온라인을 통해 서비스를 제공받기 위해서는 회원가입이 필요하고, 이렇게 회원가입을 통해 수집된 개인정보는 해킹으로 인한 개인정보의 유출로 이어진다. 특히, 유출된 개인정보에 의해 사용자가 지속적으로 공격 받고 피해를 입어 심각한 사회문제가 되고 있다. 이러한 사회공학적 공격 방법은 사람의 심리를 기반으로 하기 때문에, 대부분의 경우 피해를 입기 쉽다. 이러한 공격을 막기 위해 블랙리스트를 이용하여 피싱 사이트를 차단하는 방법이 있다. 하지만 이러한 방법은 짧은 생명 주기로, 새로 생성되는 피싱 사이트에 대해서는 대처 할 수가 없다는 문제를 가지고 있다. 본 논문에서는 사용자의 개인정보 유출 사고를 최소화하는 두 가지 방안을 제시하였다. 블랙리스트와 화이트리스트 비교를 통해 사이트 신뢰를 표시하여 사용자에게 사이트의 진위여부를 판단할 수 있도록 하고, 새로 생성된 사이트에 대해서는 개인정보 입력 감지를 통하여 개인정보 유출을 사전에 차단을 하여, 사용자의 개인정보 유출 사고를 최소화 하는 방안을 제시하였다.
온라인을 통해 서비스를 제공받기 위해서는 회원가입이 필요하고, 이렇게 회원가입을 통해 수집된 개인정보는 해킹으로 인한 개인정보의 유출로 이어진다. 특히, 유출된 개인정보에 의해 사용자가 지속적으로 공격 받고 피해를 입어 심각한 사회문제가 되고 있다. 이러한 사회공학적 공격 방법은 사람의 심리를 기반으로 하기 때문에, 대부분의 경우 피해를 입기 쉽다. 이러한 공격을 막기 위해 블랙리스트를 이용하여 피싱 사이트를 차단하는 방법이 있다. 하지만 이러한 방법은 짧은 생명 주기로, 새로 생성되는 피싱 사이트에 대해서는 대처 할 수가 없다는 문제를 가지고 있다. 본 논문에서는 사용자의 개인정보 유출 사고를 최소화하는 두 가지 방안을 제시하였다. 블랙리스트와 화이트리스트 비교를 통해 사이트 신뢰를 표시하여 사용자에게 사이트의 진위여부를 판단할 수 있도록 하고, 새로 생성된 사이트에 대해서는 개인정보 입력 감지를 통하여 개인정보 유출을 사전에 차단을 하여, 사용자의 개인정보 유출 사고를 최소화 하는 방안을 제시하였다.
When you want to be given the on-line service, their homepage requires sign-up with detail personal information. This collected private information lead to mass data spill by hacking. Especially, this makes terrible social problems that the users who sign up their site are persistingly attacked and ...
When you want to be given the on-line service, their homepage requires sign-up with detail personal information. This collected private information lead to mass data spill by hacking. Especially, this makes terrible social problems that the users who sign up their site are persistingly attacked and damaged by hackers using this information. As methods of the social technologic attacks are simple but based upon human psychology, it is easy that people become a victim in the majority of cases. There is a strategy blocking fishing sites by using the black list for defending these attacks. This tactic, however, has some problems that it isn't possible to handle new fishing sites having a short life-cycle. In this paper, we suggest two solutions to minimize data spill. One marks existing sites with the sign of a reliability measured by a comparison between black list and the white list; therefore, the user check the authenticity about the homepage. The other shut off previously the leaking of private information by sensing a entry of personal information into new sites.
When you want to be given the on-line service, their homepage requires sign-up with detail personal information. This collected private information lead to mass data spill by hacking. Especially, this makes terrible social problems that the users who sign up their site are persistingly attacked and damaged by hackers using this information. As methods of the social technologic attacks are simple but based upon human psychology, it is easy that people become a victim in the majority of cases. There is a strategy blocking fishing sites by using the black list for defending these attacks. This tactic, however, has some problems that it isn't possible to handle new fishing sites having a short life-cycle. In this paper, we suggest two solutions to minimize data spill. One marks existing sites with the sign of a reliability measured by a comparison between black list and the white list; therefore, the user check the authenticity about the homepage. The other shut off previously the leaking of private information by sensing a entry of personal information into new sites.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문은 기존에 가지고 있는 피싱 탐지방법의 한계를 극복하기 위해 키 로그를 통하여 사용자의 입력 값을 감지하여 개인정보 입력시 사이트를 차단하고 사용자에게 간단한 검색을 통해 신뢰 있는 사이트로 안전하게 이동하여 사용할 수 있는 방법을 제시하였다.
이에 본 논문에서는 사용자가 신뢰 있는 사이트를 통해 개인정보를 입력할 수 있도록 실시간 입력을 감지하는 기법을 제안하고자 한다.
