WO2024122924A1

WO2024122924A1 - 피싱 피해 모니터링 시스템 및 그 방법

Info

Publication number: WO2024122924A1
Application number: PCT/KR2023/018539
Authority: WO
Inventors: 김준엽
Original assignee: Lavarwave Co Ltd
Current assignee: Lavarwave Co Ltd
Priority date: 2022-12-07
Filing date: 2023-11-17
Publication date: 2024-06-13
Anticipated expiration: 2025-06-07
Also published as: KR102521677B1

Abstract

본 문서에 개시되는 실시예에 따르면, 피싱 피해 모니터링 시스템은, 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 추출부; 가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 더미데이터 생성부; 사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하고, 상기 피싱 어플리케이션을 통해 상기 더미데이터를 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송하는 처리부; 및 상기 타겟 디바이스가 상기 피싱 서버의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 모니터링부를 포함할 수 있다.

Description

피싱 피해 모니터링 시스템 및 그 방법

본 문서에 개시된 실시예들은 피싱 피해 모니터링 시스템 및 그 방법에 관한 것이다.

최근에 윈도우 모바일(windows mobile), i-OS(Operating System), 안드로이드(Android) 등의 모바일 운영체제를 적용하여 스마트폰 기능을 수행하는 통신단말장치의 보급이 활성화되었다.

이와 같은 모바일 운영체제를 적용한 통신 단말 장치에서는 해당 모바일 운영체제를 기반으로 다양한 어플리케이션(application) 프로그램을 실행하여 사용자에게 다양한 정보 처리 서비스를 제공한다. 그리고, 모바일 운영체제를 적용한 통신단말장치는 어플리케이션 프로그램으로서 브라우저(browser)를 구비하고, 해당 브라우저를 실행하여 인터넷 웹 사이트에 통신 접속함으로써, 다양한 웹 사이트의 정보를 사용 자에게 제공한다. 이러한 모바일 운영체제를 적용한 통신 단말 장치는 어플리케이션 프로그램을 실행하여 문자메시지 수신, 멀티 미디어메시지 수신, 이메일 수신, 콘텐츠 거래 등의 수행 시에 유입된 URL에 의거하여 통신 접속을 시도하는 일이 빈번하다.

하지만, 이처럼 수신된 URL에 의거한 통신 접속은 접속 대상 사이트의 유해 여부를 확인하지 않고 있기 때문에 피싱 사이트, 국내외 음란 사이트, 사행성 사이트 등과 같은 유해 사이트에 그대로 통신 접속하게 되는 경우가 발생할 수 있다. 이 중에서도 특히 피싱 사이트의 접속은 금융 범죄로 이어지는 경우가 다반사이기 때문에 사회 문제화되고 있다. 예컨대, 문자메시지에 금융기관으로 위장한 피싱 사이트로의 접속을 유도하는 URL 정보가 포함된 경우에 통신 단말 장치가 URL 정보에 따라 피싱 사이트에 쉽게 접속될 수 있으며, 이러한 피싱 사이트에 의해 개인정보가 유출되는 경우가 빈번하게 발생되고 있다.

일반적으로 피싱 피해를 방지하기 위한 기술은 통신 단말 장치에 수신되는 유해 단문메시지 등을 차단하는 기술들이나, 유해 단문메시지에 포함된 URL 정보에 의한 피싱 사이트의 접속을 차단하는 기술이 있으나, 피싱 어플리케이션에 의해 이미 개인정보가 유출된 경우에 대처할 수 있는 방법이 없다는 문제점이 있었다.

또한, 피해자의 추가 피해를 방지하기 위해 개인정보가 유출된 후 가해자의 가해 시도를 실시간으로 모니터링하여 피해자를 가해자의 협박으로부터 사전에 차단하여 보호할 수 없다는 문제점이 있었다.

실시예에 따르면, 상기 모니터링부는, 상기 타겟 디바이스가 상기 가해 정보를 수신한 경우 피해자에게 경고를 수행할 수 있다.

실시예에 따르면, 상기 모니터링부는, 상기 피해자에게 상기 가해 정보를 전달하여 상기 가해 정보를 차단하여 상기 운영 주체를 차단하도록 상기 경고를 수행할 수 있다.

실시예에 따르면, 상기 타겟 정보는 관계 호칭 정보를 포함할 수 있다.

실시예에 따르면, 상기 가해 정보는 상기 운영 주체의 전화번호, 프로필, 이메일, 계좌 번호, IP 주소 중 적어도 하나를 포함할 수 있다.

실시예에 따르면, 상기 더미데이터 생성부는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 상기 더미데이터를 생성할 수 있다.

실시예에 따르면, 상기 더미데이터 생성부는 전화번호부 생성 모듈, 문자메시지 생성 모듈 및 고유식별번호 생성 모듈 중 적어도 하나를 포함할 수 있다.

실시예에 따르면, 상기 더미데이터 생성부는 상기 가해 정보를 수신하는 경우, 상기 가해 정보에 기초한 가상 정보를 더 생성할 수 있다.

실시예에 따르면, 상기 처리부는 모바일 디바이스, 가상 머신 및 에뮬레이터 중 적어도 하나를 포함할 수 있다.

실시예에 따르면, 상기 처리부는 상기 추출부, 상기 더미데이터 생성부 및 상기 모니터링부와 물리적으로 분리되어 구성될 수 있다.

실시예에 따르면, 피싱 피해 모니터링 시스템은, 기존의 피해 정보를 저장하고 관리하는 데이터베이스를 더 포함할 수 있다.

