증을 받지 않은 사이트의 위조를 판별하는 프레임워크는 그림 4에 나타나 있다.
실험결과의 확인을 수월하게 하기 위해 개인 키로 서명된 암호문과 평문은<META>태그에삽입하여 전송하였고, 프로그램은 TTP에 IP로 요청하여 받아온 공개키로 서명을 확인하였다. TTP 는 내부네트워크에서 소켓을 사용하여 통신하였으며, 요청 받은 IP에 대한 공개키 반환 기능만을 구현하였다.
TTP를 통한 사이트의 인증을 시뮬레이션 하기 위해, 내부 네트워크에 웹 서버를 실행 시켜 환경을 만들었다. 실험결과의 확인을 수월하게 하기 위해 개인 키로 서명된 암호문과 평문은<META>태그에삽입하여 전송하였고, 프로그램은 TTP에 IP로 요청하여 받아온 공개키로 서명을 확인하였다.
TTP를 통해 사이트를 인증하는 스킴은 4장 제안하는 방안에서 언급했듯이, 사이트가 위조되지 않았음을 증명하는 스킴이기 때문에, 거짓이나 위조공격에 대한 실험은 하지 않고, TTP를 통해 사이트를 인증하는 과정만을 시뮬레이션 한다. TTP를 통한 사이트 인증 프레임워크의 시뮬레이션 결과는 그림 9에 나타나 있다.
본 논문에서 제안한 피싱 검사 모델은 사용자의 간섭이 필요 없는 자동화된 모델로써, 인증을 통해사용자와 사이트와의 신뢰관계를 형성함£로써 근본적으로 피싱 공격을 사전에 방지할 수 있다. 또한, Pharming과 같은 피싱과 다른 형태의 공격이 발생하였을 경우에도, TTP의 방어나 PLT 갱신을 통해 해당 도메인으로의 접속을 제한하여 피해를 에방할 수 있다.
TTP는 웹 서버의 공개키를 TTP의 개인 키 Pr_ttp로 암호화 시킨 Epr_ttp(Pb_web)과 Pb_web을 함께 보내어 사용자가 증명할 수 있도록 한다. 사용자는 TTP의 공개키 Pb_ttp로 TTP에 게 전송받은 EPr_ttp(Pb_web)i- 복호화 하여 Pb_web 을 검증하고, 이를 이용해 웹 서버가 보내온 정보인 Epr_web(R) 을 복호화한다. 복호화된 정보 Dpb_web (*_Eweb(R)) 와 日을 비교하여 웹 서버가 신뢰할 수 있는 사이트인지 증명한다.
피싱 공격의 실험은 스크립트, HTML등 웹 브라우저의, 취약점을 이용한 피싱 공격과 ISA서버, DNS하이재킹 등 도메인 질의 반환값을 위조하는 피싱 공격의 검사로 나누어 실험하였고, TTP를 통해 사이트를 인증하는 방안을 시뮬레이션 하였다. 실험 결과의 확인을 수월하게 하기 위하여, 피싱 공격에 사용되는 유사사이트를 잘 알려진 국내의 포탈사이트로 대체하였다.
실험결과의 확인을 수월하게 하기 위해 개인 키로 서명된 암호문과 평문은태그에삽입하여 전송하였고, 프로그램은 TTP에 IP로 요청하여 받아온 공개키로 서명을 확인하였다.
0을 이용하여 간단한 서핑 기능이 있는 웹 브라우저를 제작하였다. 웹 브라우저는 위에 제안한 방법에 따라 피싱을 검사하는 기능을 탑재했으며, TTP를 통한 인증에 실패하였을 경우 자동적으로 PLT검사를 하도록 했다. 실험에서 TTP는 자체적으로 응답하여 신뢰할 수 있다고 가정하였으나, 실제네트워크에 적용시에는 사용자와 TTP간의 암호화 통신을 통한 신뢰구간 확보가 반드시 필요하다.
웹 브라우저의 취약점을 이용한 피싱 공격 검출실험은 주소창에 특수문자를 포함시켜 URL을 스푸핑 하는 기법을 사용하였다. 웹 브라우저가 www.
제안된 방안의 실험을 위해 윈도우 기반에서 비주얼 베이직 6.0을 이용하여 간단한 서핑 기능이 있는 웹 브라우저를 제작하였다. 웹 브라우저는 위에 제안한 방법에 따라 피싱을 검사하는 기능을 탑재했으며, TTP를 통한 인증에 실패하였을 경우 자동적으로 PLT검사를 하도록 했다.
실험에서 TTP는 자체적으로 응답하여 신뢰할 수 있다고 가정하였으나, 실제네트워크에 적용시에는 사용자와 TTP간의 암호화 통신을 통한 신뢰구간 확보가 반드시 필요하다. 피싱 공격의 실험은 스크립트, HTML등 웹 브라우저의, 취약점을 이용한 피싱 공격과 ISA서버, DNS하이재킹 등 도메인 질의 반환값을 위조하는 피싱 공격의 검사로 나누어 실험하였고, TTP를 통해 사이트를 인증하는 방안을 시뮬레이션 하였다. 실험 결과의 확인을 수월하게 하기 위하여, 피싱 공격에 사용되는 유사사이트를 잘 알려진 국내의 포탈사이트로 대체하였다.
해당 스크립트는 현재 방문하고 있는 웹 페이지의 실제 URL 정보를 보여주며, 이것을 방문하고 있는 웹 페이지의 URL과 비교한다.
