$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

[국내논문] 일반 사용자를 위한 포털 사이트 경유 피싱/파밍 방지 방안
Countermeasures Against Phishing/Pharming via Portal Site for General Users 원문보기

한국통신학회논문지 = The Journal of Korean Institute of Communications and Information Sciences, v.40 no.6, 2015년, pp.1107 - 1113  

김소영 (서울여자대학교 정보보호학과) ,  강지윤 (KAIST 정보보호대학원) ,  김윤정 (서울여자대학교 정보보호학과)

초록
AI-Helper 아이콘AI-Helper

피싱파밍에 대한 공격이 증가하고 있어, 이를 방지하기 위한 많은 연구들이 진행되어 오고 있다. 피싱/파밍의 대상 사이트는 금융권 사이트 등이며, 이들은 포털 사이트 등에 비하여 사용자의 접속 빈도가 상대적으로 적은 편이다. 본 논문에서는, 포털 사이트가 건전하게 자사의 책임을 다한다는 가정 하에, 포털 사이트를 경유하여 금융권 사이트를 접속함으로써 피싱/파밍을 방지하는 방안을 제안한다. 본 방안은, 개발자나 전문적인 사용자가 아닌, 특별히 일반 사용자를 대상으로 한 피싱/파밍 방지안이라 할 수 있다. 이들 방안의 각 부분별 취약성을 나누어 안전성 분석을 수행함으로써, 본 방지안이 최대로 효과적일 수 있는 환경 분석도 수행하였다.

Abstract AI-Helper 아이콘AI-Helper

The number of phishing/pharming attacks occurring has increased and consequently, the number of studies on anti-phishing/pharming has also increased. The target sites of phishing/pharming are financial sites, and these have a low connection rate compared to those of portal sites. In this paper, we p...

주제어

#phishing   #pharming   #anti-phishing   #portal site   #authentication  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • OTP (One Time Password)를 이용한 인증의 안전성을 높이기 위하여, PKI 기반의 모바일 OTP를 이용하고 생성된 OTP를 모바일 단말기에서 인증서버로 직접 전송하는 기법에 대한 연구도 진행되었다.
  • QR 코드를 활용한 다중채널, 다중요소 시스템을 통하여 상호 인증을 함으로써, 피싱이나 파밍을 방지하는 기법에 대한 연구도 진행되었다.
  • 1 절의 피싱 사이트 탐지 기술과 비교하여, 본 제안 방법은 피싱을 방지하고자 하는 주목적은 동일하다. 그러나, 피싱 관리기관이 주로 이용하는 피싱 사이트 탐지에 관한 기술이 아닌, 일반사용자가 쉽게 이용할 수 있는 포괄적인 피싱 방지 방안을 제안한 것이다. 전체적인 비교 내용이 표 2에 나타나 있다.
  • 본 논문에서는 금융권 등의 웹사이트를 접속할 때 포털 사이트를 경유하여 접속함으로써 피싱/파밍을 방지하는 방안을 제안한다. 포털 사이트는 개인사용자보다 상대적으로 보안 관리가 우수하여, 잘못된 피싱/파밍 사이트로 연결될 위험을 낮추자는 것이다.
  • 본 논문에서는 포털 사이트의 개인 계정 맞춤 화면 정보를 이용한 피싱 및 파밍 공격에 대한 대응방안을 제안하였다. 그리고, 제안 방안을 안전성을 지원되는 시스템의 가정들에 따라 분류하여 분석하였다.
  • 그러나, 컴퓨터나 인터넷 사용에 익숙하지 않은 일반 사용자에게는 의미가 없을 수 있다. 본 논문에서는, 컴퓨터나 인터넷 사용에 익숙하지 않은 사용자도 피싱/파밍을 보다 손쉽게 막을 수 있는 방안을 제안하고자 한다. 제안방법은 일반 사용자들이 손쉽게 접속하는 포털 사이트를 이용하여, 금융권 등의 올바른 주소를 접근하도록 하는 방안이다.
  • 본 절에서는 피싱/파밍 공격들에 대한 제안 방법의 안전성을 분석한 결과를 기술한다. 분석한 공격 기법은 피싱 공격, 파밍 공격, MITB, Key Logger, 패스워드 재사용 공격이다.
  • 제안 방안은 컴퓨터 전문가가 아닌 일반 사용자가, 은행 등 피싱/파밍의 위험에 자주 노출되는 사이트에 접속할 때, 포털 사이트의 본인 계정을 경유하여 접속함으로써 포털 사이트에서 관리하는 안전성을 얻을 수 있게 하는 것이 목적이다. 즉, 일반 사용자를 대상으로 하는 것이다.

