KR101379779B1 - 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법 - Google Patents
발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법 Download PDFInfo
- Publication number
- KR101379779B1 KR101379779B1 KR1020120078668A KR20120078668A KR101379779B1 KR 101379779 B1 KR101379779 B1 KR 101379779B1 KR 1020120078668 A KR1020120078668 A KR 1020120078668A KR 20120078668 A KR20120078668 A KR 20120078668A KR 101379779 B1 KR101379779 B1 KR 101379779B1
- Authority
- KR
- South Korea
- Prior art keywords
- message
- sip
- information
- sip message
- calling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 28
- 238000000034 method Methods 0.000 title claims description 24
- 238000001914 filtration Methods 0.000 claims abstract description 45
- 238000012544 monitoring process Methods 0.000 claims abstract description 25
- 230000002159 abnormal effect Effects 0.000 claims abstract description 10
- 238000010295 mobile communication Methods 0.000 claims description 2
- 230000000694 effects Effects 0.000 abstract description 2
- 238000001514 detection method Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 239000000969 carrier Substances 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000007423 decrease Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/304—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting circuit switched data communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1076—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 공공기관, 금융권 대표 번호 등으로 조작된 국제 호 및 메시지와 해외에서 국내 인터넷 전화 별정업체를 경유하여 조작된 호 및 메시지 등 모든 보이스피싱 및 문자피싱 공격을 탐지 및 차단할 수 있는 인터넷 전화용 보안장비를 제공하는 데에 그 목적이 있다. 상술한 목적을 달성하기 위한 본 발명은 SIP 서버와 인터넷 전화(Internet Protocol Phone: IP Phone) 단말기 사이에 위치하는 VoIP(Voice Over Internet Protocol) 보안장비에 있어서, 상기 인터넷 단말기로부터 패킷을 수신하고, 상기 패킷이 SIP 메시지인 경우 SIP 메시지 파싱부에 전달하고, 상기 패킷이 SIP 메시지가 아닌 경우 SIP 메시지 송신부로 전달하는 SIP 메시지 수신부; 상기 SIP 메시지를 SIP 문법에 맞게 파싱하고, 상기 SIP 메시지가 비정상 SIP 메시지(Malformed SIP Message)인 경우 차단(Drop)하고, 상기 SIP 메시지가 정상 SIP 메시지인 경우 SIP 메시지 필터링부로 전달하는 SIP 메시지 파싱부; 상기 SIP 메시지 중 서비스등록요청 메시지는 SIP 가입자 관리부로 전달하고, 인터넷 전화요청 메시지 및 메시지요청 메시지는 SIP 발신정보 저장부로 전달하고, 상기 메시지 이외의 메시지는 상기 SIP 메시지 송신부로 전달하는 상기 SIP 메시지 필터링부; 상기 서비스등록요청 메시지의 가입자 정보를 저장하고, 상기 서비스등록요청 메시지를 상기 SIP 메시지 송신부로 전달하는 SIP 가입자 관리부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지의 발신번호가 SIP 문법에 맞는지 판단하여 비정상 SIP 메시지인 경우 차단(Drop)하고, 정상적인 발신정보를 가진 SIP 메시지인 경우 발신정보 및 발신IP정보를 저장하는 상기 SIP 발신정보 저장부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지를 발신번호 또는 발신IP 기준의 모니터링 정보로 저장하고, 발신정보 변조 필터링부로 전달하는 SIP 메시지 모니터링부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 변조공격인지 경우 차단(Drop)하고, 그렇지 않은 경우 발신번호 유형 필터링부로 전달하는 상기 발신정보 변조 필터링부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 유형공격인 경우 차단(Drop)하고, 그렇지 않은 경우 SIP 메시지 송신부로 전달하는 상기 발신번호 유형 필터링부; 및 전달받은 메시지를 상기 SIP 서버로 전달하는 상기 SIP 메시지 송신부;를 포함하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다. 본 발명에 의하면 IP주소 정보, SIP 메시지 정보, RTP 정보 등을 복합적으로 활용한 알고리즘을 확보할 수 있어 인터넷 전화 보안장비 기능 향상 및 활용도를 극대화할 수 있는 효과가 있다. 또한, 본 발명에 의하면 발신번호가 조작된 보이스피싱 및 문자피싱가 사용자에게 도달하기 전에 차단할 수 있는 효과가 있다.
