[논문]피싱 및 파밍 방지를 위한 인지 기반의 접근 방법

김주현; 맹영재; 양대헌; 이경희

doi:10.13089/jkiisc.2009.19.1.113

피싱 및 파밍 방지를 위한 인지 기반의 접근 방법
Cognitive Approach to Anti-Phishing and Anti-Pharming 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.19 no.1, 2009년, pp.113 - 124

김주현 (인하대학교 정보통신대학원) , 맹영재 (인하대학교 정보통신대학원) , 양대헌 (인하대학교 정보통신대학원) , 이경희 (수원대학교)

초록
AI-Helper

현재 피싱 공격을 방지하는 여러 가지 기법들이 연구 되고 있다. 이들 중에서 작업관리창이나 브라우저의 주소창에서 피싱 사이트를 구별해 주는 프로그램들이 있으나 이런 프로그램들은 사이트의 도메인이나 IP주소로만 피싱 사이트를 판단한다. 이 접근 방법으로는 DNS 파밍 공격 등은 방어할 수 있지만 숨겨진 공격(Hidden Attack) 등의 HTML 코드를 변경하는 기법에는 취약하다. 이 논문에서는 프로그램이 IP 나 사이트의 도메인을 분석하여 피싱 및 파밍 여부를 판단하는 기존의 방식이 아닌 플러그인과 서버 사이에서 HTML 코드의 변경 유무를 파악하고 피싱 여부를 팝업이나 플래시 등으로 위조하기 어려운 시스템 트레이와 풍선도움말을 사용하여 접속 사이트와 시스템 트레이의 그림을 사용자가 비교함으로서 직접 피싱 및 파밍 여부를 쉽게 결정할 수 있도록 하는 이미지 비교를 통한 인지 기반의 접근 방법을 제시한다.

Abstract ▼ AI-Helper

Recently, lots of anti-phishing schemes have been developed. Several products identify phishing sites and show the results on the address bar of the internet browser, but they determine only by domain names or IP addresses. Although this kind of method is effective against recent DNS pharming attacks, there is still a possibility that hidden attacks which modifies HTML codes could incapacitate those anti-phishing programs. In this paper, the cognitive approach which compares images to decide phishing or pharming is presented, using system tray and balloon tips that are hard to fake with pop-ups or flash in order for users to compare pictures from connecting sites and system tray. It differs from an old method that a program analyzes IP or domains to judge if it is phishing or pharming, but observes if there were HTML code changing between plug-ins and a server.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서 사용하는 플러그인은 HTML 코드의 변경을 분석하여 숨겨진 공격을 방지하는데 주된 목적이 있다. 서버와 클라이언트 사이에 전달된 HTML 코드를 해시 결과를 통하여 비교함으로서 숨겨진 공격을 파악할 수 있다.
최근 HTML 기술이 고도화 됨에 따라 숨겨진 공격을 통하여 사용자의 정보를 가로챌 수 있다. 본 논문에서는 이러한 이유로 프로그램 스스로 피싱 여부를 판단하여 사용자에게 전달하는 방식이 아닌 이미지 비교를 통한 인지력을 기반으로 피싱 사이트를 판단하고 숨겨진 공격을 방지하기 위하여 HTML 코드의 변경유무를 분석한다.
이 단원에서는 본 논문이 제시하는 웹브라우저상의 이미지와 풍선도움말에 있는 이미지를 비교하여 사용자 스스로 피싱 사이트를 구분할 수 있도록 하는 사용자 인지 기반의 기법을 소개한다. 이미지를 비교하는 방법을 사용하는 이유는 현재 나와 있는 피싱 방지 프로그램의 경우 팝업과 메시지 박스 방식이나 주소창에 피싱사이트와 파밍을 경고하는 방식을 사용하고 있지만 이는 실질적으로 프로그램 자체는 피싱 사이트임을 판단하지만 페이지 자체가 정상 사이트와 완전히 동일하다면 사용자는 피싱 사이트를 보고 있지만 프로그램이 오작동을 한다고 생각하게 된다[10].
본 논문에서는 이러한 피싱 공격 및 파밍 공격에 대한 방지책으로, 프로그램이 피싱 및 파밍 여부를 판단하는 것이 아니라 사용자가 접속 사이트와 시스템 트레이의 그림을 비교함으로서 직접 피싱 및 파밍 여부를 쉽게 결정할 수 있도록 하는 인지 기반의 접근 방법을 사용한다. 이와 함께 정상적인 서버와 사용자 사이에 전송된 HTML 코드의 변경되었는지를 HTML 코드의 해쉬 결과를 비교함으로서 판단하여 숨겨진 공격과 DNS 스푸핑 및 DNS 파밍 공격을 방지하는 방법을 제안하고자 한다. 2장에서는 피싱과 관련된 배경 이론과 현황 및 현재 국내외에 상용화된 피싱 방지 프로그램의 성능을 확인과 함께 본 연구를 위해 사용된 기본 기술, 3장에서는 본 연구의 프로토콜 구성, 4장에서는 여러 가지 공격에 대한 안전성에 대해서 살펴보겠다.

