<313520B1E8C0B1C1A44B D30332D FBCF6C1A4BABB2E687770>

Size: px

Start display at page:

Download "<313520B1E8C0B1C1A44B D30332D FBCF6C1A4BABB2E687770>"

은별 마
2 years ago
Views:

1 논문 일반사용자를위한포털사이트경유피싱 / 파밍방지방안 김소영, 강지윤 *, 김윤정 Countermeasures Against Phishing/Pharming via Portal Site for General Users Soyoung Kim, Ji-yoon Kang *, Yoonjeong Kim 요 약 피싱및파밍에대한공격이증가하고있어, 이를방지하기위한많은연구들이진행되어오고있다. 피싱 / 파밍의대상사이트는금융권사이트등이며, 이들은포털사이트등에비하여사용자의접속빈도가상대적으로적은편이다. 본논문에서는, 포털사이트가건전하게자사의책임을다한다는가정하에, 포털사이트를경유하여금융권사이트를접속함으로써피싱 / 파밍을방지하는방안을제안한다. 본방안은, 개발자나전문적인사용자가아닌, 특별히일반사용자를대상으로한피싱 / 파밍방지안이라할수있다. 이들방안의각부분별취약성을나누어안전성분석을수행함으로써, 본방지안이최대로효과적일수있는환경분석도수행하였다. Key Words : phishing, pharming, anti-phishing, portal site, authentication ABSTRACT The number of phishing/pharming attacks occurring has increased and consequently, the number of studies on anti-phishing/pharming has also increased. The target sites of phishing/pharming are financial sites, and these have a low connection rate compared to those of portal sites. In this paper, we propose an anti-phishing/pharming method that uses a portal site as a stopover. The proposed method is based on the reliability of portal sites. This method is intended for general users rather than for professional users or developers. We also analyze the ty of the proposed method by separating the method into sub components of module ty assumption. Ⅰ. 서론피싱 (Phishing) 공격은사용자가자신의이메일이나문자메시지로부터온악성 URL을클릭하여공격자가만들어놓은가짜서버로접속하여개인정보들이공격자에게노출되어금전적피해나사생활침해 등을받는공격을말한다 [1]. 파밍 (Pharming) 공격은사용자가올바른웹사이트의주소를입력하였음에도불구하고사용자의 DNS 서버등이침해되어사용자가공격자가만들어놓은가짜서버로접속하게되는것을말한다 [2]. 이러한피싱공격과파밍공격의악영향이커짐에따라현재온라인상의많은사용자들이 본연구는미래창조과학부및정보통신기술진흥센터의대학 ICT 연구센터육성지원사업의연구결과로수행되었음 (IITP-2015-H ) First Author : 서울여자대학교정보보호학과, thdud2608@gmail.com, 학생회원 (Seoul Women's University) Corresponding Author : 서울여자대학교정보보호학과, yjkim@swu.ac.kr, 정회원 (Seoul Women's University) * KAIST 정보보호대학원, kangj1010@naver.com 논문번호 :KICS , Received March 23, 2015; Revised June 18, 2015; Accepted June 18,

