• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 춘계학술발표대회
• /
• pp.416-419
• /
• 2014

스미싱(SMiShing) 공격은 문자메시지(SMS)를 이용하여 정보를 유출하거나 타인에게 피해를 주는 행위를 일컫는다. 본 논문에서는 공격자의 공격유형에 따라 스미싱을 "직접 정보 유출", "파밍/피싱 사이트 유도", "악성어플리케이션 다운로드 유도"로 분류하였고 스미싱 공격의 시나리오를 통해 스미싱 공격을 표현하였다. 그 후 스미싱 방지 기술 동향을 파악을 위한 기존의 대응 기법들을 조사를 하고 기존의 스미싱 탐지 기법인 URL 검사와 APK 파일 분석 기법을 접목시킨 스미싱 탐지 모델을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 춘계학술발표대회
• /
• pp.683-686
• /
• 2013

최근 인터넷을 이용한 금융거래가 활발해지면서 피싱이나 파밍과 같은 공격을 통한 개인정보 유출 사고가 빈번히 발생하고 있다. 특히 파밍의 경우, 공격자가 DNS 정보를 변조하여 사용자가 올바른 URL을 입력하더라도 악의적 사이트로 컴퓨터가 접속을 하기 때문에 위험성이 매우 높다. 이러한 공격들을 방지하기위하여 여러 연구가 진행되었지만, DNS 정보의 검증을 위한 추가적인 절차를 필요로 하거나 과도한 네트워크 트래픽을 유발할 수 있는 문제점을 가지고 있다. 따라서 본 논문에서는 이러한 문제점을 극복하고자 DNS 리소스 레코드(Resource Record)의 부분 암호화를 이용하여 DNS 변조 공격을 탐지 하는 프로토콜을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2009년도 춘계학술발표대회
• /
• pp.772-775
• /
• 2009

최근 유비쿼터스 시대에는 사용자의 편의성과 보안을 위주로 한 시스템들이 등장하고 있다. 병원에서는 컴퓨터를 이용하여 차팅을 하는 EMR 시스템을 도입하여 병원 내에서의 사용자 정보의 공유가 쉽게 이루어지고 있다. 사용자 중심의 전자ID지갑은 하나의 ID로 여러 사이트의 가입과 정보공유를 할 수 있다는 편리성과 개인정보보호 서버로 인한 피싱과 파밍으로부터 안전하다는 보안성을 지니고 있다. 이에 사용자는 전자ID지갑의 기능을 EMR시스템과 연동하여, 사용하는 측과 사용 받는 측 모두 효율적인 관리를 할 수 있는 기술이 필요하다. 본 논문에서는 이러한 전자ID지갑과 U-healthcare 시스템의 기능을 이용하여 사용자가 효율적인 서비스를 받기 위한 시스템과 보안관련 사항을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2009년도 추계학술발표대회
• /
• pp.687-688
• /
• 2009

차세대 무선 통신 기술인 Wi-Fi는 이동통신사를 거치지 않고 근처의 AP(Access Point)를 통하여 여러 컨텐츠 제공서버에 접근한다. 그에 따라 사용자는 컨텐츠 제공서버로 위장한 피싱이나, 인증되지 않은 사이트를 통해 악성코드 배포, 사용자 정보유출등과 같은 취약점에 노출되고, 컨텐츠 제공 서버 또한 타인으로 위장한 위장공격등과 같은 취약점에 노출된다. 본 논문에서는 Wi-Fi 환경 내에서 사용자 단말기와 컨텐츠 제공서버간의 상호 인증 방안을 모색하고, 모바일 환경의 특성을 고려한 상호 인증 방안을 제안한다.

• 한국통신학회논문지
• /
• 제38B권6호
• /
• pp.473-484
• /
• 2013

단축 URL은 짧은 URL을 긴 URL 대신에 사용하는 방식으로, 짧은 URL이 긴 URL에 리다이렉션되는 방식이다. 단축 URL은 생성과 사용이 간편하고, 글자수가 제한된 마이크로 블로깅 서비스의 사용이 증가함에 따라 폭발적으로 사용량이 증가하였다. 단축 URL의 사용이 간편하기 때문에, 메일, SMS, 책에서도 많이 사용되고 있다. 그러나 대부분의 단축 URL은 연결된 URL과의 어떠한 연관성도 없어, 사용자는 단축 URL에 직접 확인하기 전까지는 무엇에 관한 URL인지 모른다. 연결된 URL을 알 수 없다는 점을 악용하여, 단축 URL은 피싱 사이트나 악성코드 유포 등에 쓰인다. 기존에 이러한 문제를 극복하기 위해 단축 URL 서비스 사이트의 이름을 바꾸거나, 웹사이트의 정보를 반영하거나, 지역 이름의 줄임말 같은 단축어 사용 등의 시도가 있었으나, 각각의 방법에는 자동화의 어려움, 상대적으로 긴 단축 URL 길이, 적용 범위 한계가 각각의 문제점으로 적용하였다. 앞선 문제점을 보완하기 위하여, 본 논문은 아랍어의 모음이 없는 문자 시스템에서 착안하여 URL 사이트 이름에서 모음을 탈락시킨 유사한 문자열을 이용하여 단축 URL 방식 SHRT를 제안한다.