가설 설정

만약 플러그인이 접속하고자 하는 서버의 IP 가 변경 되었다면 서버측은 HTML 코드내에서 플러그인의 함수를 호출하거나 플러그인의 변수에 특정한 값을 넣어줄 수 있는 플러그인 쓰레드 기능을 이용하여 플러그인에 안전하게 IP를 전달해야 한다. 그리고 본 프로그램의 처음 설치는 안전하다고 가정한다. 이 가정이 전제되지 않으면 인터넷을 통해 배포되는 어떠한 프로그램도 안전할 수 없기 때문이다.

제안 방법

3. 세션키 SK_E와 MAC을 위한 SK_M 및 HTML 코드의 해시 결과인 HC를 PluginKey를 이용하여 암호화하여 C를 생성한다.
현재의 상용 프로그램들은 도메인 네임과 IP 의 비교를 통하여 피싱과 파밍을 방지하고 사용자나 기업에서 피싱/파밍 사이트를 찾아내고 블랙리스트에 저장하는 방식을 사용하지만 본 플러그인은 웹브라우저에서 요청하는 이미지의 유무와 사이트와 사용자의 HTML 코드 비교를 통하여 DNS 파밍 및 스푸핑을 구별할 수 있다. 또한 툴바 형식의 프로그램의 경우 이미지 치환 공격에 취약하므로 이미지 치환으로 위조하기 어려운 작업관리줄의 트래이 아이콘과 풍선도움말을 사용하였다. 하지만 본 플러그인은 플러그인을 호출하는 서버와 직접적인 통신을 하는 기능이 주된 기능이므로 블랙리스트에 의한 피싱 구별 방법은 사용하지 않았다.
서버는 브라우저로부터 전송받은 메시지인증 코드를 자신이 가지고 있는 데이터를 이용하여 만든 메시지 인증 코드와 비교하여 사용자가 서버에서 전달한 모든 데이터를 안전하게 받았는지 확인한다. 만일이 과정에서 메시지 인증 코드가 일치하지 않으면 사용자는 공격을 받은 것이므로 사용자의 플러그인에게 경고메시지를 보여주는 이미지를 전송한다. 메시지 인증코드가 일k치하면 임의의 이미지를 선택하고 이 파일을 HTML의 해시 값인 HC와 세션키인 SK_E를 해시한 데이터로 파일명을 변경한다.
서버는 PID를 인덱스로 데이터베이스에서 플러그인키 PK를 찾아 C를 복호화 한다. 복호화의 결과로 두 개의 세션키를 얻어내고, SID를 인덱스로 해서 데이터베이스에서 사용자에게 보냈던 HTML 페이지의 해시 값을 얻어낸다. 서버는 브라우저로부터 전송받은 메시지인증 코드를 자신이 가지고 있는 데이터를 이용하여 만든 메시지 인증 코드와 비교하여 사용자가 서버에서 전달한 모든 데이터를 안전하게 받았는지 확인한다.
본 논문에서 제시한 기법은 HTML 코드의 해시를 통하여 HTML 코드의 무결성을 보장한다. Overriding Page Content기법과 같이 정상적인 서버에서 생성한 HTML 코드에 공격자가 정보를 습득하기 위한 코드를 추가해야 하므로 코드의 변경이 필요하게 된다.
본 논문에서는 이러한 피싱 공격 및 파밍 공격에 대한 방지책으로, 프로그램이 피싱 및 파밍 여부를 판단하는 것이 아니라 사용자가 접속 사이트와 시스템 트레이의 그림을 비교함으로서 직접 피싱 및 파밍 여부를 쉽게 결정할 수 있도록 하는 인지 기반의 접근 방법을 사용한다. 이와 함께 정상적인 서버와 사용자 사이에 전송된 HTML 코드의 변경되었는지를 HTML 코드의 해쉬 결과를 비교함으로서 판단하여 숨겨진 공격과 DNS 스푸핑 및 DNS 파밍 공격을 방지하는 방법을 제안하고자 한다.
이 가정이 전제되지 않으면 인터넷을 통해 배포되는 어떠한 프로그램도 안전할 수 없기 때문이다. 안전한 배포를 위하여 공인인증서를 통해 서명을 확인하는 방법을 적용하였다.
∙Softrun NoPhishing: URL 과 IP를 확인하여 피싱사이트를 검출한다. 이 프로그램은 주소창에 구분을 해주는 방식이 아닌 팝업창을 띄워주는 방식으로 피싱 사이트를 사용자에게 경고한다. 그림 5는 프로그램이 DNS 파밍을 차단할 때 보여주는 팝업창이다.
또한 주소창에 표시하는 방식의 경우 이미지 교체 방법과 같이 주소창 및 도구관리 창을 위조하는 방법의 경우 사용자가 구별하기 쉽지 않게 된다[14]. 이러한 공격을 방지하기 위하여 팝업방식의 경고창이 아닌 작업 표시줄의 아이콘과 풍선도움말 기능을 이용하여 자바스크립트를 통한 팝업창 위조를 방지하였으며 풍선도움말 뿐만 아니라 브라우저 자체에도 올바른 이미지 또는 피싱 경고 이미지를 보여주어 사용자로 하여금 피싱 사이트에 접속했는지를 인지할 수 있도록 하였다. 또한 HTML 코드의 해시 결과 비교를 통하여 HTML 코드가 변경되었는지를 감시하여 숨겨진 공격과 DNS 스푸핑 및 DNS 파밍 공격을 방지하게 된다.
브라우저는 서버로부터 HTML코드를 받으면 코드 내에 있는 내용을 순서대로 실행하게 된다. 코드를 실행하면서 [OBJECT]나 [EMBED] 태그를 통하여 플러그인을 호출한다. 플러그인을 수행하는 과정은 [그림 9]에서 볼 수 있다.