2 피해를입고있는추세이다. 한편, 피싱 / 파밍을방지하기위한많은기술적인연구들이있어왔다 [3-18]. 이러한기술적인방지안이효과를가지려면사용자가피싱 / 파밍을분별할수있도록하는교육이필요하다. 그러나, 컴퓨터나인터넷사용에익숙하지않은일반사용자에게는의미가없을수있다. 본논문에서는, 컴퓨터나인터넷사용에익숙하지않은사용자도피싱 / 파밍을보다손쉽게막을수있는방안을제안하고자한다. 제안방법은일반사용자들이손쉽게접속하는포털사이트를이용하여, 금융권등의올바른주소를접근하도록하는방안이다. Ⅱ. 기존피싱 / 파밍대응방안들 2.1 피싱사이트탐지기술 원시사이트 HTTP 트래픽분석방법을이용한피싱사이트탐지방법 [6] 본연구는피싱사이트를탐지하는방안에대한것으로, 피싱사이트의 URL이 HTTP referer 헤더필드를통해원시사이트로유입되는특성을이용한다. 원시사이트에유입된 HTTP 트래픽을수집하여분석함으로써피싱사이트를실시간으로탐지하게해준다. 실제제안시스템을피싱사이트표적이되고있는국내기관홈페이지에적용한결과 6 일동안 40개의피싱사이트를탐지하였다 검색엔진을활용한피싱사이트탐지방법 [5,7] 진화된형태의피싱공격인이미지기반의피싱페이지에관한연구로검색엔진의검색결과를활용한다. 검색엔진은키워드를입력받아그내용과가장비슷한내용을가지는웹사이트의결과를보여준다. 사용자가접속하고자하는웹페이지에접근하면, 웹브라우저에요청된웹페이지가로드된다. 이때본검색엔진활용안티피싱시스템은로드된페이지와실제접속하고자사이트를검색엔진을활용하여연관성을보고피싱여부를판단하게된다. 2.2 URL 스푸핑을이용하는피싱공격을방어하는방법 [8] URL(Uniform Resource Location) 이란인터넷상의특정정보를지정하는데사용하는주소표시형식이다. 웹브라우저의취약점, DNS 스니핑등을이용한 URL 스푸핑공격을피싱공격에이용할수있다. 이에대한효율적인방지안은 URL을사용자가직접 확인하는것이다. 그러나, URL을직접확인하는작업을할능력이없는사용자는여전히피싱공격의위험에노출된다. URL 스푸핑을이용한피싱공격을해결하기위한또다른방법은사이트가위조되지않았음을사용자가신뢰하는것이다. 이를위하여사이트는사용자와사이트가모두신뢰할수있는제 3의기관 (TTP, Trust Third Party) 의인증을받는다. 2.3 인지기반접근기법 [9] 인지기반접근기법에서는프로그램이 IP나사이트의도메인을분석하여피싱 / 파밍여부를판단하는기존의방식이아닌플러그인과서버사이에서 HTML 코드의변경유무를파악하여피싱여부를결정한다. 그리고, 그결과를풍선도움말을이용하여사용자에게알려줌으로써, 사용자가직접피싱 / 파밍여부를쉽게결정할수있도록한다. 2.4 모바일기기를이용한추가인증이나대상사이트접속지원 [10-12] 범용컴퓨터와비교하여, 악성코드나해킹등에서상대적으로자유로운모바일기기를이용하여추가인증이나대상사이트로의접속을수행함으로써피싱을방지하는방안들도있다 PhoolProof 기법 [10] PhoolProof 기법은 Bryan Parno 등이 2006년에제안한것으로, 피싱방지를사용자에게의존하지않고, 사용자가소유하고있는휴대전화등을이용한암호연산을통하여얻는다 MP-Auth 기법 [11] MP-Auth는 Oorschot 등이 2007년에제안한방법으로사용자의 long-term 패스워드를안전성이보장되지않은 PC에서보호하는프로토콜이다. 이프로토콜은모바일기기가존재해야하며이모바일기기는악성프로그램으로부터안전하다는가정이필요하다 opass [12] opass는 Sun 등이 2012년제안한것으로, 패스워드유출과패스워드재사용공격을방지하기위하여, 사용자의휴대전화와 SMS (Short Message Service) 를이용한다. opass는가입, 로그인, 회복의 3가지과정으로구성된다. 가입시사용자는휴대전화에서 opass 프로그램을실행하고사용자의 ID와서버의 ID를입력한다. 1108

