온라인을 통해 서비스를 제공받기 위해서는 회원가입이 필요하고, 이렇게 회원가입을 통해 수집된 개인정보는 해킹으로 인한 개인정보의 유출로 이어진다. 특히, 유출된 개인정보에 의해 사용자가 지속적으로 공격 받고 피해를 입어 심각한 사회문제가 되고 있다. 이러한 사회공학적 공격 방법은 사람의 심리를 기반으로 하기 때문에, 대부분의 경우 피해를 입기 쉽다. 이러한 공격을 막기 위해 블랙리스트를 이용하여 피싱 사이트를 차단하는 방법이 있다. 하지만 이러한 방법은 짧은 생명 주기로, 새로 생성되는 피싱 사이트에 대해서는 대처 할 수가 없다는 문제를 가지고 있다. 본 논문에서는 사용자의 개인정보 유출 사고를 최소화하는 두 가지 방안을 제시하였다. 블랙리스트와 화이트리스트 비교를 통해 사이트 신뢰를 표시하여 사용자에게 사이트의 진위여부를 판단할 수 있도록 하고, 새로 생성된 사이트에 대해서는 개인정보 입력 감지를 통하여 개인정보 유출을 사전에 차단을 하여, 사용자의 개인정보 유출 사고를 최소화 하는 방안을 제시하였다.
웹을 이용하는 사용자가 증가함에 따라 피싱 공격이 점차 증가하고 있다. 다양한 피싱 공격에 효과적으로 대응하기 위해서는 피싱 공격에 대한 올바른 이해가 필요하며 적절한 대응 방법을 활용할 수 있어야 한다. 이를 위해 본 논문에서는 피싱 공격의 절차를 접근 유도 단계와 공격 실행 단계로 정의하고 각 단계에서 발생하는 피싱 공격의 유형을 분석한다. 이와 같은 분석을 통해 피싱 공격에 대한 인식을 재고하고 피싱 공격의 피해를 사전에 예방할 수 있다. 또한, 분석된 내용을 기반으로 각 피싱 유형에 대한 대응 방안을 제시한다. 제안하는 대응 방안은 각 단계별로 적합한 웹사이트 특징을 활용한 방식이다. 대응 방안의 유효성을 판단하기 위하여 제안한 특징 추출 방안을 통해 휴리스틱 기반 악성 사이트 분류 모델을 생성하고 각 모델의 정확도를 검증한다. 결론적으로 본 논문에서 제안하는 방안은 안티 피싱 기술을 강화하는 기초가 되고 웹사이트 보안 강화의 기반이 된다.
피싱의 위험이 증대되는 현재의 온라인 서비스 환경에서 사용자를 기본적인 피싱 시도로부터 보호하기 위해 OTP를 사용하여 서버와 사용자를 상호 인증하는 기법을 제안한다. 제안 하는 기법에서 사용자는 사이트를 신뢰 할 수 없는 환경에서 서버와 공유하고 있는 비밀 키인 OTP를 사용하여 서버의 진위 여부를 확인하고, 서버 또한 사용자를 인증하도록 함으로서 일반적인 피싱 시도로부터 사용자 보호가 가능하다. 이러한 기법은 클라이언트 단에 어떠한 부가적인 프로그램을 설치할 필요 없으며 사용자 직관적이어서 활용도가 매우 높다.
연구목적: 본 연구는 기존의 보이스피싱과 신종 보이스피싱의 특성 및 진행과정을 비교·분석하여 심리적 기재를 기반으로 한 신종 보이스피싱에 대한 대응방안을 마련하는 정책적 기초 자료를 제시하는 데있다. 연구방법: 기존 보이스피싱에 대한 연구와 신종 보이스피싱 시나리오를 중심으로 한 각종 포털사이트에 있는 피해사례 등을 통해 양자의 범죄 진행과정 및 특성을 비교·분석하였다. 연구결과: 범죄준비 단계에서는 양자 모두 심리적 기재를 기반으로 하지만, 신종 보이스피싱은 피해자를 기망할 수 있는 시나리오가 더욱 치밀하게 작성되었고, 범행대상 범위가 확장되었다. 범죄실행단계에서는 신종 보이스피싱의 경우 피해자를 사회적으로 고립시켜 피해자의 판단능력을 저하시키고, 수사기관의 수사를 더욱 어렵게 하였다. 마지막단계에서는 금품 갈취 등 범죄피해의 지속성과 확장 가능성이 나타났다. 결론: 보이스피싱을 비교·분석하여 보았을 때 범행 대상 및 범위 그리고 범죄전략, 수법 등에 차이가 있었으며, 이에 따른 피해발생 가능성도 훨씬 크기 때문에 보다 더 효율적이 대응전략이 마련되어야 할 것이다.