Description
본 발명은 인터넷 전화망에서 불특정 통신 서비스의 가입자를 대상으로 하는 인터넷 전화 및 메시지에 대한 SIP(Session Initiation Protocol) 메시지를 조작하여 발신 번호가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 기술에 관한 것이다. 더 자세하게는 보안장비에서 보이스피싱 및 문자피싱 공격을 실시간 모니터링하여 인터넷 전화 서비스 가입자에게 공격이 전달되는 것을 방지하는 발신정보 기준의 SIP 메시지 실시간 모니터링 기술에 관한 것이다.
기존의 인터넷 전화용 보안장비는 통신사업자 호처리 서버 및 기업내 IP-PBX(Internet Protocol - Private Branch Exchange) 등 서버 보호하는 기능을 한다. 기존의 인터넷 전화 보안장비의 기능으로는 비정상 메시지 공격, 플러딩(Flooding) 공격, SIP ACL(Access Control List) 및 인터넷 전화 및 메시지 스팸의 탐지/차단 기능이 있다.
기존의 인터넷 전화용 보안장비는 보호 대상이 되는 호처리 서버 및 IP-PBX 시스템의 SIP 시그널링 IP/PORT를 기준으로 수신되는 SIP 메시지를 모니터링하여 서버 보호하는 SIP 보안 기능을 수행한다.
기존 인터넷 전화용 보안장비의 기능을 구체적으로 살펴보면 다음과 같다. (1)SIP 메시지를 수신하면 SIP ACL 정보에 따라 출발지/목적지 IP/PORT/URL 정보가 일치할 경우 허용 및 차단 설정에 따라 해당 SIP 메시지를 처리한다. (2)수신한 SIP 메시지에 대하여 SIP flooding(SIP DoS/SIP DDoS) 공격 발생 여부를 판단하여 공격 발생시 해당 SIP 메시지를 허용 및 차단 설정에 따라 처리한다. (3)수신한 SIP 메시지를 SIP 파싱하여 SIP 구문 오류 공격인 경우에는 SIP 구문 오류 허용 및 차단 설정에 따라 처리한다. (4)수신한 SIP 메시지가 Call 상태를 위반하여 전송되는 공격인 경우, 통화 당사자가 아닌 다른 주체로부터 전송되는 메시지인 공격인 경우 또는 정상적인 인증 없이 전송되는 공격인 경우에는 비정상번호로 허용 및 차단 설정에 따라 처리한다. (5)수신한 SIP 메시지가 인터넷 전화를 대량으로 임의의 사용자에게 전송하는 경우, 광고 및 홍보 목적의 내용이 포함된 메시지를 대량의 사용자에게 전송하는 경우에는 스팸 허용 및 차단 설정에 따라 처리한다. (6)SIP 서버 대상의 보안 공격이 아닌 경우에는 해당 SIP 메시지를 해당 서버로 정상적으로 송신하여 보안 기능 수행을 종료한다.
최근 사용자를 기만하여 금전을 편취하는 보이스피싱 및 문자피싱이 성행하고 있는데, 기존의 인터넷 전화용 보안장비는 SIP 서버 보호기능만을 탑재하고 있어 사회적으로 문제가 되는 보이스피싱 및 문자피싱 차단에는 무방비로 노출되어 있는 상태이다. 따라서, 해외로부터 국내로 유입되는 인터넷 전화 국제 호 및 메시지에 중에 발신 번호가 공공기관, 금융권 대표 번호 등으로 조작된 국제 호 및 메시지와 해외에서 국내 인터넷 전화 별정업체를 경유하여 조작된 호 및 메시지 등 모든 보이스피싱 및 문자피싱 공격을 탐지 및 차단할 수 있는 인터넷 전화용 보안장비가 요구되고 있다.
발신번호가 조작된 국제 호에 대해서 탐지 및 차단할 수 있는 근거법은 빠르면 2012년 국회 통과가 예상되는데 이럴 경우 KT, SKBB, LGU+, 삼성SDS 등 주요 10개 기간통신사업자 및 인터넷 전화사업자는 조기에 기술적인 장비를 구축해야 하며 중소별정통신업체는 일정기간의 유예기간 후에 구축해야 한다. 따라서, 발신번호가 조작된 국제 호를 차단할 수 있는 인터넷 전화용 보안장비가 요구되고 있다.
본 발명은 해외로부터 국내로 유입되는 인터넷 전화 국제 호 및 메시지 중 발신 정보가 변조되어 공공기관, 금융권 대표 번호 등으로 조작된 국제 호 및 메시지와 해외에서 국내 인터넷 전화 별정업체를 경유하여 조작된 호 및 메시지 등의 보이스피싱 및 문자피싱을 탐지하고 차단하는 보이스피싱 및 문자피싱 공격에 대한 탐지 및 차단 방법을 제공하는 데에 그 목적이 있다.
