[논문]인증 및 사전 권한 검증을 통한 스미싱 방지 시스템 제안

박상호; 이준형

인증 및 사전 권한 검증을 통한 스미싱 방지 시스템 제안 원문보기

박상호 (라온시큐어 보안기술연구팀) , 이준형 (건양대학교 정보보호학과)

본 논문은 최근 가장 이슈화 되고 있는 스미싱 위협의 방지에 대해 다루며, 단순히 스미싱 방지뿐만 아니라 탐지율 향상, 오탐률 감소를 위해 새로운 모델을 제안한다. 첫 번째 모델은 문자메시지 송/수신 시 특정 인증 값을 첨부/확인하여 정상 기관 인증을 수행하는 모델이며, 두 번째 모델은 문자메시지에 첨부된 URL을 사용자가 메시지 수신을 확인하기 전에 사전 검증하여 악성 유무를 판별하는 모델이다. 두 모델의 기본 동작 방식 제안과 설계를 통해 장점과 단점을 언급한다.

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 기존 스미싱 방지 어플리케이션 모델의 부적절한 기술을 분석하고, 우회 가능한 시나리오 제시를 통해 한계를 확인하였다. 이러한 한계점을 극복하기 위해 정상 기관 인증 수행 모델과 악성 어플리케이션 사전 검증 모델을 제안 하고 설계 및 장/단점을 언급 하였다.
본 논문은 이러한 스마트 뱅킹 사용자 증가에 따른 고도화된 금융사기 피해 방지를 위한 모델 중에서 문자메시지를 통해 악성 앱을 유포하는 스미싱 기법을 방지하기 위한 시스템을 제안한다. 단순히 피해 방지뿐만 아니라 탐지율 향상, 오탐률 감소를 고려한 새로운 모델을 제안하며, 이를 통해 금융사기 피해를 줄이고 스마트 폰 사용자의 스미싱 위협을 해소할 수 있도록 기여할 것이다.

제안 방법

다음으로 인증 앱이 파싱한 해시 값과 SQLite에 저장된 사용자의 암호화된 Passphrase를 금융권 서버로 전송하며, 금융권 서버에서 사용자가 보낸 암호화된 Passphrase를 데이터베이스에서 검색하고, 검색한 Passphrase 값을 복호화 한다. 그 후 복호화 된 Passphrase와 첫 번째 단계에서 사용자 별 Passphrase 와 함께 저장되어 있던 난수를 이용 해 해시 값을 생성한 후 인증 앱이 보낸 해시 값과 금융권 서버가 생성한 해시 값이 일치한지 확인한다. 일치한다면 인증 앱에게 이 사실을 알리고, 결과 값을 인증 앱에게 보냄과 동시에 저장하고 있던 난수와 해시 값을 삭제한다.
추후 검증을 위해 해시 알고리즘에서 사용되었던 난수 값과 해시 값을 사용자 별로 금융권 서버에서 저장하고, 생성한 해시 값은 사용자에게 보내고자 하는 Text 와 함께 사용자에게 전송 된다. 그 후, 사용자 스마트 폰의 인증 앱이 금융권에서 특정 형태로 전송 된 문자메시지를 감지하고 해당 문자메시지에 포함되어 있는 해시값을 파싱한다. 다음으로 인증 앱이 파싱한 해시 값과 SQLite에 저장된 사용자의 암호화된 Passphrase를 금융권 서버로 전송하며, 금융권 서버에서 사용자가 보낸 암호화된 Passphrase를 데이터베이스에서 검색하고, 검색한 Passphrase 값을 복호화 한다.
우선 악성 앱 다운로드를 유도하기 위한 IP 또는 도메인 주소를 구매한 후 다운로드 주소를 생성한다. 그 후, 실제 스미싱 문자메시지를 배포하기 전에 스미싱 방지 앱이 설치된 스마트폰으로 문자메시지를 보내어 필터 여부를 확인한다. 만약 필터가 된다면, 다른 패턴 및 주소를 이용하여 다시 반복 확인을 수행하고, 우회된다면 사용자들에게 스미싱 문자메시지를 보낸다.
그 후, 사용자 스마트 폰의 인증 앱이 금융권에서 특정 형태로 전송 된 문자메시지를 감지하고 해당 문자메시지에 포함되어 있는 해시값을 파싱한다. 다음으로 인증 앱이 파싱한 해시 값과 SQLite에 저장된 사용자의 암호화된 Passphrase를 금융권 서버로 전송하며, 금융권 서버에서 사용자가 보낸 암호화된 Passphrase를 데이터베이스에서 검색하고, 검색한 Passphrase 값을 복호화 한다. 그 후 복호화 된 Passphrase와 첫 번째 단계에서 사용자 별 Passphrase 와 함께 저장되어 있던 난수를 이용 해 해시 값을 생성한 후 인증 앱이 보낸 해시 값과 금융권 서버가 생성한 해시 값이 일치한지 확인한다.
해시 알고리즘에서는 XOR 연산에 사용되는 Passphrase 문자열의 길이를 16으로 맞추기 위해 패딩 (Padding)을 수행하고, 생성 된 난수열 16자리와 함께 XOR 연산을 수행한다. 수행 된 XOR 연산 결과 값은 SHA-1 해시 알고리즘으로 해시 연산하고 연산 된 두 Passphrase 해시 값을 다시 XOR 연산과 SHA-1 해시 연산을 수행한다. 그 후 마지막으로 생성 된 해시 값 상위 8자리를 문자 메시지와 함께 사용자에게 보낼 해시값으로 사용한다.
원본 URL이 도메인 형태라면 일반 기업의 URL 일 수도 있으므로 해당 URL을 통해 서버에 통신을 요청하고 요청 응답의 내용에서 ‘PK’ 시그니쳐(Signature)가 있는지 확인한다.
본 논문에서는 기존 스미싱 방지 어플리케이션 모델의 부적절한 기술을 분석하고, 우회 가능한 시나리오 제시를 통해 한계를 확인하였다. 이러한 한계점을 극복하기 위해 정상 기관 인증 수행 모델과 악성 어플리케이션 사전 검증 모델을 제안 하고 설계 및 장/단점을 언급 하였다. 제안 모델은 모두 다른 분야에도 확장 가능한 모델로 금융권뿐만 아니라 사용자 인증이 필요한 모든 곳에서 사용할 수 있고, 악성 어플리케이션 검사 시에도 기존과는 다른 새로운 탐지 방법으로 사용할 수 있다.
해시 알고리즘에서는 XOR 연산에 사용되는 Passphrase 문자열의 길이를 16으로 맞추기 위해 패딩 (Padding)을 수행하고, 생성 된 난수열 16자리와 함께 XOR 연산을 수행한다. 수행 된 XOR 연산 결과 값은 SHA-1 해시 알고리즘으로 해시 연산하고 연산 된 두 Passphrase 해시 값을 다시 XOR 연산과 SHA-1 해시 연산을 수행한다.