최근 피싱의 한 유형으로 등장한 파밍은 웹 사이트를 위조하여 개인정보를 탈취하는 공격이다. 신뢰받는 기관(금융, 정부 등)의 사이트로 위장하여 개인정보를 탈취하는 방식은 같으나 차이점은 피싱의 경우 유사 도메인을 이용하는 경우가 많아 사용자가 주의를 기울이면 공격을 피할 수 있다. 하지만, 파밍의 경우 DNS 스푸핑을 이용하여 사용자가 정확한 도메인주소(URL)를 입력 하더라도 공격자가 미리 만들어둔 위장 웹 서버로 접속이 되기 때문에 사용자가 주의 깊게 살펴보아도 공격을 인지하기 어렵다. 본 논문에서는 파밍 공격에 사용되는 DNS 스푸핑에 대해 논의하고 파밍 탐지기법에 대해 소개한다. 궁극적으로는 파밍 탐지기법들을 비교 및 분석한 후 실제 구현을 위해서 극복해야 할 한계점을 알아본다.
최근 사이버 공격은 지능적이고 지속적인 피싱사이트와 악성코드를 활용한 해킹 기법을 활용하는 사회공학적 공격이 증가하고 있다. 개인 보안이 중요해지는 만큼 웹 어플리케이션을 이용해 악성 URL 여부를 판별하는 방법과 솔루션이 요구되고 있다. 본 논문은 악성 URL를 탐지하는 정확도가 높은 기법들을 비교하여 각각의 특징과 한계를 알아가고자 한다. 웹 평판 DB 등 기반 URL 탐지 사이트와 특징을 활용한 분류알고리즘 모델과 비교하여 효율적인 URL 이상탐지 기법을 제안하고자 한다.
최근 전자우편이나 해킹을 통한 피싱과 파밍 등 금융 사기가 많이 발생하고 있다. 이에 이러한 피해로부터 사용자의 경제적 손실 및 개인정보 보호를 위하여 웹 사이트 인증, 전자우편 인증 등의 연구가 진행되고 있다. 기존 인증 방법에서는 WBL (Website Black-List) DB를 사용하였는데, 피싱의 짧은 생명주기(life cycle)로 인해 WBL DB의 유효성은 떨어질 뿐만 아니라, 피싱 사건 발생 후 웹 사이트가 WBL DB에 등록되기 전까지는 확인 불가능하다는 단점을 가지고 있다. 이러한 문제점을 극복하기 위해 WWL (Website White-List) DB를 이용한 연구가 진행 중이지만 아직은 미비한 편이다. 이에 본 논문에서는 기존의 WBL DB와 WWL DB를 이용한 방법이 가지고 있는 한계점을 극복하기 위해 WWL DB 항목을 정의하고, 이를 이용하여 웹사이트 보안 위험도를 정량화할 수 있는 웹사이트 위험도 산정 기법을 제안한다.