이러한 피싱 피해자를 줄이기 위해 많은 기업들이 안티 피싱 제품을 만들어 사용자에게 제공 하고 있지만, 대부분의 피싱 사이트가 짧은 시간동안만 노출 되었다가없어지기 때문에 사이트를 차단한다고 해도 예방 효과가 짧고 새로 생성되는 피싱 사이트에 대해서는 신속하게 대처를 할 수 없다는 문제점을 가지고 있다. 이에 본 논문은 웹 환경에서 피싱 사이트로부터 안전하게 개인정보를 보호하기 위해 블랙리스트와 화이트리스트를 통하여 기존에 만들어진 피싱 사이트를 조기에 차단하고 블랙리스트에 검출 되지 않는 신규 피싱 사이트에 대해서는 개인정보 입력을 감지를 통하여 개인정보 유출 피해를 사전에 차단하고자 한다.
제안 방법
계좌번호는 10자리에서 부터 14자리까지 다양하게 구성되어 있다. 각 금융기관 마다 계좌번호 자리수가 다르고 검증 방법 또한 다르기 때문에 일정한 패턴이 없어 DB에 계좌번호를 등록을 하고 비교하는 방식을 이용하여 검증한다. 계좌번호 10자리 이상을 입력하면 10자리를 DB와 비교하여 값이 일치하면 경고 창을 통해 사용자에게 알려 준다.
하지만 이러한 방법은 새로 생성되는 피싱 사이트나 사회공학적 공격 방법에 대해 신속히 대응할 수 없다는 문제점이 있다. 이에 본시스템은 기존에 URL주소 비교 나 HTML 소스를 통해서 피싱사이트에 대해 확을 작업을 거친뒤 신뢰하지 않은 사이트에 대해서는 키 로그를 통해 입력 값을 추출하고 추출한 값을 통해 개인정보 입력이 감지되면 이를 사용자에게 경고하여 사용자의 입력을 중지시키고 검색을 통해 신뢰 있는 사이트로 이동하여 사용자의 피해를 차단한다. 사이트 신뢰성을 구별하기 위해서는 소스검사를 통해 전송하는 과정에서 개인정보를 암호화를 하는지 암호화를 하지 않은 상태에서 개인정보를 전송(Plain text)하는 것을 확인을 하거나 화이티리스트 블랙리스트를 이용하여 등록되어 있는 피싱 사이트와 공공기관 및 금융기관 등 신뢰 있는 사이트에 대해 미리 등록하여 표시를 하는 방법으로 사이트를 구별하여 표시한다.
성능/효과
본 논문이 제시한 방법을 이용하면 지속적으로 입력을 감지하기 때문에 개인정보의 유출을 미연에 방지 할수 있고, 화이트리스트 데이터베이스 검색을 통해 신뢰된 사이트로 이동하여 개인정보를 안전하게 입력할 수 있는 효과를 가져 올 수 있다.
후속연구
향후 연구로는 갈수록 정교해지고 있어 피싱 사이트가 금융기관이나 공공기관의 소스를 그대로 가져 오는 경우가 많기 때문에 일정한 패턴을 통해 서로 비교를 하여 피싱 사이트로 판별 되면 사전에 이를 차단할 수 있도록 연구할 예정이다.
질의응답
핵심어
질문
논문에서 추출한 답변
피싱(Pishing)은 무엇의 합성어인가?
사회공학적 공격 방법인 피싱(Pishing)은 개인정보 (Private Data)와 낚시(Fishing)의 합성어로, 불특정 다수에게 전화, 이메일, 메신저, SNS, 컴퓨터 시스템의 해킹을 통해 해커 의도대로 유도함으로써 각종 금전과 개인 정보를 취득하는 등 사회공학적 공격과 혼합하여 공격하는 금융사기 수법이다[1].
피싱(Pishing)의 의미는?
사회공학적 공격 방법인 피싱(Pishing)은 개인정보 (Private Data)와 낚시(Fishing)의 합성어로, 불특정 다수에게 전화, 이메일, 메신저, SNS, 컴퓨터 시스템의 해킹을 통해 해커 의도대로 유도함으로써 각종 금전과 개인 정보를 취득하는 등 사회공학적 공격과 혼합하여 공격하는 금융사기 수법이다[1].
사회공학적 공격은 어떠한 형태의 공격방법인가?
사회공학적 공격은 사람의 심리를 공격해 어느 공격보다 예방과 차단하기가 어렵다. 노출이 된 개인정보를 이용하여 지인을 사칭하거나, 사고, 돈 환급 및 미납, 이벤트 당첨 등 여러 가지 방법을 이용하여 사용자를 속이고 공격자의 지시대로 따르도록 하여 피해를 주는 형태로 공격방법에 대한 지식이 없으면 속수무책으로 당하기 쉽다.
참고문헌 (14)
노영근, 웹 서버 IP 주소 검증을 통한 피싱 공격 대응방안, 숭실대학교, 석사학위논문, 2009.
최양서, 서동일 "사회공학적 공격방법을 통한 개인정보 유출 기술 및 대응방안 분석," 한국정보보호학회, Vol.16, No.1.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.