성능/효과

3. 사용자는 MAC을 확인하여 PluginID 가 Active Attack 등에 의해 변경되었는지를 확인하고 레지스트리를 이용하여 PluginID와 Plugin Key를 저장하고 필요시에 사용한다.
로그인박스 옆에 보이는 그림은 이미지의 이름을 해시된 결과를 상대주소로 하여 요청하기 때문에 공격자의 서버에는 이미지의 파일이 없다. 그러므로 이미지는 보이지않고 플러그인을 호출했다 하더라도 HTML 코드의 해시 결과가 다르다면 피싱을 경고하고 HTML 코드의 해시 결과가 같다면 플러그인은 정상적인 그림을 보여주지만 코드의 수정이 없다면 공격이 이루어지지 않고 사용자는 웹브라우저의 그림이 이상함을 보고 피싱사이트에 접속했음을 확인할 수 있다.
파밍에 의하여 피싱 사이트에 사용자가 접속하게 되면 URL이 동일하므로 사용자는 피싱 사이트라고 의심하지 않게 된다. 본 논문에서 제시한 기법은 플러그인을 사용하기 때문에 플러그인의 고유한 CLSID를 요청하는 HTML 코드내의 명령어가 있어야 플러그인을 호출할 수 있다. CLSID가 다른 프로그램을 호출하게 되면 플러그인이 사용자에게 설치되어 있지 않기 때문에 설치를 물어보게 된다.
본 논문에서 제안한 피싱 방지 플러그인 모델은 사용자로 하여금 피싱에 대한 인식을 할 수 있게 함과 동시에 HTML 코드의 변경을 감시함으로서 숨겨진 공격을 방지하고 이와 동시에 DNS 파밍 및 DNS 스푸핑 공격을 방지할 수 있다. 현재 ActiveX 나 XPCOM 과 같은 플러그인을 초반에 설치할 경우 사용자가 플러그인이 공격프로그램인지 신뢰할 수 있는 프로그램인지에 대한 판단을 하기가 쉽지 않다.