3 논문 / 일반사용자를위한포털사이트경유피싱 / 파밍방지방안 이는 TSP (Telecommunication Service Provider) 에게전달되고 TSP는서버로정보를전달함과동시에사용자와서버에게암호키를교환한다. 이때이동통신망을사용한다. 교환이끝나면사용자는 long-term 패스워드를휴대전화를통해서입력한다. 그리고이를휴대전화에서 SMS을이용해직접제출한다. 로그인할경우, 사용자가브라우저에입력하는것은 ID 뿐이다. 회복과정은사용자가본인의휴대전화를잃어버렸을경우진행된다. 2.5 인증안전성강화방안 [13-18] 피싱을방지하기위한방안으로, 서버가사용자를인증하는일방향인증에서나아가, 사용자도서버를인증하는양방향인증등안전성이강화된인증기법들이시도되고있다 OTP인증강화 [13] OTP (One Time Password) 를이용한인증의안전성을높이기위하여, PKI 기반의모바일 OTP를이용하고생성된 OTP를모바일단말기에서인증서버로직접전송하는기법에대한연구도진행되었다 개인비밀정보이용기법 [14] 사용자가사용자와웹사이트간의비밀정보인사진과키값인사용자의아이디를통해피싱사이트와구분할수있도록한다. 사용자로하여금자신의 에온정당한은행사이트의 URL에접속하게함으로써피싱사이트로의접속을막을수있도록해준다. 시켜놓고즐겨찾기를통하여접속한다. 이방법은사용자가금융권사이트주소를잘못입력하거나사용자가이용하는컴퓨터나모바일시스템이바이러스등에의하여공격을당한상태에서는피싱 / 파밍이발생할수있다. 본논문에서는금융권등의웹사이트를접속할때포털사이트를경유하여접속함으로써피싱 / 파밍을방지하는방안을제안한다. 포털사이트는개인사용자보다상대적으로보안관리가우수하여, 잘못된피싱 / 파밍사이트로연결될위험을낮추자는것이다. 제안방안이그림 1에나타나있다. 제안방법의성공을위하여는, 우선포털사이트가안전하여야하고다음으로포털사이트에서금융권사이트정보를신뢰하게관리해준다는가정이필요하다. 포털사이트의안전성외에, 제안방법이성공적으로수행되기위하여필요한가정들에는, 사용자컴퓨터의안전성, 공유기나 DNS 서버등주위환경의안전성, 사용자컴퓨터에서포털사이트접속시의인증안전성, 포털사이트에서금융권사이트접속시의인증안전성등이있다. 다음으로생각할것은, 제안방안이수행되기위하여, 포털사이트에서지원해주어야하는내용이다. 그리고, 제안방안의세부내용으로포털사이트를경유하여은행등다른사이트에접속하는접속시나리오에대한고려가필요하다. 이들을각각 3.1절부터 3.3절에서세부적으로설명하면다음과같다 윈도우맞춤화이용기법 [15] Dhamija와 Tygar 등은로그인화면의백그라운드이미지를개인별로다르게함으로써피싱 / 파밍을방지할수있는윈도우맞춤화 (window customization) 를개선하여, Visual Hash를이용하는개선된인증방법을제안하였다 QR 코드를이용한상호인증 [16-18] QR 코드를활용한다중채널, 다중요소시스템을통하여상호인증을함으로써, 피싱이나파밍을방지하는기법에대한연구도진행되었다. Ⅲ. 제안하는피싱 / 파밍대응방안현재금융권등의사이트를접속할때, 사용자들은금융권사이트의주소를직접입력하거나본인의웹브라우저상에이금융권사이트를즐겨찾기로등록 그림 1. 포털사이트를경유한금융권사이트접속방식 Fig. 1. financial web site access via portal site 3.1 제안방법성공을위한안전성가정 포털사이트의신뢰성 제안방법은, 포털사이트의신뢰성및포털사이트에서금융권사이트정보를신뢰하게관리해준다는가정에근거한다. 이가정은현재의네이버, 구글, 다음, 네이트등의포털이건전하게업무를수행하고있는상황을볼때타탕한가정이라하겠다. 1109