실시예에 따르면, 피싱 피해 모니터링 시스템은, 상기 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보에 기초하여 상기 피싱 어플리케이션을 피해자 단말 또는 상기 데이터베이스로부터 획득하는 어플리케이션 획득부를 더 포함할 수 있다.

실시예에 따르면, 상기 어플리케이션 획득부는, 상기 피싱 어플리케이션 정보를 상기 데이터베이스의 데이터와 비교한 결과에 기초하여 상기 피싱 어플리케이션을 상기 데이터베이스로부터 획득

실시예에 따르면, 상기 모니터링부는 상기 가해 정보에 기초하여 상기 데이터베이스의 데이터를 최신화할 수 있다.

본 문서에 개시되는 실시예에 따르면, 피싱 피해 모니터링 방법은, 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 단계; 가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 단계; 사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하고, 상기 피싱 어플리케이션을 통해 상기 더미데이터를 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송하는 단계; 및 상기 타겟 디바이스가 상기 피싱 서버 정보의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 단계를 포함할 수 있다.

실시예에 따르면, 상기 타겟 디바이스가 상기 가해 정보를 수신한 경우 피해자에게 경고를 수행하는 단계를 더 포함할 수 있다.

본 문서에 개시되는 실시예들에 따른 피싱 피해 모니터링 시스템 및 방법은, 피해자들이 피싱 어플리케이션을 삭제한 경우에도 데이터베이스를 통해 피싱 어플리케이션을 획득할 수 있어 피해자로부터 피싱 어플리케이션을 획득할 수 없는 경우에도 유출 정보를 보호하고 피싱 피해를 모니터링할 수 있다.

또한, 본 문서에 개시되는 실시예들에 따른 피싱 피해 모니터링 시스템 및 방법은, 가상 머신 등을 사용하여 피싱 어플리케이션 실행 중에 발생할 수 있는 추가적인 개인 정보 유출을 방지할 수 있다.

또한, 본 문서에 개시되는 실시예들에 따른 피싱 피해 모니터링 시스템 및 방법은, 더미데이터가 피싱 어플리케이션에 의해 피싱 서버로 전송되도록 하여 가해자의 의심을 피할 수 있어 작업이 발각될 위험이 적다.

이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.

도 1은 본 문서에 개시된 일 실시예에 따른 피싱 피해 모니터링 시스템의 동작 구조를 보여주는 도면이다.

도 2a 및 도 2b는 본 문서에 개시된 일 실시예들에 따른 피싱 피해 모니터링 시스템의 블록도이다.

도 3은 본 문서에 개시된 일 실시예에 따른 더미데이터가 피싱 서버로 전송되는 과정을 보여주는 도면이다.

도 4는 본 문서에 개시된 일 실시예에 따른 피싱 피해 모니터링 방법을 설명하기 위한 흐름도이다.

이하, 본 발명의 다양한 실시 예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 실시 예의 다양한 변경(modification), 균등물(equivalent), 및/또는 대체물(alternative)을 포함하는 것으로 이해되어야 한다.

본 문서에서 아이템에 대응하는 명사의 단수 형은 관련된 문맥상 명백하게 다르게 지시하지 않는 한, 상기 아이템 한 개 또는 복수 개를 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및 B 중 적어도 하나",“A 또는 B 중 적어도 하나”, "A, B 또는 C", "A, B 및 C 중 적어도 하나” 및 “A, B, 또는 C 중 적어도 하나"와 같은 문구들 각각은 그 문구들 중 해당하는 문구에 함께 나열된 항목들 중 어느 하나, 또는 그들의 모든 가능한 조합을 포함할 수 있다. "제 1", "제 2", 또는 "첫째" 또는 "둘째"와 같은 용어들은 단순히 해당 구성요소를 다른 해당 구성요소와 구분하기 위해 사용될 수 있으며, 해당 구성요소들을 다른 측면(예: 중요성 또는 순서)에서 한정하지 않는다. 어떤(예: 제 1) 구성요소가 다른(예: 제 2) 구성요소에, “기능적으로” 또는 “통신적으로”라는 용어와 함께 또는 이런 용어 없이, “커플드” 또는 “커넥티드”라고 언급된 경우, 그것은 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로(예: 유선으로), 무선으로, 또는 제 3 구성요소를 통하여 연결될 수 있다는 것을 의미한다.

본 문서에서 설명되는 구성요소들의 각각의 구성요소(예: 모듈 또는 프로그램)는 단수 또는 복수의 개체를 포함할 수 있다. 다양한 실시 예들에 따르면, 해당 구성요소들 중 하나 이상의 구성요소들 또는 동작들이 생략되거나, 또는 하나 이상의 다른 구성요소들 또는 동작들이 추가될 수 있다. 대체적으로 또는 추가적으로, 복수의 구성요소들(예: 모듈 또는 프로그램)은 하나의 구성요소로 통합될 수 있다. 이런 경우, 통합된 구성요소는 상기 복수의 구성요소들 각각의 구성요소의 하나 이상의 기능들을 상기 통합 이전에 상기 복수의 구성요소들 중 해당 구성요소에 의해 수행되는 것과 동일 또는 유사하게 수행할 수 있다. 다양한 실시 예들에 따르면, 모듈, 프로그램 또는 다른 구성요소에 의해 수행되는 동작들은 순차적으로, 병렬적으로, 반복적으로, 또는 휴리스틱하게 실행되거나, 상기 동작들 중 하나 이상이 다른 순서로 실행되거나, 생략되거나, 또는 하나 이상의 다른 동작들이 추가될 수 있다.

본 문서에서 사용되는 용어 "모듈", 또는 “...부”는 하드웨어, 소프트웨어 또는 펌웨어로 구현된 유닛을 포함할 수 있으며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로와 같은 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는, 상기 부품의 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 일 실시 예에 따르면, 모듈은 ASIC(application-specific integrated circuit)의 형태로 구현될 수 있다.