본 발명은 보이스피싱 및 문자피싱 공격을 실시간 모니터링하여 공격을 미연에 방지하기 위한 발신정보 기준의 SIP 메시지 실시간 모니터링 방법을 제공하는 데에 그 목적이 있다.
본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 본 발명의 기재로부터 당해 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상술한 목적을 달성하기 위한 본 발명은 SIP 서버와 인터넷 전화(Internet Protocol Phone: IP Phone) 단말기 사이에 위치하는 VoIP(Voice Over Internet Protocol) 보안장비에 있어서, 상기 인터넷 단말기로부터 패킷을 수신하고, 상기 패킷이 SIP 메시지인 경우 SIP 메시지 파싱부에 전달하고, 상기 패킷이 SIP 메시지가 아닌 경우 SIP 메시지 송신부로 전달하는 SIP 메시지 수신부; 상기 SIP 메시지를 SIP 문법에 맞게 파싱하고, 상기 SIP 메시지가 비정상 SIP 메시지(Malformed SIP Message)인 경우 차단(Drop)하고, 상기 SIP 메시지가 정상 SIP 메시지인 경우 SIP 메시지 필터링부로 전달하는 SIP 메시지 파싱부; 상기 SIP 메시지 중 서비스등록요청 메시지는 SIP 가입자 관리부로 전달하고, 인터넷 전화요청 메시지 및 메시지요청 메시지는 SIP 발신정보 저장부로 전달하고, 상기 메시지 이외의 메시지는 상기 SIP 메시지 송신부로 전달하는 상기 SIP 메시지 필터링부; 상기 서비스등록요청 메시지의 가입자 정보를 저장하고, 상기 서비스등록요청 메시지를 상기 SIP 메시지 송신부로 전달하는 SIP 가입자 관리부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지의 발신정보가 SIP 문법에 맞는지 판단하여 비정상 SIP 메시지인 경우 차단(Drop)하고, 정상적인 발신정보를 가진 SIP 메시지인 경우 발신정보 및 발신IP정보를 저장하는 상기 SIP 발신정보 저장부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지를 발신번호 또는 발신IP 기준의 모니터링 정보로 저장하고, 발신정보 변조 필터링부로 전달하는 SIP 메시지 모니터링부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 변조공격인지 경우 차단(Drop)하고, 그렇지 않은 경우 발신번호 유형 필터링부로 전달하는 상기 발신정보 변조 필터링부; 상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 유형공격인 경우 차단(Drop)하고, 그렇지 않은 경우 SIP 메시지 송신부로 전달하는 상기 발신번호 유형 필터링부; 및 전달받은 메시지를 상기 SIP 서버로 전달하는 상기 SIP 메시지 송신부;를 포함하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 SIP 발신정보 저장부는 SIP 메시지 내에 발신 번호가 저장되어 있는 From 헤더 또는P-Asserted-Identity 헤더 및 헤더 값이 SIP 규격에 맞는지 판단하여 비정상 메시지를 판단하고 정상적인 메시지에 대하여발신 정보를 저장하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 SIP 발신정보 저장부는 SIP 메시지 내에 SDP(Session Data Protocol) 부를 파싱하여 RTP(Realtime Tranfer Protocol) IP를 저장하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 모니터링 정보는 인터넷 전화요청 및 메시지요청을 단위 시간당 시도 횟수로 저장하며 발신 번호 및 발신 IP를 기준으로 수집하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 발신정보 변조공격은 상기 SIP 메시지의 발신IP가 국외 IP 대역을 가진 SIP 메시지의 발신번호를 국내 전화번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 발신정보 변조공격은 상기 RTP IP가 국외 IP 대역을 가진 SIP 메시지의 발신번호를 국내 전화번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 발신정보 변조공격은 상기 SIP 메시지 헤더값이 국외 IP 대역을 가진 SIP 메시지의 발신번호를 국내 전화번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 발신정보 변조공격은 상기 가입자 정보를 분석하여 해당 가입자가 등록한 번호와 다른 발신번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신번호가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 발신번호 유형공격은 상기 SIP 메시지의 발신번호 헤더 값이 001 내지 009이면서 발신 IP가 사용자가 정의한 특정 IP 대역인 경우 발신자 국제전화 유형공격으로 판단하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 상기 발신번호 유형공격은 상기 SIP 메시지의 발신번호 헤더 값이 010 내지 019이면서 발신 IP가 사용자가 정의한 특정 IP 대역인 경우 발신자 이동통신 유형공격으로 판단하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
본 발명은 상기 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비에 있어서, 발신번호 변조유형 정보가 포함된 발신번호 유형공격 DB를 포함하고, 상기 발신번호 유형공격은 상기 SIP 메시지의 발신번호 헤더 값이 상기 발신번호 유형공격 DB에 존재하면서 발신 IP가 사용자가 정의한 특정 IP 대역인 경우 사용자정의 유형공격으로 판단하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
본 발명에 의하면 IP주소 정보, SIP 메시지 정보, RTP 정보 등을 복합적으로 활용한 알고리즘을 확보할 수 있어 인터넷 전화 보안장비 기능 향상 및 활용도를 극대화할 수 있는 효과가 있다. 또한, 본 발명에 의하면 발신번호가 조작된 보이스피싱 및 문자피싱가 사용자에게 도달하기 전에 차단할 수 있는 효과가 있다.