가설 설정

  • 제안 방법은, 포털 사이트의 신뢰성 및 포털 사이트에서 금융권 사이트 정보를 신뢰하게 관리해 준다는 가정에 근거한다. 이 가정은 현재의 네이버, 구글, 다음, 네이트 등의 포털이 건전하게 업무를 수행하고 있는 상황을 볼 때 타탕한 가정이라 하겠다.
  • 제안 방법의 성공을 위하여는, 우선 포털 사이트가 안전하여야 하고 다음으로 포털 사이트에서 금융권 사이트 정보를 신뢰하게 관리해 준다는 가정이 필요 하다. 포털 사이트의 안전성 외에, 제안 방법이 성공적으로 수행되기 위하여 필요한 가정들에는, 사용자 컴퓨터의 안전성, 공유기나 DNS 서버 등 주위 환경의 안전성, 사용자 컴퓨터에서 포털사이트 접속 시의 인증 안전성, 포털 사이트에서 금융권 사이트 접속 시의 인증 안전성 등이 있다.
  • 이메일을 클릭하여 대상 사이트에 접속하는 피싱 공격에 대하여는, 본 제안 기법을 이용하는 경우 별도의 가정 없이 안전성이 지원된다. 파밍 공격에 대하여는 사용자 컴퓨터의 안전과 공유기/DNS 서버의 안전을 가정하면, 본 제안 시스템을 이용하여 안전한 접속을 할 수 있다. MITB와 Key Logger 공격에 대하여는 사용자 컴퓨터의 안전을 가정시에, 안전한 접속을 할 수 있다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
oPass는 어떻게 구성되는가? oPass는 가입, 로그인, 회복의 3가지 과정으로 구성된다. 가입 시 사용자는 휴대전화에서 oPass 프로그램을 실행하고 사용자의 ID와 서버의 ID를 입력한다.
MP-Auth에서 필요한 가정은? MP-Auth는 Oorschot 등이 2007년에 제안한 방법으로 사용자의 long-term 패스워드를 안전성이 보장되지 않은 PC에서 보호하는 프로토콜이다. 이 프로토콜은 모바일 기기가 존재해야하며 이 모바일 기기는 악성프로그램으로부터 안전하다는 가정이 필요하다.
피싱 공격이란? 피싱(Phishing) 공격은 사용자가 자신의 이메일이나 문자메시지로부터 온 악성 URL을 클릭하여 공격자가 만들어 놓은 가짜 서버로 접속하여 개인정보들이 공격자에게 노출되어 금전적 피해나 사생활 침해 등을 받는 공격을 말한다[1]. 파밍(Pharming) 공격은 사용자가 올바른 웹 사이트의 주소를 입력하였음에도 불구하고 사용자의 DNS 서버 등이 침해되어 사용자가 공격자가 만들어 놓은 가짜 서버로 접속하게 되는 것을 말한다[2].
질의응답 정보가 도움이 되었나요?

참고문헌 (18)

  1. Korean National Police Agency, Phishing (2015), Retrieved June 2015, from http://www.police.go.kr/portal/main/contents.do?menuNo200289 

  2. Korean National Police Agency, Pharming (2015), Retrieved June 2015, from http://www.police.go.kr/portal/main/contents.do?menuNo200288 

  3. J.-Y. Kang, J. Yoon, and Y. Kim, "Phishing/ pharming examples and countermeasure analysis," in Proc. KIISE KCC, pp. 738-740, Yeosu, Korea, Jun. 2013. 