본 문서의 다양한 실시 예들은 기기(machine) 의해 읽을 수 있는 저장 매체(storage medium)(예: 메모리)에 저장된 하나 이상의 명령어들을 포함하는 소프트웨어(예: 프로그램 또는 애플리케이션)로서 구현될 수 있다. 예를 들면, 기기의 프로세서는, 저장 매체로부터 저장된 하나 이상의 명령어들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 상기 호출된 적어도 하나의 명령어에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 한다. 상기 하나 이상의 명령어들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장 매체는, 비일시적(non-transitory) 저장 매체의 형태로 제공될 수 있다. 여기서,‘비일시적’은 저장 매체가 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장 매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다.

도 1을 참조하면, 피싱 피해 모니터링 시스템(100)은 피싱 어플리케이션에 의해 유출된 피해자의 유출 정보를 보호하고, 가해자로부터 수신되는 가해 정보를 모니터링하여 피해자를 가해자의 추가적인 협박과 같은 가해로부터 보호할 수 있다.

피싱 피해 모니터링 시스템(100)은 고객의 사진, SNS 정보, 문자메시지, 메신저내용, 연락처 정보 등의 개인정보가 피싱 어플리케이션을 통해 유출된 경우, 가상 정보 및 타겟 정보를 포함하는 더미데이터를 피싱 서버(10)로 전송하여, 기 유출된 개인정보를 무력화시켜 더 이상의 유출을 방지함으로써 유출 정보를 보호할 수 있다.

예를 들어, 피싱 피해 모니터링 시스템(100)은 피싱 서버(10)로 더미데이터를 전송하여 피싱 서버(10)의 데이터를 밀어내는 방법, 덮어쓰기 하는 방법, 데이터를 인식하지 못하도록 하는 방법 등 다양한 방법을 통해 유출 정보를 보호할 수 있다.

또한, 피싱 피해 모니터링 시스템(100)은 피싱 서버(10)로 가상 정보 및 타겟 정보를 포함하는 더미데이터를 전송하고, 피싱 서버(10)의 운영 주체(20)로부터 타겟 디바이스(30)가 수신하는 가해 정보를 모니터링하여 피해자를 가해자의 추가적인 협박과 같은 가해로부터 보호할 수 있다.

피싱 서버(10)는 피싱 범죄에 사용된 피싱 어플리케이션과 송수신하여 유출 데이터를 전송 받거나 저장하는 서버를 포함할 수 있다. 또한, 피싱 서버(10)의 운영 주체(20)는 피싱 어플리케이션 및/또는 피싱 서버(10)를 이용하여 피해자의 개인 정보 등을 유출하고 유출된 정보를 기초로 피해자를 협박하는 가해자를 포함할 수 있다. 이하에서 피싱 서버(10)의 운영 주체(20)는 가해자로 참조될 수 있다.

타겟 디바이스(30)는 피싱 피해 모니터링 시스템(100)의 운영자(예를 들어, 사용자, 법인 등)이 소유 또는 관리하고 있는 통신 단말(예를 들어, 모바일 디바이스, PC, 태블릿 등), 서버 등일 수 있다. 타겟 디바이스(30)는 피싱 서버(10)의 운영 주체(20)로부터 가해 정보를 수신할 수 있다.

예를 들어, 타겟 디바이스(30)는 모바일 디바이스일 수 있고 PC 등에서 구동되는 가상 머신 또는 에뮬레이터일 수 있다. 타겟 디바이스(30)는 가해자로부터 문자메시지, 전화를 수신할 수 있고, PC에서 SNS 서비스(예를 들어, 트위터, 메타 등), 메신저 서비스(예를 들어, 카카오톡, 라인 등), 이메일 서비스(예를 들어, 구글, 네이버 등) 등의 계정으로 로그인하여 해당 계정으로 가해자가 전송하는 메시지, 메일 등을 수신할 수 있다.

도 2a 및 도 2b를 참조하면, 피싱 피해 모니터링 시스템(100)은 추출부(110), 더미데이터 생성부(120), 처리부(130) 및 모니터링부(140)를 포함할 수 있다. 실시예에 따르면, 피싱 피해 모니터링 시스템(100)은 프로세서(processor)나 CPU(central processing unit)와 같은 하드웨어 장치이거나, 또는 하드웨어 장치에 의하여 구현되는 소프트웨어나 프로그램일 수 있다.

실시예에 따르면, 추출부(110)는 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출할 수 있다. 이 때, 피싱 어플리케이션은 피해자의 피싱 피해에 이용된 어플리케이션을 포함할 수 있다. 피싱 어플리케이션은 피해자의 개인 정보 등을 피싱 서버(10)로 유출하도록 설정되어 있을 수 있고, 추출부(110)는 피싱 어플리케이션으로부터 전송되는 데이터를 통해 피싱 서버 정보를 추출할 수 있다. 피싱 서버 정보는 예를 들어, 통신에 사용된 IP 대역이나 사이트 주소(URL) 등을 포함할 수 있다. 일 예로, 피싱 서버 정보는 VPS(Virtual Private Server) 정보, C&C(Command & Control) 정보, IP주소, 접근 경로, 로그 전송 내역 등을 포함할 수 있다.

실시예에 따르면, 추출부(110)는 피싱 어플리케이션에 의해 피싱 서버(10)로 전송되는 유출 데이터를 분석할 수도 있다. 유출 데이터는 예를 들어, 피해자의 전화번호 데이터, 문자메시지 데이터, 사진 데이터, 영상 데이터, 메신저 데이터 등을 포함할 수 있다. 추출부(110)는 유출 데이터를 분석하여 피싱 서버(10)로 전송되는 데이터의 파일 형식, 파일 용량 등을 확인할 수 있다.