피싱 공격은 시간이 흐르면서 보다 더 지능적으로 실행되며, 기술적으로 고도화되고 있다. 해커는 지능화된 피싱 공격을 주요 기관의 내부 네트워크 침투를 위해 내부 사용자 컴퓨터를 점령하는 수단으로 이용하고 있다. 따라서, 본 연구에서는 고도화된 피싱 공격으로부터 내부 사용자와 중요 정보를 보호하기 위해 피싱공격 확산방지모델(PMPA : Prevention Model the spreading of Phishing Attack)을 기술하고자 한다. 내부 사용자들은 외부 웹메일 서비스와 내부 메일 서비스를 동시에 사용한다. 따라서 양 구간에서 발생하는 위협 요소를 동시에 식별하기 위해서는 각각의 패킷을 감시하고 저장하여 각각의 항목별로 구조화시켜야 한다. 이는 해커가 내부 사용자를 공격할 때 외부 웹메일 서비스와 내부 메일 서비스 중 어느 한 쪽을 이용하거나 또는 양쪽 모두를 이용할 수 있기 때문이다. 본 연구에서 제시된 모델은 기존에 연구된 메일 서버 중심의 보안구조 설계를 내부 사용자가 접속하는 내부 메일 서비스까지 보호할 수 있도록 확장한 것이며, 프록시 서버를 이용하여 직접 피싱 사이트 접속을 차단하는 것보다 메일 확인 시 해당 사이트를 목록화할 수 있기 때문에 별도의 요청/응답을 위한 대기 시간이 없다는 장점이 있다.
본 논문에서 제안하는 웹 서버 취약점 및 악성코드를 탐지하는 웹 로봇의 기술은 인터넷에서 개인정보보호사고의 원인분석을 통해 도출된 요구기능을 통합 구현하는 기술로 인터넷 이용자의 개인정보 피해 원인을 종합적으로 처리한다는 측면에서 효과가 크다. 인터넷에서 개인정보를 유출하는 홈페이지의 악성 코드 및 피싱과 파밍을 종합적으로 탐지기술을 구현함으로써 개인정보를 유출하기 위하여 사용되는 홈페이지의 악성 코드 및 피싱과 파밍 사이트로 유도되는 웹사이트를 탐지 할 수 있다.
최근의 사이버 범죄 중 사기성 피싱, 파밍, 비싱, 스미싱 등을 이용한 금융범죄가 늘어가고 있다. 본 논문에서는 사회공학 기법과 VoIP를 이용하는 피싱, 비싱, 스미싱으로 정보의 유출과 침해가 얼마나 손쉽게 발생할 수 있는지 실험을 통해 체계적으로 연구한다. 해커가 피싱과 비싱 사이트를 제작하고 서버를 구축하여 피싱 메일 및 바이러스, 악성코드, 비싱, 스미싱 문자, 키로거 방지 S/W의 무력화 등을 통한 사용자의 정보침해 과정을 실험한다. 실험 결과에서 피싱과 비싱, 스미싱으로 인한 정보가 유출 및 침해됨을 확인하고, 방지 대책으로 공인인증서와 White List 및 공인인증마크, 플러그 인 프로그램 설치 등을 실험하여 보안이 됨을 증명한다. 본 논문의 피싱과 비싱 공격에 대한 기술적인 실험 및 방지대책은 정보침해의 피해를 줄이고, 유비쿼터스 정보보안을 위한 학문 기술적 발전에 기여할 것이다.
본 웹사이트에 게시된 이메일 주소가 전자우편 수집 프로그램이나
그 밖의 기술적 장치를 이용하여 무단으로 수집되는 것을 거부하며,
이를 위반시 정보통신망법에 의해 형사 처벌됨을 유념하시기 바랍니다.
[게시일 2004년 10월 1일]
이용약관
제 1 장 총칙
제 1 조 (목적)
이 이용약관은 KoreaScience 홈페이지(이하 “당 사이트”)에서 제공하는 인터넷 서비스(이하 '서비스')의 가입조건 및 이용에 관한 제반 사항과 기타 필요한 사항을 구체적으로 규정함을 목적으로 합니다.
제 2 조 (용어의 정의)
① "이용자"라 함은 당 사이트에 접속하여 이 약관에 따라 당 사이트가 제공하는 서비스를 받는 회원 및 비회원을
말합니다.
② "회원"이라 함은 서비스를 이용하기 위하여 당 사이트에 개인정보를 제공하여 아이디(ID)와 비밀번호를 부여
받은 자를 말합니다.
③ "회원 아이디(ID)"라 함은 회원의 식별 및 서비스 이용을 위하여 자신이 선정한 문자 및 숫자의 조합을
말합니다.