4 3.1.2 사용자컴퓨터의안전성사용자가사용하는컴퓨터가악성코드에감염되지않은안전한컴퓨터여야한다. 예를들어, 사용자가북마크를통해포털사이트에접속할때아무리포털사이트가안전하다할지라도사용자의컴퓨터가악성코드에감염되어있다면북마크내의잘못된주소로접속이가능하다. 또한파밍공격을통해사용자의 DNS정보를가지고있는프로세스의메모리가변조되어 DNS서버가허위응답을준다면사용자는공격자가만들어놓은가짜포털사이트에접속할가능성이있다. 따라서, 본기법의성공을위하여는, 사용자가이용하는컴퓨터가외부악성코드에감염되지않은안전한컴퓨터이어야한다 공유기나 DNS 서버의안전성사용자컴퓨터나포털사이트에서이용하는공유기나 DNS 서버가안전해야한다. 1 Portal site should have bank site list (bank name and its web site). 2 Portal site should provide bank site registration menu on a user account window. 3 Portal site should provide customized user account window for each user (For example, a user who registered I bank has his/her customized user account window with I bank connection menu and a user who registered J shopping mall has his/her customized user account window with J shopping mall connection menu). 4 Portal site should provide secure authentication mechanism when users login to portal site (Portal site may use Section 2.5 Authentication Safety Strengthening Mechanism). 그림 2. 은행사이트등안전한접속지원을위하여포털사이트가지원해주어야하는내용 Fig. 2. Protal Site's To-Do list that supports secure connection to banking web sites 사용자컴퓨터에서포털사이트접속으로의인증안전성사용자컴퓨터에서포털사이트로접속하여사용자인증을받는과정이안전하게진행되어야한다. 여기에는 2.5절에서언급한인증기법이사용될수있다 포털사이트에서금융권사이트로의접속시인증안전성포털사이트를경유하여, 금융권사이트로접속시사용자인증을받는과정이안전하게진행되어야한다. 여기에도 2.5절에서언급한안전한인증기법이사용될수있다. 3.2 제안방법을위한포털사이트지원사항사용자가처음이용시에금융권사이트를개인계정페이지에등록해주는메뉴및이메뉴를위한서비스가지원되어야한다. 이때등록되는금융권사이트정보는포털사이트에서피싱 / 파밍에노출되지않은순수한사이트정보로준비하여야한다. 이들포털사이트가지원해야할사항을정리하면그림 2와같다. 3.3 은행등사이트이용시포털사이트이용시나리오사용자갑순이 I 은행을 N 포털사이트를경유하여접속하고자하는경우, 먼저 N 포털사이트의자신의개인계정에 I 은행을등록해야한다. 이때 N 포털사이트는 3.2 절에서기술한것처럼등록메뉴등을지원해야한다. 은행사이트를포털사이트개인계정 그림 3. 사용자갑순이 N 포털사이트자신의개인계정에 I 은행을등록 Fig. 3. User Gapsun registers Bank I into her account in Portal site N 그림 4. 사용자갑순이 N 포털사이트를경유하여 I 은행에접속하는절차 Fig. 4. User Gapsun connects to Bank I via Prtal site N 에등록하는과정이그림 3에나타나있다. 이제, 실제로사용자갑순이은행업무를위하여 I 1110