예를 들어, 추출부(110)는 피싱 어플리케이션을 디컴파일링한 결과에 기초하여 피싱 어플리케이션의 피싱 서버 정보 및/또는 유출 데이터를 추출하여 분석할 수 있다. 디컴파일링은 프로그램 파일(예를 들어, APK 파일 또는 IPA 파일)을 컴퓨터 프로그래밍 언어(예를 들어, 자바, C++, C 등)로 구현된 코드로 변환하는 과정을 의미할 수 있다. 프로그램 파일을 디컴파일링하는 경우, 프로그래밍 언어로 구현된 코드를 확인할 수 있고, 해당 코드를 분석하여 프로그램 파일의 구동 방식, 사용하는 서버 주소, 프로그램 파일을 통해 전송되는 정보 등을 확인할 수 있다. 따라서, 추출부(110)는 피싱 어플리케이션을 디컴파일링한 코드를 분석함으로써 해당 피싱 어플리케이션에 의해 전송되는 유출 데이터 및/또는 피싱에 사용되는 피싱 서버 정보를 추출할 수 있다.

또한, 추출부(110)는 더미데이터가 피싱 어플리케이션을 통해 피싱 서버(10)로 정상적으로 전송되었는지 확인할 수 있다. 일 예로, 추출부(110)는 피싱 서버 정보 및/또는 유출 데이터를 분석하는 과정과 마찬가지로, 피싱 어플리케이션을 디컴파일링하여 통신 패킷을 분석함으로써 전송하고자 하는 데이터(예를 들어, 더미데이터)가 피싱 서버(10)로 정상적으로 전송되었는지 확인할 수 있다. 이를 통해, 피싱 피해 모니터링 시스템(100)은 기 유출된 개인 정보를 피싱 서버(10)에서 무력화시키는 과정이 정상적으로 이루어지고 있는지를 확인할 수 있다.

실시예에 따르면, 더미데이터 생성부(120)는 가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성할 수 있다. 가상 정보는 예를 들어 누구인지 특정 불가능하거나 식별 불가능한 사진, 사용되지 않는 전화번호 형식의 연락처, 무의미한 내용이 저장된 문서, 식별 불가능한 SMS 데이터, 사용되지 않는 형식의 고유식별번호 등을 포함할 수 있다. 이러한 데이터는 주로 피싱 어플리케이션이 피싱 서버(10)로 전송하는 유출 데이터에 대응되는 데이터일 수 있다.

일 실시예에서, 더미데이터 생성부(120)는 피싱 어플리케이션에 의해 유출되었을 것으로 예상되는 데이터 형식(예를 들어, 전화번호 형식)을 가지는 가상 정보를 생성할 수 있다. 더미데이터 생성부(120)는 추출부(110)에서 분석한 유출 데이터에 기초하지 않고 후술할 소프트웨어, 프로그래밍 언어 스크립트 등을 통해 랜덤으로 데이터를 생성할 수 있다.

다른 실시예에서, 더미데이터 생성부(120)는 추출부(110)에서 분석한 피싱 어플리케이션에 의해 유출되는 데이터 형식에 대응되도록 가상 정보를 생성할 수 있다. 예를 들어, 추출부(100)에서 분석한 유출 데이터가 .txt 확장자를 가진다면, 더미데이터 생성부(10)는 .txt 확장자를 가지는 파일을 생성할 수 있다.

실시예에 따르면, 타겟 정보는 타겟 디바이스(30)에 대응되는 정보일 수 있다. 타겟 정보는 실제로는 존재하지 않는 정보인 가상 정보(예를 들어, 실제로는 존재하지 않는 전화번호)와 달리, 실제로 존재하는 정보를 포함할 수 있다. 예를 들어, 타겟 정보는 타겟 디바이스(30)의 실제 전화번호, 프로필 등을 포함할 수 있다.

실시예에 따르면, 타겟 정보는 관계 호칭 정보를 포함할 수 있다. 관계 호칭 정보는 가족 관계를 지칭하는 호칭(예를 들어, 엄마, 아빠, 동생 등), 교우 관계를 지칭하는 호칭(예를 들어, 여자친구, 남자친구, 베스트 프렌드 등) 등을 포함할 수 있다. 더미데이터 생성부(120)는 실제로 존재하는 정보(예를 들어, 전화 번호)와 관계 호칭 정보를 매칭(예를 들어, 엄마-010.xxxx.xxxx)시켜 타겟 정보를 생성할 수 있다. 이 때, 관계 호칭 정보는 피해자와의 관계를 가상으로 나타내기 위한 것으로 피해자와의 실제 관계와는 무관하다. 일반적으로 가해자는 피해자와 가까운 관계에 있는 사람에게 협박을 할 가능성이 높으므로, 더미데이터 생성부(120)는 타겟 정보를 생성할 때, 피해자와 가까운 관계를 지칭하는 호칭(예를 들어, 엄마, 여자친구 등)을 사용할 수 있다.

실시예에 따르면, 더미데이터 생성부(120)는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 더미데이터를 생성할 수 있다. 소프트웨어는 다양한 데이터 형식을 가지는 가상 정보를 자동으로 생성하는 프로그램을 포함할 수 있다. 프로그래밍 언어 스크립트는 프로그래밍 언어로 구현된 코드를 포함할 수 있으며, 프로그래밍 언어는 예를 들어, 자바(Java), 파이썬(Python), 루비(Ruby), C, C++ 등을 포함할 수 있다. 프로그래밍 언어 스크립트는 예를 들어, 코드에 데이터 형식을 입력하면 해당 데이터 형식을 가지는 가상 정보를 자동으로 생성할 수 있다. 또한, 더미데이터 생성부(120)는 사용자가 입력하는 데이터를 엑셀 등에 저장함으로써 더미데이터를 생성할 수 있다.