후속연구

향후 연구로는 본 논문에서 사용한 인지기반의 피싱 방지 프로그램을 모바일 인터넷과 같은 제한된 시스템에서 적용 시키는 방법과 ActiveX 와 XPCOM 기반이 아닌 SSL 기반으로 확대하여 미래에 플러그인을 지원하지 않을 브라우저에 대해서도 확대 적용 하고자 한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	URL 주소 스푸핑은 무엇인가?	URL 주소 스푸핑은 인터넷 브라우저에 표기되어 있는 주소를 속여 특정 사이트를 정상적인 사이트처럼 방문하여 이용할 수 있도록 하는 변조공격의 일종이다. 기존에는 브라우저에서 %01과 %00 과 같은 문자를 인식하지 못하는 부분을 이용했으며 정상 사이트와 유사한 URL을 이용하거나 웹브라우저를 이용하여 로그인 하는 방식을 이용하기도 했다.
	Overriding Page Content 방법에서 어떤 공격이 많이 사용되는가?	Overriding Page Content 방법은 가장 많이 사용되는 거짓된 컨텐츠를 삽입하는 방식으로 실제 웹 페이지 화면에 숨겨진 웹 페이지를 삽입시키는 방법이다[2]. DHTML 함수(DIV)를 이용하여 페이지에 위장된 페이지를 삽입하는 공격이 가장 많이 사용된다. 이 방법은 공격자가 실제 웹 페이지 상단 위에 공격코드를 포함한 하나의 완전한 페이지를 생성하도록 할 수 있다.
	파밍으로 이용될 수 있는 방법에는 무엇이 있는가?	URL을 속이는 기법이 아닌 DNS 또는 프록시 서버의 주소를 직간접적으로 변조하는 파밍 공격은 사용자 측에서 보면 피싱 보다 더욱 쉽게 속을 수 있다. 파밍으로 이용될 수 있는 방법은 DNS 주소의 변조, 클라이언트 호스트 파일 변경, 클라이언트 DNS 서버설정 주소변경, 등록된 도메인의 정보 변경, 프록시 서버 이용, DNS Cache Poisoning 등의 방법이 있다[5,6]. 기존의 피싱 공격은 유사한 이름의 도메인 주소를 이용하거나 정상적인 사이트를 통한 리다이렉트, 정교한 위조 페이지 등을 이용하여 위조된 피싱 사이트로 유도하였으나 사용자가 주의 깊게 살펴보면 피싱 사이트를 인지할 수 있는 부분도 있었다.

참고문헌 (22)

Phishing Activity Trends, http://www. antiphishing.org/reports/apwg_report_may_ 2007.pdf
G. Ollmann, The Phishing Guide, NGS Software Ltd., Sep. 2004
P.P. Swire, "Report from the National Consumers League Anti-Phishing Retreat," National Consumers Leage, Mar. 2006
G. Tally and R. Thomas, "Anti-Phishing: Best Practices for Institutions and Consumers," Anti-Phishng Working Group, pp. 8-20, Nov. 2004
J. Stewart, "DNS Cache Poisoning - The Next Generation," LURHQ, pp. 1-13, Jan. 2003
D. allan, "Identity Theft, Phishing and Pharming: Accountability & esponsibilities," OWASP AppSec, pp. 23-27, Oct. 2005
G. Ollmann, Security Best Practice: Host Naming and URL Conventions, NGS Software Ltd, pp. 5-6, Jan. 2005
L. Fette, "earning to Detect Phishing Emails," Proceedings of the 16th International conference on World Wide Web, pp. 649-656, May 2007
P. Kumaraguru, "Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System," SIGCHI conference on Human factors in computing systems, pp. 905-914, May 2007
M. Wu, "Do Security Toolbars Actually Prevent Phishing Attack?," SIGCHI conference on Human Factors in computing systems, pp. 601-610, Apr. 2006
C. Karlof, "Dynamic pharming attacks and locked same-origin pol icies for web browsers," Proceedings of the 14th ACM Conference on Computer and Communications Security, pp. 58-71, Oct. 2007
R. Dhamija, "Phish and HIPs: Human Interactive Proofs to Detect Phishing Attacks," Human Interactiv e Proofs, LNCS 3517, pp. 131-139, 2005

상세보기
Y. Zhang, S. Egelman, L. Cranor, and J. Hong, "Phinding Phish: Evaluating Anti-Phishing Tools," Proceedings of the 14th Annual Network and Distributed System Security Symposium, Mar. 2007
Hidden Frame & Graphical Substitutio n, http://www.contentverification.com/ attacks.html
eBay's Account guard, http://pages.ebay.com/help/confidence/account-guard.html
Netcraft Toolbar, http://toolbar.net craft.com
spoofstick, http://spoofstick.com
McAfee Siteadviser, http://www.siteadviser.com
TrustBar, http://www.cs.biu.ac.il/~herzbea/TrustBar/
NetTrust, http://www.ljean.com/NetTrust/
ClientPhishingPro, http://www.softforum.co.kr
NoPhishing, http://www.softrun.com

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증