  4. S. Kim, J. Kang, and Y. Kim, "Security analysis of phishing countermeasures," in Proc. KIISE Winter Conf., pp. 756-758, Pyongchang, Korea, Dec. 2014. 

  5. J. S. Shin, "Study on anti-phishing solutions, related researches and future directions," J. The Korea Inst. Inf. Security & Cryptology, vol. 23, no. 6, pp. 1037-1047, Dec. 2013. 

    원문보기 상세보기 crossref

  6. J. H. Sa and S. Lee, "Real-time phishing site detection method," J. The Korea Inst. Inf. Security & Cryptology, vol. 22, no. 4, pp. 819-825, Aug. 2012. 

  7. M. Lee, H. Lee, and H. Yoon, "An anti-phishing approach based on search engine," in Proc. KIISE KCC, vol. 37, no. 1(D), pp. 121-124, Jeju, Korea, Jun. 2010. 

  8. D. Min, T. Shon, and J. Moon, "A study on the phishing attack protection using URL spoofing," J. The Korea Inst. Inf. Security & Cryptology, vol. 15, no. 5, pp. 35-45, Oct. 2005. 

  9. J. H. Kim, Y. J. Maeng, D. H. Nyang, and K. H. Lee, "Cognitive approach to anti-phishing and anti-pharming," J. The Korea Inst. Inf. Security & Cryptology, vol. 19, no. 1, pp. 113-124, Feb. 2009. 

  10. B. Parno, C. Kuo, and A. Perrig, "Phoolproof phishing prevention," Financial Cryptography and Data Security, LNCS, vol. 4107, pp. 1-19, 2006. 

  11. M. Mannan and P. C. van Oorschot, "Using a personal device to strengthen password authentication from an untrusted computer," Financial Cryptography and Data Security, LNCS, vol. 4886, pp. 88-103, 2007. 

  12. H. Sun, Y. Chen, and Y. Lin. "oPass: A user authentication protocol resistant to password stealing and password reuse attacks," IEEE Trans. Inf. Forensics and Security, vol. 7, no. 2, pp. 651-663, Apr. 2012. 

    상세보기 crossref

  13. T.-H. Kim, J.-H. Lee, and D.-H. Lee, "Study on mobile OTP(One Time Password) mechanism based PKI for preventing phishing attacks and improving availability," J. The Korea Inst. of Inf. Security & Cryptology, vol. 21, no. 1, pp. 15-26, Feb. 2011. 

  14. G. Varshney, R. C. Joshi, and A. Sardana, "Personal secret information based authentication towards preventing phishing attacks," Advances in Intell. Syst. and Comput., vol. 176, pp. 31-42, 2012. 

    crossref

  15. R. Dhamija and J. D. Tygar, "The battle against phishing: Dynamic security skins," Symp. Usable Privacy and Security (SOUPS), pp. 77-88, Pittsburgh, PA, USA, Jul. 2005. 

  16. J. Lee, H. You, C. Cho, and M. Jun, "A design secure QR-Login user authentication protocol and assurance methods for the safety of critical data using smart device," J. KICS, vol. 37C, no. 10, pp. 949-964, Oct. 2012. 

    원문보기 상세보기 crossref

  17. S. Seo, C. Choi, G. Lee, and H. Choi, "QR code based mobile dual transmission OTP system," J. KICS, vol. 38B, no. 5, pp. 377-384, May 2013. 

    원문보기 상세보기 crossref

  18. J.-Y. Park, J. Kim, M. Shin, and N. Kang, "QR-code based mutual authentication system for web service," J. KICS, vol. 39B, no. 4, pp. 207-215, Apr. 2014. 

    원문보기 상세보기 crossref

저자의 다른 논문 :

LOADING...

관련 콘텐츠

오픈액세스(OA) 유형

BRONZE

출판사/학술단체 등이 한시적으로 특별한 프로모션 또는 일정기간 경과 후 접근을 허용하여, 출판사/학술단체 등의 사이트에서 이용 가능한 논문

유발과제정보 저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로