더미데이터 생성부(120)는 추출부(110)에서 분석된 유출 데이터와 무관하게 소프트웨어, 프로그래밍 언어 스크립트 등을 이용하여 랜덤으로 더미데이터를 생성할 수 있다. 또한, 더미데이터 생성부(120)는 추출부(110)에서 분석된 유출 데이터에 대응되도록(예를 들어, 동일한 확장자를 가지도록) 가상 정보를 생성하는 것도 가능하다.

실시예에 따르면, 더미데이터 생성부(120)는 전화번호부 생성 모듈, 문자메시지 생성 모듈 및 고유식별번호 생성 모듈 중 적어도 하나를 포함할 수 있다. 전화번호부 생성 모듈은 실제로는 사용되지 않는 전화번호 형식을 가지는 가상의 전화번호를 생성할 수 있다. 문자메시지 생성 모듈은 임의의 문자메시지를 생성할 수 있다. 이 때, 임의의 문자메시지는 아무 의미 없는 문자열을 나열하는 등의 텍스트를 포함할 수 있다. 고유식별번호 생성 모듈은 사용되지 않는 형식의 고유식별번호를 생성할 수 있다. 이 때, 고유식별번호(International Mobile Equipment Identity, IMEI)는 모바일 디바이스가 가지는 고유의 일련번호를 포함할 수 있다.

실시예에 따르면, 전화번호부 생성 모듈, 문자메시지 생성 모듈, 고유식별번호 생성 모듈 각각은 소프트웨어, 프로그래밍 언어 스크립트 등을 통해 자동으로 더미데이터를 생성할 수 있고, 사용자 입력에 기초하여 수동으로 더미데이터를 생성할 수도 있다.

실시예에 따르면, 처리부(130)는 사용자 입력에 기초하여 피싱 어플리케이션을 실행하여 더미데이터가 피싱 어플리케이션에 의해 피싱 서버(10)로 전송되도록 할 수 있다.

실시예에 따르면, 처리부(130)는 도 2a와 같이, 추출부(110), 더미데이터 생성부(120) 및 모니터링부(140)와 하나의 물리적 구성(예를 들어, PC)에 포함될 수 있다. 다른 실시예에서, 처리부(130)는 도 2b와 같이 추출부(110), 더미데이터 생성부(120) 및 모니터링부(140)와 물리적으로 분리되어 구성될 수 있다. 예를 들어, 추출부(110), 더미데이터 생성부(120) 및 모니터링부(140)는 A PC에 구성될 수 있고, 처리부(130)는 B PC에 구성될 수 있다.

실시예에 따르면, 처리부(130)는 피싱 어플리케이션을 실행함으로써 피싱 어플리케이션이 더미데이터를 스스로 피싱 서버(10)로 전송하게 할 수 있다. 가해자는 피싱 어플리케이션으로부터 피싱 서버(10)로 데이터가 전송되므로, 피싱 피해 모니터링 시스템(100)의 동작에 의한 것이라고 예상할 수 없을 것이고, 그에 따라 가해자에게 작업이 발각되지 않고 안정적으로 유출 정보 보호 및 피싱 피해 모니터링이 가능하다.

실시예에 따르면, 처리부(130)는 모바일 디바이스, 가상 머신 및 에뮬레이터 중 적어도 하나를 포함할 수 있다. 이 때, 모바일 디바이스는 피해자 디바이스가 아닌, 개인정보가 저장되어 있지 않은 디바이스일 수 있다. 다만 경우에 따라서 피싱 피해 모니터링 시스템(100)은 피해자 디바이스에서 피싱 피해 모니터링 작업을 진행할 수 있고, 이 경우 처리부(130)와 피해자 디바이스는 실질적으로 동일할 수도 있을 것이다.

실시예에 따르면, 가상 머신 및/또는 에뮬레이터는 PC에서 모바일 어플리케이션의 구동을 가능케 하는 프로그램을 포함할 수 있다. 일반적으로 피싱 어플리케이션은 모바일 어플리케이션일 수 있고, 모바일 어플리케이션은 호환성 문제 등으로 PC에서 실행되지 않을 수 있다. 따라서, 피싱 피해 모니터링 시스템(100)은 모바일 어플리케이션의 구동을 가능케 하는 가상 머신, 에뮬레이터 등을 사용하여, 가상 머신 내에서 피싱 어플리케이션을 실행하여 피싱 피해 모니터링 작업을 가능하게 할 수 있다.

피싱 피해 모니터링 시스템(100)이 피해자 디바이스에서 유출 정보 보호 및 피싱 피해 모니터링 작업을 하는 경우, 피해자 디바이스에는 여전히 피싱 어플리케이션이 설치되어 있고 피해자 개인 정보가 남아 있을 수 있으므로, 의도치 않은 추가 개인정보 유출이 발생할 가능성이 있다. 이에 비해, 처리부(130)로 에뮬레이터나 가상 머신을 사용하는 경우, 피해자 개인 정보 데이터가 저장되어 있지 않아 만일의 추가 유출 사태를 방지할 수 있다. 그에 따라, 피싱 피해 모니터링 시스템(100)은 보안을 강화하기 위한 별도의 프록시 서버를 구비할 필요가 없어 시간적, 비용적 면에서 효율적인 작업이 가능하다. 또한, 피싱 피해 모니터링 시스템(100)은 경우에 따라서 추출부(110), 모니터링부(140)등의 동작이 이루어지는 디바이스(예를 들어, PC)와 같은 디바이스에서 처리부(130)의 작업이 가능할 수 있어 효율적으로 작업을 수행할 수 있다.