5 논문 / 일반사용자를위한포털사이트경유피싱 / 파밍방지방안 은행에접속하는것은다음과같이진행된다. 갑순은먼저 N 포털사이트에접속하여자신의계정으로로그인한다. 그리고, 자신에게맞춤화된화면에있는 I 은행접속메뉴를클릭하여 I 은행에로그인한다. I 은행로그인은 I 은행에서제공하는인증기법을따르면된다. 이들과정이그림 4에나타나있다. Ⅳ. 안전성분석 4.1 제안방법의안전성분석본절에서는피싱 / 파밍공격들에대한제안방법의안전성을분석한결과를기술한다. 분석한공격기법은피싱공격, 파밍공격, MITB, Key Logger, 패스워드재사용공격이다. 피싱공격이란공격자가미리만들어놓은가짜웹사이트를포함한 URL을사용자의이메일로보내는것이다. 사용자는그 URL을클릭하여가짜웹사이트에접속하게된다. 파밍공격이란공격자가 DNS 서버등을공격하여, 사용자가올바른경로를통해웹사이트에접속하려고해도, DNS의허위응답으로인해가짜웹사이트에접속하게되는것을말한다. MITB는 Man In The Browser의약자로써, 브라우저공격기법이다. 이기법은공격자가사용자의컴퓨터내에악성코드를심어놓음으로써브라우저를통하는사용자의웹통신을공격할수있다. Key Logger는사용자가입력하는키보드문자를공격자가알아내는공격기법이다. 패스워드재사용공격은공격자가사용자의패스워드를알아내어이패스워드를다시사용하는기법이다. 표 1에이들공격에대한제안방안의안전성이분석되어있다. 이메일을클릭하여대상사이트에접속 하는피싱공격에대하여는, 본제안기법을이용하는경우별도의가정없이안전성이지원된다. 파밍공격에대하여는사용자컴퓨터의안전과공유기 /DNS 서버의안전을가정하면, 본제안시스템을이용하여안전한접속을할수있다. MITB와 Key Logger 공격에대하여는사용자컴퓨터의안전을가정시에, 안전한접속을할수있다. 패스워드재사용공격에대하여는, 사용자컴퓨터에서포털사이트로의접속과포털사이트에서금융권사이트로의접속이안전하다는가정이있으면, 안전한접속을할수있다. 4.2 제안방법과기존대응방안들과의안전성비교제안방안은컴퓨터전문가가아닌일반사용자가, 은행등피싱 / 파밍의위험에자주노출되는사이트에접속할때, 포털사이트의본인계정을경유하여접속함으로써포털사이트에서관리하는안전성을얻을수있게하는것이목적이다. 즉, 일반사용자를대상으로하는것이다. 다음으로, 피싱 / 파밍공격들에대한기존대응방안들과본논문에서제안한방법의비교분석을수행하였다. 예를들어, 2.1 절의피싱사이트탐지기술과비교하여, 본제안방법은피싱을방지하고자하는주목적은동일하다. 그러나, 피싱관리기관이주로이용하는피싱사이트탐지에관한기술이아닌, 일반사용자가쉽게이용할수있는포괄적인피싱방지방안을제안한것이다. 전체적인비교내용이표 2에나타나있다. 표 2. 제안방법과기존대응방안들과의안전성비교 Table 2. Safety Comparison analysis of the proposed method and the previous countermeasures 표 1. 제안방법의안전성분석 Table 1. Safety analysis of the proposed method Attack phishing pharming MITB Key Logger password reuse ty of the proposed method against the attack (we need no assumption) (if we assume user computer ty and router/dns server ty) (if we assume user computer ty) (if we assume user computer ty) (if we assume connection ty from user computer to portal site and from portal site to financial site)) Previous countermeasure 2.1 phisphing site detection [6,7] 2.2 prevention of URL spoofingphishing [8] 2.3 Cognitive approach [9] 2.4 using mobile device [10-12]] 2.5 strengthening authentication ty [13-18] Comparative feature or advantage of the proposed method a comprehensive method including phishing site detection a comprehensive method including prevention of url-spoofing-phishing users only need to do procedurally (we don't need user's judgement based on the cognitive methods) we don't need separate mobile devices we also use the authentication strengthening method (Section and 3.1.5). 1111