④ "비밀번호(패스워드)"라 함은 회원이 자신의 비밀보호를 위하여 선정한 문자 및 숫자의 조합을 말합니다.
제 3 조 (이용약관의 효력 및 변경)
① 이 약관은 당 사이트에 게시하거나 기타의 방법으로 회원에게 공지함으로써 효력이 발생합니다.
② 당 사이트는 이 약관을 개정할 경우에 적용일자 및 개정사유를 명시하여 현행 약관과 함께 당 사이트의
초기화면에 그 적용일자 7일 이전부터 적용일자 전일까지 공지합니다. 다만, 회원에게 불리하게 약관내용을
변경하는 경우에는 최소한 30일 이상의 사전 유예기간을 두고 공지합니다. 이 경우 당 사이트는 개정 전
내용과 개정 후 내용을 명확하게 비교하여 이용자가 알기 쉽도록 표시합니다.
제 4 조(약관 외 준칙)
① 이 약관은 당 사이트가 제공하는 서비스에 관한 이용안내와 함께 적용됩니다.
② 이 약관에 명시되지 아니한 사항은 관계법령의 규정이 적용됩니다.
제 2 장 이용계약의 체결
제 5 조 (이용계약의 성립 등)
① 이용계약은 이용고객이 당 사이트가 정한 약관에 「동의합니다」를 선택하고, 당 사이트가 정한
온라인신청양식을 작성하여 서비스 이용을 신청한 후, 당 사이트가 이를 승낙함으로써 성립합니다.
② 제1항의 승낙은 당 사이트가 제공하는 과학기술정보검색, 맞춤정보, 서지정보 등 다른 서비스의 이용승낙을
포함합니다.
제 6 조 (회원가입)
서비스를 이용하고자 하는 고객은 당 사이트에서 정한 회원가입양식에 개인정보를 기재하여 가입을 하여야 합니다.
제 7 조 (개인정보의 보호 및 사용)
당 사이트는 관계법령이 정하는 바에 따라 회원 등록정보를 포함한 회원의 개인정보를 보호하기 위해 노력합니다. 회원 개인정보의 보호 및 사용에 대해서는 관련법령 및 당 사이트의 개인정보 보호정책이 적용됩니다.
제 8 조 (이용 신청의 승낙과 제한)
① 당 사이트는 제6조의 규정에 의한 이용신청고객에 대하여 서비스 이용을 승낙합니다.
② 당 사이트는 아래사항에 해당하는 경우에 대해서 승낙하지 아니 합니다.
- 이용계약 신청서의 내용을 허위로 기재한 경우
- 기타 규정한 제반사항을 위반하며 신청하는 경우
제 9 조 (회원 ID 부여 및 변경 등)
① 당 사이트는 이용고객에 대하여 약관에 정하는 바에 따라 자신이 선정한 회원 ID를 부여합니다.
② 회원 ID는 원칙적으로 변경이 불가하며 부득이한 사유로 인하여 변경 하고자 하는 경우에는 해당 ID를
해지하고 재가입해야 합니다.
③ 기타 회원 개인정보 관리 및 변경 등에 관한 사항은 서비스별 안내에 정하는 바에 의합니다.
제 3 장 계약 당사자의 의무
제 10 조 (KISTI의 의무)
① 당 사이트는 이용고객이 희망한 서비스 제공 개시일에 특별한 사정이 없는 한 서비스를 이용할 수 있도록
하여야 합니다.
② 당 사이트는 개인정보 보호를 위해 보안시스템을 구축하며 개인정보 보호정책을 공시하고 준수합니다.
③ 당 사이트는 회원으로부터 제기되는 의견이나 불만이 정당하다고 객관적으로 인정될 경우에는 적절한 절차를
거쳐 즉시 처리하여야 합니다. 다만, 즉시 처리가 곤란한 경우는 회원에게 그 사유와 처리일정을 통보하여야
합니다.
제 11 조 (회원의 의무)
① 이용자는 회원가입 신청 또는 회원정보 변경 시 실명으로 모든 사항을 사실에 근거하여 작성하여야 하며,
허위 또는 타인의 정보를 등록할 경우 일체의 권리를 주장할 수 없습니다.