실시예에 따르면, 모니터링부(140)는 타겟 디바이스(30)가 피싱 서버(10)의 운영 주체(20)로부터 수신하는 가해 정보를 모니터링할 수 있다. 가해자는 피싱 서버(10)에 전송된 더미데이터를 피해자의 유출 데이터로 오인하여 더미데이터에 포함된 데이터(예를 들어, 타겟 정보)에 기초하여 피해자에게 협박 등의 가해를 가할 것이므로, 모니터링부(140)는 타겟 디바이스(30)를 통해 가해 정보를 모니터링 할 수 있다.

피싱 서버(10)로 유입된 더미데이터는 기 유출된 데이터를 다양한 방식으로 무력화하고, 더미데이터를 타겟 정보를 제외한 데이터는 가상 정보로 구성하여 가해자가 피싱 서버(10)에 존재하는 데이터를 이용하여 가해를 하더라도 실질적으로는 타겟 디바이스(30)로만 가해 정보가 전달될 것이다. 이와 같이, 피싱 피해 모니터링 서비스(100)는 가해자의 가해가 타겟 디바이스(30)로 수행되도록 유도하여 피싱 피해를 모니터링할 수 있다.

실시예에 따르면, 가해 정보는 가해자의 전화번호, 프로필, 이메일, 계좌 번호 중 적어도 하나를 포함할 수 있다. 이는 예시일 뿐, 가해자를 특정할 수 있는 수단이라면 이에 제한되지 않는다.

실시예에 따르면, 모니터링부(140)는 타겟 디바이스(30)가 가해 정보를 수신한 경우 피해자에게 경고를 수행할 수 있다. 모니터링부(140)는 피해자에게 경고를 수행하여 피해자가 가해자의 가해를 미리 준비하고 방지할 수 있게 할 수 있다.

실시예에 따르면, 모니터링부(140)는 피해자에게 가해 정보를 전달하여 가해 정보를 차단함으로써 운영 주체(20)를 차단하도록 경고할 수 있다. 예를 들어, 타겟 디바이스(30)가 010-xxxx-xxxx 번호로부터 협박 메시지를 받은 경우, 모니터링부(140)는 010-xxxx-xxxx 번호를 피해자에게 전달할 수 있다. 피해자는 본인뿐 아니라 주변 지인들에게 해당 번호를 전달하여 해당 번호를 차단하게 함으로써 가해자를 차단할 수 있다.

피싱 피해 모니터링 시스템(100)은 이와 같이 가해 정보에 기초하여 가해자의 전화번호, 이메일, IP 주소 등을 차단하도록 하여 가해자가 피해자 및/또는 피해자의 지인에게 가해를 가할 수 있는 경로를 차단하여 협박 등을 수행할 수 없도록 할 수 있다. 예를 들어, 가해자가 피해자의 전화번호로 협박 메시지를 전송하더라도, 피해자는 가해자를 차단했기 때문에 가해자가 보낸 협박 메시지를 확인할 수 없도록 할 수 있다.

실시예에 따르면, 피싱 피해 모니터링 시스템(100)은 타겟 디바이스(30)가 가해 정보를 수신한 경우, 가해 정보에 기초한 가상 정보를 더 생성할 수 있다. 예를 들어, 피싱 피해 모니터링 시스템(100)은 가해 정보에 기초하여 생성된 가상 정보를 포함하는 더미데이터의 전송을 통한 유출 정보 보호 과정을 더 진행할 수 있다. 일 예로, 수신된 가해 정보에 포함된 협박 메시지 등에서 주 협박 타겟이 가족이라면, 피싱 피해 모니터링 시스템(100)은 관계 호칭 정보를 포함하는 가상 정보를 생성할 수 있다. 이를 통해, 피싱 피해 모니터링 시스템(100)은 유출 정보 보호의 효과를 더 높일 수 있다.

실시예에 따르면, 피싱 피해 모니터링 시스템(100)은 데이터베이스(150)를 더 포함할 수 있다. 데이터베이스(150)는 추출부(110) 등의 구성과 별도로 구성될 수도 있다.

실시예에 따르면, 데이터베이스(150)는 기존의 피해 정보를 저장하고 관리할 수 있다. 피싱 피해 모니터링 시스템(100)은 다양한 피해자 및 다양한 가해자의 피싱 피해와 관련된 정보를 수집하고 데이터베이스(150)에 저장하여 관리할 수 있다. 이 때, 피해 정보는 해당 피싱 피해에 사용된 피싱 어플리케이션, 계좌번호, 전화번호, 협박 메시지, 웹사이트, 가해자 프로필 등의 정보를 포함할 수 있고, 데이터베이스(150)는 예를 들어, 피싱 어플리케이션과 해당 피싱 어플리케이션에 대응되는 피싱 서버 주소, 가해자의 계좌번호, 프로필 등의 정보를 매칭하여 저장할 수 있다.

실시예에 따르면, 모니터링부(140)는 가해 정보에 기초하여 데이터베이스(150)의 데이터를 최신화할 수 있다. 또한, 모니터링부(140)는 피해자의 피싱 피해에 사용된 정보들도 함께 반영하여 데이터베이스(150)의 데이터를 최신화할 수 있다. 예를 들어, 피해자의 피싱 피해에 A 어플리케이션이 사용되었고 타겟 디바이스(30)가 수신한 가해자의 계좌 번호가 B이며, 기존 데이터베이스(150)의 데이터에는 A 어플리케이션에 매칭된 계좌 번호가 C인 경우, 모니터링부(140)는 A 어플리케이션에 B 및 C의 계좌 번호를 추가하여 매칭할 수 있다.