6 Ⅴ. 결론및추후연구본논문에서는포털사이트의개인계정맞춤화면정보를이용한피싱및파밍공격에대한대응방안을제안하였다. 그리고, 제안방안을안전성을지원되는시스템의가정들에따라분류하여분석하였다. 추후, 공유기나 DNS 서버변조공격에대응하는방안등본논문에서가정한사실들에대한연구가필요하다. 포털사이트의협조를얻어, 본제안방안이이용된다면, 일반사용자들이피싱 / 파밍에대하여보다안전한인터넷환경을이용할수있을것으로기대된다. References [1] Korean National Police Agency, Phishing (2015), Retrieved June 2015, from police.go.kr/portal/main/contents.do?menuno= [2] Korean National Police Agency, Pharming (2015), Retrieved June 2015, from police.go.kr/portal/main/contents.do?menuno= [3] J.-Y. Kang, J. Yoon, and Y. Kim, Phishing/ pharming examples and countermeasure analysis, in Proc. KIISE KCC, pp , Yeosu, Korea, Jun [4] S. Kim, J. Kang, and Y. Kim, Security analysis of phishing countermeasures, in Proc. KIISE Winter Conf., pp , Pyongchang, Korea, Dec [5] J. S. Shin, Study on anti-phishing solutions, related researches and future directions, J. The Korea Inst. Inf. Security & Cryptology, vol. 23, no. 6, pp , Dec [6] J. H. Sa and S. Lee, Real-time phishing site detection method, J. The Korea Inst. Inf. Security & Cryptology, vol. 22, no. 4, pp , Aug [7] M. Lee, H. Lee, and H. Yoon, An anti-phishing approach based on search engine, in Proc. KIISE KCC, vol. 37, no. 1(D), pp , Jeju, Korea, Jun [8] D. Min, T. Shon, and J. Moon, A study on the phishing attack protection using URL spoofing, J. The Korea Inst. Inf. Security & Cryptology, vol. 15, no. 5, pp , Oct [9] J. H. Kim, Y. J. Maeng, D. H. Nyang, and K. H. Lee, Cognitive approach to anti-phishing and anti-pharming, J. The Korea Inst. Inf. Security & Cryptology, vol. 19, no. 1, pp , Feb [10] B. Parno, C. Kuo, and A. Perrig, Phoolproof phishing prevention, Financial Cryptography and Data Security, LNCS, vol. 4107, pp. 1-19, [11] M. Mannan and P. C. van Oorschot, Using a personal device to strengthen password authentication from an untrusted computer, Financial Cryptography and Data Security, LNCS, vol. 4886, pp , [12] H. Sun, Y. Chen, and Y. Lin. opass: A user authentication protocol resistant to password stealing and password reuse attacks, IEEE Trans. Inf. Forensics and Security, vol. 7, no. 2, pp , Apr [13] T.-H. Kim, J.-H. Lee, and D.-H. Lee, Study on mobile OTP(One Time Password) mechanism based PKI for preventing phishing attacks and improving availability, J. The Korea Inst. of Inf. Security & Cryptology, vol. 21, no. 1, pp , Feb [14] G. Varshney, R. C. Joshi, and A. Sardana, Personal secret information based authentication towards preventing phishing attacks, Advances in Intell. Syst. and Comput., vol. 176, pp , [15] R. Dhamija and J. D. Tygar, The battle against phishing: Dynamic security skins, Symp. Usable Privacy and Security (SOUPS), pp , Pittsburgh, PA, USA, Jul [16] J. Lee, H. You, C. Cho, and M. Jun, A design secure QR-Login user authentication protocol and assurance methods for the ty of critical data using smart device, J. KICS, vol. 37C, no. 10, pp , Oct [17] S. Seo, C. Choi, G. Lee, and H. Choi, QR code based mobile dual transmission OTP system, J. KICS, vol. 38B, no. 5, pp , 1112

논문 / 일반사용자를위한포털사이트경유피싱 / 파밍방지방안 May 2013. [18] J.-Y. Park, J. Kim, M. Shin, and N.

2월 : 서울대학교컴퓨터공학과석사 2000년 8월 : 서울대학교전기 컴퓨터공학부박사 2000년 7월 ~2001년 5월 :( 주 ) 엔써커뮤니티제품개발연구소차장 2001년 5월 ~2002년

7 논문 / 일반사용자를위한포털사이트경유피싱 / 파밍방지방안 May [18] J.-Y. Park, J. Kim, M. Shin, and N. Kang, QR-code based mutual authentication system for web service, J. KICS, vol. 39B, no. 4, pp , Apr 김소영 (Soyoung Kim) 2012년 3월 ~ 현재 : 서울여자대학교정보보호학과학사과정 김윤정 (Yoonjeong Kim) 1991년 2월 : 서울대학교컴퓨터공학과학사 1993년 2월 : 서울대학교컴퓨터공학과석사 2000년 8월 : 서울대학교전기 컴퓨터공학부박사 2000년 7월 ~2001년 5월 :( 주 ) 엔써커뮤니티제품개발연구소차장 2001년 5월 ~2002년 2월 :( 주 ) 데이타게이트인터내셔널보안기술연구소차장 2009년 1월 ~2010년 1월 :Baylor 대학교 (TX, USA) 방문연구원 2002년 3월 ~ 현재 : 서울여자대학교정보보호학과부교수 < 관심분야 > 암호학, 시스템보안, 암호응용 강지윤 (Ji-yoon Kang) 2015년 2월 : 서울여자대학교정보보호학과학사 2015년 3월 ~ 현재 :KAIST 정보보호대학원석사과정 1113

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. 2018 Oct.; 29(10), 799 804. http://dx.doi.org/10.5515/kjkiees.2018.29.10.799 ISSN 1226-3133 (Print) ISSN 2288-226X (Online) Method