• 인터넷정보학회논문지
• /
• 제15권3호
• /
• pp.79-90
• /
• 2014

아이디와 패스워드를 통한 인증은 고전적인 방법이나 여전히 가장 널리 사용되고 있다. 오늘날 사용자들의 패스워드의 인증 수행 과정은 그 단순함과 편리함, 반복적인 수행으로 인해 적응무의식화 되었다. 즉, 의식화된 상태가 아닌 무의식적으로 인증을 수행하고 있다. 인증과정은 그 절차가 단순하고 반복 학습되어 인간의 깊은 사고 없이도 무의식적으로 수행할 수 있도록 학습될 수 있다. 또한 사용자들이 보유한 아이디와 패스워드 개수가 적기 때문에 기억에 의존할 수 있는 것도 적응무의식화의 원인 중 하나이다. 소수의 아이디와 패스워드 개수를 보유한 것과 달리 대개 사용자들은 수많은 웹, 모바일, 인터넷사이트 서비스에 가입되어 있다. 계정의 수는 많은 반면 소수의 아이디, 패스워드 쌍을 보유했을 때, 그리고 그것이 기억에 의존하여 관리될 때, 마지막으로 인증 과정이 무의식적으로 수행될 때 그것은 인간의 취약점이 된다. 과거에는 정보유출을 위한 해킹 공격이 하드웨어나 소프트웨어 등의 취약점을 이용한 것이었다면 최근에는 이와 더불어 인적 요소의 취약점을 이용하는 사회공학적 공격이 많아지고 있다. 특히 피싱 및 파밍 등과 같은 정보유출형 공격이 급증하고 있다. 피싱 및 파밍 공격은 인적 요소의 취약성을 이용한 것이며, 무의적으로 수행하는 인간의 인증 행위에 취약하다. 과거의 피싱 및 파밍에 대한 연구는 기술적인 분석이나 대책이 주를 이루었지만, 본 논문은 피싱 및 파밍 공격시 반응하는 인간의 행위에 관심이 있다. 사용자가 패스워드를 무의식적으로 입력 할 때, 그리고 인증 행위를 반복 수행할 때, 얼마나 많은 패스워드를 노출할 수 있는지 실험을 통해 확인했다.

• 정보보호학회지
• /
• 제18권5호
• /
• pp.1-20
• /
• 2008

편리한 금융거래 수단으로써 인터넷뱅킹을 포함한 전자금융 서비스가 생활화 되었으며 그 중요성 또한 갈수록 증가하고 있다. 이에 대한 부작용으로서 사용자의 실수나 금융기관, 쇼핑몰, 포털 등의 해킹을 통한 전자금융 접근매체의 유출, 비정상적인 지불결제나 인터넷뱅킹 이체 사고 등 침해사고 또한 함께 증가하고 있다. 금융권은 금융감독원을 중심으로 전자금융 종합보안 대책 수립(2005년) 및 전자금융거래법 시행(2007년) 등을 통해 고객 PC의 해킹방지를 위한 다양한 보안프로그램 제공 의무화, 보안등급에 따른 이체한도 차등화, 금융권 통합 OTP 인증체계 구축 등 전자금융 침해사고 예방을 위한 적극적인 노력을 기울여오고 있으나, 최근 들어 피싱/파밍 등 신종 사이버사기 기법이나 해외의 전문 해커에 의해 개발된 고도의 지능화된 해킹툴이 사용되어 보안프로그램을 무력화시킨 후 고객정보를 유출해가거나 일반 포털사이트, 웹하드, 웹메일 등의 해킹을 통해 인터넷 사이트에 등록된 고객의 인터넷뱅킹 접근 매체를 유출하여 인터넷뱅킹 침해 사고를 일으키는 등의 신종 침해사고를 완벽히 차단하지는 못하고 있어, 더욱 강력한 전자금융 침해사고 예방 통제 방안의 수립과 함께 침해사고 발생 시 원인 파악 및 범인 검거를 위한 역추적 시스템의 구축 등 기존 보안체계를 대폭 강화할 필요성이 발생하고 있다. 본 연구에서는 시중 은행의 인터넷뱅킹 침해사고 발생 현황 조사를 중심으로 최근 발생한 전자금융 침해사고의 추이분석, 침해사고 주요 원인과 기존 대응 체계의 현황, 한계점 등을 파악하였다. 그리고 전자금융 침해사고의 효과적인 예방 및 대응 강화 방안으로서 사용자 관점에서 공인인증서를 중심으로 한 전자금융 접근매체의 관리 강화 방안을 제안하였으며, 전자금융 서비스를 제공하는 금융 기관 관점에서 효과적인 전자금융거래 로깅 및 역추적 시스템의 구축 및 전체 금융기관과 감독기관 간의 유기적인 공조를 기반으로 한 침해사고 공동 대응체계의 구축 및 운영을 위한 시스템의 구성 방법, 운영 프로세스, 관련 법률의 검토 및 대응 방법 등을 제안하였다.