대상 데이터

사용자는 금융권에서 제공하는 인증 어플리케이션 (이하 인증 앱)을 정상적인 경로를 통해 다운로드 받아 자신의 모바일에 설치한다. 그 후, 사용자는 인증 앱에 8~16글자 사이의 문자열을 등록하고, 인증 앱은 사용자가 등록한 Passphrase 문자열을 서버로 전송한다.

성능/효과

‘피싱제로’는 스마트폰으로 수신되는 문자메시지를 자동 감지 후 URL 분석 기능을 통해 스미싱으로 예상되는 파일이 존재할 경우 사용자에게 위험을 알린다. 그러나 테스트 결과 실제 악성 앱 다운로드를 유발하는 URL을 첨부하였음에도 불구하고, 제대로 된 탐지를 하지 못하는 것으로 확인된다.
제안 모델인 정상 기관 인증 모델과 악성 앱 사전 검증 모델의 장점과 단점은 아래와 같다. 기존의 스미싱 방지 모델에 비해 많은 점이 개선되며, 두 모델을 함께 수행할 경우 기존에 연구한 문제점을 벗어나, 더욱 높은 스미싱 방지 효과를 낼 수 있다. 정상 기관 인증 모델이 구현되고 운용됨으로써 발생 할 수 있는 장점과 단점은표 4와 같다.
이러한 한계점을 극복하기 위해 정상 기관 인증 수행 모델과 악성 어플리케이션 사전 검증 모델을 제안 하고 설계 및 장/단점을 언급 하였다. 제안 모델은 모두 다른 분야에도 확장 가능한 모델로 금융권뿐만 아니라 사용자 인증이 필요한 모든 곳에서 사용할 수 있고, 악성 어플리케이션 검사 시에도 기존과는 다른 새로운 탐지 방법으로 사용할 수 있다. 향후 본 논문에서 제시한 설계를 기반으로 도구 구현을 할 시 첫 번째 모델이 구축되어 서비스됨으로써 해당 모델을 사용하는 사용자는 악의적인 해커의 금융기관 사칭 위험으로부터 벗어나며, 만약 사용자의 실수로 인하여 해커가 유도한 서버로 접속하였을 때 두 번째 모델을 적용함으로써 사용자의 악성 앱 감염을 탐지 및 차단할 수 있다.