실시예에 따르면, 모니터링부(140)는 데이터베이스(150)의 데이터를 최신 정보로 유지하기 위해, 기존의 데이터베이스(150)의 데이터에 기초하여 지속적으로 가해자 및/또는 피싱 서버(10)에 접근하여 정보의 변동을 확인하고 변동이 있을 경우 이를 반영하여 데이터를 최신화 할 수 있다.

피싱 피해 모니터링 시스템(100)은 피싱 피해가 발생될 때 이와 같이 데이터베이스(150)의 데이터를 최신화함으로써 피싱 피해 모니터링의 효과를 높일 수 있다. 또한, 피싱 피해 모니터링 시스템(100)은 새로운 피싱 피해가 발생될 때 데이터베이스(150)의 데이터에 기초하여 보다 즉각적인 대응이 가능하다.

실시예에 따르면, 피싱 피해 모니터링 시스템(100)은 어플리케이션 획득부(160)를 더 포함할 수 있다.

실시예에 따르면, 어플리케이션 획득부(160)는 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보에 기초하여 피싱 어플리케이션을 피해자 단말 또는 데이터베이스(150)로부터 획득할 수 있다. 어플리케이션 획득부(160)는 획득한 피싱 어플리케이션을 추출부(110) 및/또는 처리부(130)로 전송할 수 있다. 피싱 어플리케이션 정보는 예를 들어, 피싱 어플리케이션과 관련된 파일 정보(예를 들어, HASH값, 어플리케이션 이름 등) 또는 피싱 피해에 사용된 계좌번호, 전화번호, 가해자 프로필 등의 정보를 포함할 수 있다.

예를 들어, 피해자가 피싱 어플리케이션을 피해자 디바이스에서 삭제하지 않은 경우, 어플리케이션 획득부(160)는 피해자 디바이스로부터 피싱 어플리케이션을 전송받을 수 있다. 어플리케이션 획득부(160)와 피해자 디바이스는 유선 또는 무선으로 통신할 수 있으며, 블루투스 통신, Wi-Fi 통신, USB 통신 등 일반적으로 사용되는 통신 방법을 통해 피싱 어플리케이션을 전송받을 수 있다.

실시예에 따르면, 어플리케이션 획득부(160)는 피싱 어플리케이션 정보를 데이터베이스(150)의 데이터와 비교한 결과에 기초하여 피싱 어플리케이션을 데이터베이스(150)로부터 획득할 수 있다.

예를 들어, 피해자가 피해자 디바이스에서 피싱 어플리케이션을 삭제한 경우, 어플리케이션 획득부(160)는 피싱 어플리케이션을 피해자 디바이스로부터 직접 전송받을 수 없다. 이 경우, 어플리케이션 획득부(160)는 데이터베이스(150)의 데이터와 피싱 피해 정보를 비교함으로써 피싱 피해에 사용된 피싱 어플리케이션을 추정하고, 이를 데이터베이스(150)로부터 전송받을 수 있다. 이를 통해, 피싱 피해 모니터링 시스템(100)은 피해자가 피싱 어플리케이션을 삭제한 경우에도, 피싱 어플리케이션을 획득하여 유출 정보를 보호하고 피싱 피해 모니터링을 수행할 수 있다.

일 예로, 어플리케이션 획득부(160)는 데이터베이스(150)의 데이터와 피싱 피해에 사용된 계좌번호, 전화번호, 협박 메시지, 웹사이트, 가해자의 프로필, APK 파일의 HASH 값 중 적어도 하나를 비교한 결과에 기초하여 상기 피싱 어플리케이션을 획득할 수 있다. 이러한 피싱 피해 정보는 피해자로부터 획득할 수 있을 것이며, 이외에도 피싱 피해와 관련된 각종 정보를 포함할 수 있다. 예를 들어, 피해자로부터 획득한 계좌번호 정보와 일치하는 데이터가 데이터베이스(150)에 존재하는 경우, 해당 데이터에 매칭된 어플리케이션을 피싱 피해에 사용된 피싱 어플리케이션이라고 추정할 수 있다.

도 3을 참조하면, 더미데이터 생성부(120)는 소프트웨어, 프로그래밍 언어 스크립트, 사용자 입력을 통해 더미데이터를 생성할 수 있다. 더미데이터 생성부(120)는 생성된 더미데이터를 처리부(130)로 전송할 수 있다.

처리부(130)는 더미데이터를 수신한 경우, 사용자 입력에 기초하여 피싱 어플리케이션을 실행하고, 더미데이터를 피싱 어플리케이션을 통해 피싱 서버(10)로 전송할 수 있다.

도 4를 참조하면, 피싱 피해 모니터링 방법은, 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 단계(S100), 가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 단계(S200), 사용자 입력에 기초하여 피싱 어플리케이션을 실행하고, 피싱 어플리케이션을 통해 더미데이터를 피싱 서버로 전송하는 단계(S300) 및 타겟 디바이스가 피싱 서버의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 단계(S400)를 포함할 수 있다.

S100 단계에서, 추출부(110)는 피해자의 피싱 피해에 사용된 피싱 어플리케이션의 피싱 서버 정보를 추출할 수 있다.

S200 단계에서, 더미데이터 생성부(120)는 가상 정보 및 타겟 디바이스(30)에 대응되는 타겟 정보를 포함하는 더미데이터를 생성할 수 있다.