대상 데이터
물론, TTP에 등록되지 않은 모든 도메인을 질의하여 반환된 IP를 비교하는 방법이 가장 효과가 좋겠지만, 이것은 네트워크와 시스템의 성능에 상당한 부담을 주게 된다. 이를 해결하기 위해, 질의하는 도메인의 범위를 제한할 필요가 있으며, 프레임워크의 목적이 피싱 공격의 방어에있으므로, 피싱 공격에 이용되는 사이트인 은행, 증권회사, 쇼핑몰 등 전자상거래가 가능한 사이트들로 한정 짓는다. 논문에서는 이 사이트들을 주요사이트 (Principal Web-Site)라고 명명하고, 이 주요 사이트들이 구성된 목록을 주요사이트 목록 테이블 (PLT : Principal Web-Site List Table)이라고 한다.
이론/모형
내부 네트워크의 실험환경이라 도메인 네임은 IP가 그대로 보여졌으며, TTP에 IP를 질의하여 반환받은 공개키 값 103으로 암호문 “03106490 89013400317972092177306856"을 복호화하여 사이트가 전송해 온 평문과 같은 평문 "DKENWBQU" 임을 확인할 수 있다. 공개키 서명 알고리즘은 RSA 를 이용하였다.
성능/효과
또한, 월간집계를 통해 2005년 1월에 집계된 피싱 사이트는 2560개로 전월인 2004년 12월에 비해 28% 증가하였고, 2004년 10월에 비해 2배 이상 증가하여 점진적으로 피싱사이트가 늘어나고 있는 것을 알 수 있다. 피싱사이트 한 개당 일어나는 피싱사고의 건수가 작게는 수 십개에서 많게는 수 백 개에 '이르고, 접수되지 않은 피싱사이트를 감안해보면 피싱 사고는 피해규모는 더욱 클 것으로 추정된다.
실험 결과, 현재 주소창에 보여지는 도메인 이름 www.daum.net 으로 질의한 IP 주소가 세션의 IP주소 220.95223.8로 같음을 확인할 수 있다. 결과창에서 보여지듯이 도메인의 IP주소가 스푸핑 되어 오기 때문에 알려진 방안들로는 검출이 불가능하고, PLT를 통해서 검출할 수 있다.
실험을 통해 TTP를 통한 사이트의 인증으로 피싱 공격을 사전에 방지할 수 있고, 사이트가 인증되지 않는 경우 PLT를 이용하여 피싱 공격을 효과적으로 검출할 수 있음을 보였다. 그러나 TTP를 통한 사이트 인증 프레임워크에서 사이트 인증을 위한 과부하 실험이나, TTP에서 제공하는 서버의 과부하실험 등은 실험환경의 미비로 이루어지지 않았다.
후속연구
만약 서비스를 하는 모든 사이트들이 TTP 의 인증을 받아 사용자가 사이트를 증명할 수 있도록 제공한다면, 이 프레임워크는 피싱사고를 방지하는 가장 이상적인 모델이 될 수 있을 것이다. 그러나, TTP에의 인증은 서비스를 하는 웹 사이트가 자발적으로 하여야 하기 때문에, 모든 웹 사이트가 TTP에 인증을 받는다고 생각하기 어렵다.
이런 피싱 공격은 사용자의 주의를 통하여 쉽게 예방할 수 있지만, 모든 사용자가 이러한 피싱 공격을 주의를 통해서 방어할 수 있다고 단정짓기는 어렵다. 추후 이런 문제도 해결할 수 있는 방안이 요구되며, 전자우편의 특성상 이미지를 포함하는 경우가 많기 때문에 TTP 인증을 통한 워터마킹이나 스테가노그래피를 이용한 전자우편 인증체계를 포함해야 할 것이다.
Secunia, 'Internet Explorer URL Spoofing Vulnerability', 'http://secunia.com/ advisories/10395/'
US-CERT, 'Microsoft Internet Explorer DHTML Editing ActiveX control contains a cross-domain vulnerabilit y', 'http://www.kb.cert.org/vuls/id/356600'
securityfocus, 'Microsoft Internet Explorer Modal Dialog Zone Bypass Vulnerability', Jan 11, 2005
securityfocus, 'Microsoft Internet Explorer IFRAME Status Bar URI Obfuscation Weakness', Nov 02, 2004
securityfocus, 'Microsoft Internet Explorer TABLE Status Bar URI Obfuscation Weakness', Nov 02, 2004
securityfocus, 'Microsoft Internet Explorer Spoofed Address Bar Vulnerability', Aug 16, 2004
securityfocus, 'Microsoft Internet Explorer JavaScript Interface Spoofing Vulnerability', Jul 12, 2004
Mat Bright, 'Spoof Email Phishing Scams and Fake Web Pages or Sites', millersmiles, Feb 23, 2004
Mat Bright, 'Spoof Email Hoax scams and Fake Web Pages or Sites', millersmiles, Feb 23, 2004
NetworkAppliance, inc, 'Advisory Note: In Your Company At Risk?', June 6, 2004
The Honeynet Project & Research Alliance, 'Know your Enemy:Phishing', May 16, 2005
Robert Louis B. Stevenson, 'Plugging the phishing hole: legislation versus technology', Computer Crime Research Center, Mar 17, 2005
Brien Posey, 'How to Avoid Phishing Scams', Jan 27, 2005
J. Zhou and D. Gollmann, 'A fair non-repudiation protocol,' In Proceedings of 1996 IEEE Sym posium on Security and Pivacy, pages 55-61, Oakland, California, May 1996
K. Kim, S. Park and J. Baek, 'Improving Fairness and Privacy of Zhou- Gollmann's Fair Non-repudiation Protocol,' IEEE International Workshop on Security, 1999
※ AI-Helper는 부적절한 답변을 할 수 있습니다.