후속연구

본 논문은 이러한 스마트 뱅킹 사용자 증가에 따른 고도화된 금융사기 피해 방지를 위한 모델 중에서 문자메시지를 통해 악성 앱을 유포하는 스미싱 기법을 방지하기 위한 시스템을 제안한다. 단순히 피해 방지뿐만 아니라 탐지율 향상, 오탐률 감소를 고려한 새로운 모델을 제안하며, 이를 통해 금융사기 피해를 줄이고 스마트 폰 사용자의 스미싱 위협을 해소할 수 있도록 기여할 것이다.
향후 본 논문에서 제시한 설계를 기반으로 도구 구현을 할 시 첫 번째 모델이 구축되어 서비스됨으로써 해당 모델을 사용하는 사용자는 악의적인 해커의 금융기관 사칭 위험으로부터 벗어나며, 만약 사용자의 실수로 인하여 해커가 유도한 서버로 접속하였을 때 두 번째 모델을 적용함으로써 사용자의 악성 앱 감염을 탐지 및 차단할 수 있다. 이로 인해 기존 스미싱 방지 어플리케이션보다 높은 탐지율과 안전성을 제공하여 사용자들의 스마트 폰 사용에 도움이 될 것으로 예상된다.
제안 모델은 모두 다른 분야에도 확장 가능한 모델로 금융권뿐만 아니라 사용자 인증이 필요한 모든 곳에서 사용할 수 있고, 악성 어플리케이션 검사 시에도 기존과는 다른 새로운 탐지 방법으로 사용할 수 있다. 향후 본 논문에서 제시한 설계를 기반으로 도구 구현을 할 시 첫 번째 모델이 구축되어 서비스됨으로써 해당 모델을 사용하는 사용자는 악의적인 해커의 금융기관 사칭 위험으로부터 벗어나며, 만약 사용자의 실수로 인하여 해커가 유도한 서버로 접속하였을 때 두 번째 모델을 적용함으로써 사용자의 악성 앱 감염을 탐지 및 차단할 수 있다. 이로 인해 기존 스미싱 방지 어플리케이션보다 높은 탐지율과 안전성을 제공하여 사용자들의 스마트 폰 사용에 도움이 될 것으로 예상된다.

핵심어

질문

논문에서 추출한 답변

스미싱이란?

스미싱이란 ‘문자메시지(SMS)를 이용해 개인정보 또는 금융정보를 낚는다(Phishing)’는 의미의 합성어이다. 기본적으로 발신자의 신원을 속인 문자메시지를 통해 악의적인 사용자가 첨부한 링크에 접속하게 한 후, 악성 앱을 설치하여 스마트폰 내의 개인정보 또는 금융정보를 탈취하는 사기 수법이다.

스미싱 공격은 어떠한 문제점을 가지는가?

스미싱 공격은 감염시킬 스마트 폰에서 동작할 악성 앱을 반드시 설치해야 하는 문제점 때문에 공통적으로 문자메시지 안에 악성 앱 다운로드를 위한 URL링크가 포함되어 있는 특징이 있다. 대부분 실제 URL이 아닌 단축 URL 서비스를 거친 사용자가 알아볼 수 없는 URL로 변환하여 문자 메시지를 발신한다.

스미싱은 국내에서 어떤 수법으로 사용되고 있는가?

기본적으로 발신자의 신원을 속인 문자메시지를 통해 악의적인 사용자가 첨부한 링크에 접속하게 한 후, 악성 앱을 설치하여 스마트폰 내의 개인정보 또는 금융정보를 탈취하는 사기 수법이다. 국내에서는 악성 앱 설치후 휴대폰 결제 인증 SMS를 탈취하여, 피해자가 인지하지 못한 상태에서 휴대폰 결제를 완료시키는 수법으로 사용되고 있다. 또한, 기존에는 발신자의 신원을 무작위익명으로 진행하였으나, 현재는 웹하드, 커뮤니티 등에서 특정 계정 정보를 탈취한 후 지인 또는 정상 기관으로 사칭하여 해당 계정과 관계가 있는 지인들에게 문자메시지를 보내는 고도화 된 수법도 진행되고 있다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

인증 및 사전 권한 검증을 통한 스미싱 방지 시스템 제안 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

질의응답

참고문헌 (2)

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

인증 및 사전 권한 검증을 통한 스미싱 방지 시스템 제안 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

질의응답

참고문헌 (2)

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

초록
AI-Helper

AI 본문요약
AI-Helper