S300 단계에서, 처리부(130)는 사용자 입력에 기초하여 피싱 어플리케이션을 실행하고, 피싱 어플리케이션을 통해 더미데이터를 피싱 서버(10)로 전송할 수 있다.

S400 단계에서, 모니터링부(140)는 타겟 디바이스(30)가 피싱 서버(10)의 운영 주체(20)로부터 수신하는 가해 정보를 모니터링할 수 있다.

실시예에 따르면, 피싱 피해 모니터링 방법은, 타겟 디바이스가 가해 정보를 수신한 경우 피해자에게 경고를 수행하는 단계(S500)를 더 포함할 수 있다.

S500 단계에서, 모니터링부(140)는 타겟 디바이스(30)가 가해 정보를 수신한 경우, 피해자에게 경고를 수행할 수 있다. 실시예에 따르면, 모니터링부(140)는 피해자에게 가해 정보를 전달하여 가해 정보를 차단하여 운영 주체를 차단하도록 경고를 수행할 수 있다.

이상에서, 본 문서에 개시된 실시예를 구성하는 모든 구성 요소들이 하나로 결합하거나 결합하여 동작하는 것으로 설명되었다고 해서, 본 문서에 개시된 실시예들이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 문서에 개시된 실시예들의 목적 범위 안에서라면, 그 모든 구성 요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다.

또한, 이상에서 기재된 "포함하다", "구성하다", 또는 "가지다" 등의 용어는, 특별히 반대되는 기재가 없는 한, 해당 구성 요소를 내재할 수 있음을 의미하는 것이므로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것으로 해석되어야 한다. 기술적이거나 과학적인 용어를 포함한 모든 용어들은, 다르게 정의되지 않는 한, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다. 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥상의 의미와 일치하는 것으로 해석되어야 하며, 본 문서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이상의 설명은 본 문서에 개시된 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 문서에 개시된 실시예들의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 문서에 개시된 실시예들은 본 문서에 개시된 실시예들의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 문서에 개시된 기술 사상의 범위가 한정되는 것은 아니다. 본 문서에 개시된 기술사상의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 문서의 권리 범위에 포함되는 것으로 해석되어야 할 것이다.

Claims

피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 추출부;

가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 더미데이터 생성부;

사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하고, 상기 피싱 어플리케이션을 통해 상기 더미데이터를 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송하는 처리부; 및

상기 타겟 디바이스가 상기 피싱 서버의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 모니터링부를 포함하는 피싱 피해 모니터링 시스템.
제1항에 있어서,

상기 모니터링부는, 상기 타겟 디바이스가 상기 가해 정보를 수신한 경우 피해자에게 경고를 수행하는 피싱 피해 모니터링 시스템.
제2항에 있어서,

상기 모니터링부는, 상기 피해자에게 상기 가해 정보를 전달하여 상기 가해 정보를 차단하여 상기 운영 주체를 차단하도록 상기 경고를 수행하는 피싱 피해 모니터링 시스템.
제1항에 있어서,

상기 타겟 정보는 관계 호칭 정보를 포함하는 피싱 피해 모니터링 시스템.
제1항에 있어서,

상기 가해 정보는 상기 운영 주체의 전화번호, 프로필, 이메일, 계좌 번호, IP 주소 중 적어도 하나를 포함하는 피싱 피해 모니터링 시스템.
제1항에 있어서,

상기 더미데이터 생성부는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 상기 더미데이터를 생성하는 피싱 피해 모니터링 시스템.
제1항에 있어서,

상기 더미데이터 생성부는 전화번호부 생성 모듈, 문자메시지 생성 모듈 및 고유식별번호 생성 모듈 중 적어도 하나를 포함하는 피싱 피해 모니터링 시스템.
제1항에 있어서,

상기 더미데이터 생성부는 상기 가해 정보를 수신하는 경우, 상기 가해 정보에 기초한 가상 정보를 더 생성하는, 피싱 피해 모니터링 시스템.
제1항에 있어서,

상기 처리부는 모바일 디바이스, 가상 머신 및 에뮬레이터 중 적어도 하나를 포함하는 피싱 피해 모니터링 시스템.
제1항에 있어서,

상기 처리부는 상기 추출부, 상기 더미데이터 생성부 및 상기 모니터링부와 물리적으로 분리되어 구성되는 피싱 피해 모니터링 시스템.
제1항에 있어서,

기존의 피해 정보를 저장하고 관리하는 데이터베이스를 더 포함하는 피싱 피해 모니터링 시스템.
제11항에 있어서,

상기 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보에 기초하여 상기 피싱 어플리케이션을 피해자 단말 또는 상기 데이터베이스로부터 획득하는 어플리케이션 획득부를 더 포함하는 피싱 피해 모니터링 시스템.
제12항에 있어서,

상기 어플리케이션 획득부는 상기 피싱 어플리케이션 정보를 상기 데이터베이스의 데이터와 비교한 결과에 기초하여 상기 피싱 어플리케이션을 상기 데이터베이스로부터 획득하는 피싱 피해 모니터링 시스템.
제11항에 있어서,

상기 모니터링부는 상기 가해 정보에 기초하여 상기 데이터베이스의 데이터를 최신화하는 피싱 피해 모니터링 시스템.
피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 단계;

가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 단계;

사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하고, 상기 피싱 어플리케이션을 통해 상기 더미데이터를 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송하는 단계; 및

상기 타겟 디바이스가 상기 피싱 서버 정보의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 단계를 포함하는 피싱 피해 모니터링 방법.
제15항에 있어서,

상기 타겟 디바이스가 상기 가해 정보를 수신한 경우 피해자에게 경고를 수행하는 단계를 더 포함하는 피싱 피해 모니터링 방법.