② 당 사이트가 관계법령 및 개인정보 보호정책에 의거하여 그 책임을 지는 경우를 제외하고 회원에게 부여된
ID의 비밀번호 관리소홀, 부정사용에 의하여 발생하는 모든 결과에 대한 책임은 회원에게 있습니다.
③ 회원은 당 사이트 및 제 3자의 지적 재산권을 침해해서는 안 됩니다.
제 4 장 서비스의 이용
제 12 조 (서비스 이용 시간)
① 서비스 이용은 당 사이트의 업무상 또는 기술상 특별한 지장이 없는 한 연중무휴, 1일 24시간 운영을
원칙으로 합니다. 단, 당 사이트는 시스템 정기점검, 증설 및 교체를 위해 당 사이트가 정한 날이나 시간에
서비스를 일시 중단할 수 있으며, 예정되어 있는 작업으로 인한 서비스 일시중단은 당 사이트 홈페이지를
통해 사전에 공지합니다.
② 당 사이트는 서비스를 특정범위로 분할하여 각 범위별로 이용가능시간을 별도로 지정할 수 있습니다. 다만
이 경우 그 내용을 공지합니다.
제 13 조 (홈페이지 저작권)
① NDSL에서 제공하는 모든 저작물의 저작권은 원저작자에게 있으며, KISTI는 복제/배포/전송권을 확보하고
있습니다.
② NDSL에서 제공하는 콘텐츠를 상업적 및 기타 영리목적으로 복제/배포/전송할 경우 사전에 KISTI의 허락을
받아야 합니다.
③ NDSL에서 제공하는 콘텐츠를 보도, 비평, 교육, 연구 등을 위하여 정당한 범위 안에서 공정한 관행에
합치되게 인용할 수 있습니다.
④ NDSL에서 제공하는 콘텐츠를 무단 복제, 전송, 배포 기타 저작권법에 위반되는 방법으로 이용할 경우
저작권법 제136조에 따라 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해질 수 있습니다.
제 14 조 (유료서비스)
① 당 사이트 및 협력기관이 정한 유료서비스(원문복사 등)는 별도로 정해진 바에 따르며, 변경사항은 시행 전에
당 사이트 홈페이지를 통하여 회원에게 공지합니다.
② 유료서비스를 이용하려는 회원은 정해진 요금체계에 따라 요금을 납부해야 합니다.
제 5 장 계약 해지 및 이용 제한
제 15 조 (계약 해지)
회원이 이용계약을 해지하고자 하는 때에는 [가입해지] 메뉴를 이용해 직접 해지해야 합니다.
제 16 조 (서비스 이용제한)
① 당 사이트는 회원이 서비스 이용내용에 있어서 본 약관 제 11조 내용을 위반하거나, 다음 각 호에 해당하는
경우 서비스 이용을 제한할 수 있습니다.
- 2년 이상 서비스를 이용한 적이 없는 경우
- 기타 정상적인 서비스 운영에 방해가 될 경우
② 상기 이용제한 규정에 따라 서비스를 이용하는 회원에게 서비스 이용에 대하여 별도 공지 없이 서비스 이용의
일시정지, 이용계약 해지 할 수 있습니다.
제 17 조 (전자우편주소 수집 금지)
회원은 전자우편주소 추출기 등을 이용하여 전자우편주소를 수집 또는 제3자에게 제공할 수 없습니다.
제 6 장 손해배상 및 기타사항
제 18 조 (손해배상)
당 사이트는 무료로 제공되는 서비스와 관련하여 회원에게 어떠한 손해가 발생하더라도 당 사이트가 고의 또는 과실로 인한 손해발생을 제외하고는 이에 대하여 책임을 부담하지 아니합니다.
제 19 조 (관할 법원)
서비스 이용으로 발생한 분쟁에 대해 소송이 제기되는 경우 민사 소송법상의 관할 법원에 제기합니다.
[부 칙]
1. (시행일) 이 약관은 2016년 9월 5일부터 적용되며, 종전 약관은 본 약관으로 대체되며, 개정된 약관의 적용일 이전 가입자도 개정된 약관의 적용을 받습니다.