• 디지털융복합연구
• /
• 제11권12호
• /
• pp.327-332
• /
• 2013

XSS는 공격자가 상대방의 브라우저에 Script를 실행할 수 있게 하여 사용자의 Session을 가로채거나 웹 사이트 변조, 악의적 컨텐츠 삽입, 피싱 공격을 할 수 있다. XSS공격은 저장(Stored)XSS와 반사(Reflected)XSS 이렇게 크게 두 가지 공격이 있다. XSS 공격의 형태는 Cookie Sniffing, 스크립트 암호화 및 우회, 악성코드 유포, Key Logger, Mouse Sniffer, 거짓정보 추가가 있다. XSS 공격은 스크립트 언어 그리고 취약한 코드들이 공격 대상이 된다. XSS 공격의 대응 방법에는 관리자의 대응과 사용자의 대응 두 가지를 제한 하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 추계학술발표대회
• /
• pp.482-485
• /
• 2014

온라인 중고물품 거래의 장점은 인터넷을 사용하는 모든 사용자에게 자신이 팔고자 하는 물건을 쉽게 알릴수 있다는것이다. 하지만 온라인에서 중고물품 거래 시에 개인의 정보를 노출할 경우가 많아지게 되는데 이는 프라이버시를 침해할 수 있다. 온라인 중고물품거래시에 사용자들은 자신이 판매하는 물건과 함께 이메일 주소나 핸드폰 번호를 노출하게 되는데 이 정보를 소셜네트워크서비스에 연결하면 특정인에 정보를 획득할 수 있게 된다. 공격자는 온라인 중고물품거래가 진행되는 곳에서 특정인에 대한 정보를 획득한뒤 소셜네트워크서비스와 정보를 연결하여 특정인에 대한 스토킹이나 피싱, 금융사기같은 범죄를 할 가능성이 있다. 본 논문에서는 개인정보노출에 대한 위험성을 알아보기 위해 중고물품 사이트에서 획득한 개인정보를 소셜네트워크서비스에 연결하여 개인 식별가능성을 실험해 보았으며 이를 막기 위한 방법을 제안하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2008년도 추계학술발표대회
• /
• pp.1477-1480
• /
• 2008

주민번호대체수단은 주민번호를 대체하기 위한 본인확인정보로서, 5 개의 민간기업이 운영하는 민간 i-PIN과 행정안전부가 운영하는 공공 i-PIN이 서비스를 제공하고 있다. 하지만 주민번호대체수단이 더욱 활성화되기 위해서는 기존에 제시된 보안성, 편의성 문제를 해결해야 한다. 본 논문은 신원 선택기를 추가하여, i-PIN의 프로토콜을 변경하지 않는 범위 이내에서 i-PIN의 단점으로 지적되는 로그인 번거로움, i-PIN 사이트 기억 문제, 피싱을 비롯한 보안 문제를 해결하는 방안을 제시하였다. 제안하는 방법은 사용자가 가입한 i-PIN 제공자에 접근하는 단계, i-PIN 제공자에 id 와 비밀번호를 입력하는 단계를 없애고, 신원 선택기를 통해 사용할 신원 정보를 선택하는 것만으로 처리되도록 하였다. 본 기술은 ETRI 에서 개발중인 전자 ID 지갑 솔루션을 통해 구현되었으며, 해당 서비스는 2009 년 중에 민간 i-PIN 제공자를 통해 시범 도입될 예정이다.