<도면 >1은 본 발명의 실시 예에 따른 인터넷 전화 전용 보안 장비에서 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격 발생 환경에 대해 도시한 것이고 <도면 2>는 본 발명의 실시 예에 따른 SIP 기반 인터넷 전화 서비스 보안방법에 대한 기능 블럭도를 보여주는 도면이고, <도면 3>은 본 발명의 실시 예에 따른 인터넷 전화 전용 보안 장비에서 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법에 대한 순서를 보여주는 도면이다.
최근 통신 비용 절감, 다양한 부가 서비스 활용 등으로 인터넷 전화 사용이 급증하고 있으나 인터넷 전화는 IP 네트워크 기반에서 전화를 사용하는 것으로 일반 유선 전화에 비해 네트워크상에서 인터넷 전화 호 제어 신호 및 통화 내용의 불법 도청이 용이하며, 인터넷 전화 무료 사용을 위한 서비스 오용 공격, 그리고 서비스 거부 공격으로 인터넷 전화망이 일순간 마비될 수 있는 등 기존 유선 전화에 비해 여러 가지 보안 취약점이 존재한다.
이러한 취약점 중에 하나가 미리 수집된 개인 정보를 통해 불특정 다수에게 발신 전화 번호 조작을 통해 인터넷 전화 및 메시지를 시도할 수 있다. 이와 같이 인터넷 전화 공격자에 의하여 발신 전화 번호 조작이 쉬워 공공기관이나 개인의 전화 번호로 변조하는 등 공격자에게 악용될 경우 매우 심각한 피해를 야기할 수 있다. 최근 장난전화 및 보이스피싱 등에서 이러한 발신 전화번호 조작이 많이 활용되고 있으며 이는 수사 기관에 의한 발신자 추적을 어렵게 하고 있어 많은 사람들이 피해를 입고 있는 상황이다. 그 중에서 최근 몇 년간 사회적 문제를 야기하는 보이스피싱 또는 전화 사기는 범행 대상자에게 전화를 걸어 허위 사실을 이야기하고 송금을 요구하거나 특정 개인 정보를 수집하는 사기 수법을 말한다. 기존 유선 전화망에서는 국제전화 발신 표시제 시행으로 감소 추세를 보였으나 최근 국제전화 번호가 표시되지 않는 인터넷 전화를 통해 발신 번호를 국내 공공기관 등의 전화 번호로 조작하는 등 새로운 수법을 쓰면서 다시 증가하고 있는 것으로 파악되고 있다.
국내에 운용중인 인터넷 전화 보안장비는 서버 보안을 위한 기능 위주로 VoIP 기반의 DoS/DDoS 공격 탐지 및 차단, 비정상 신호 및 음성 메시지를 통한 공격 탐지 및 차단, 음성/메시지 스팸 탐지 및 차단, SIP ACL 탐지 및 차단 기능 등으로 대부분 호처리 서버를 보호하는 기능 위주로 제공하고 있어 발신 번호가 조작된 인터넷 전화 및 메시지에 대한 검출 기능은 전무한 상황이다. 보이스피싱 및 문자피싱은 IP주소 정보, 발신 번호 정보 등을 조합하여 이상 유무를 판단해야 하는 관계로 종래의 보안장비에서 제공하는 알고리즘으로는 탐지 및 차단이 어렵다.
본 발명의 일 실시예는 SIP 서버와 인터넷 전화(Internet Protocol Phone: IP Phone) 단말기 사이에 위치하는 VoIP(Voice Over Internet Protocol) 보안장비에 있어서, 상기 인터넷 단말기로부터 패킷을 수신하고, 상기 패킷이 SIP 메시지인 경우 SIP 메시지 파싱부(220)에 전달하고, 상기 패킷이 SIP 메시지가 아닌 경우 SIP 메시지 송신부(290)로 전달하는 SIP 메시지 수신부(210), 상기 SIP 메시지를 SIP 문법에 맞게 파싱(Parsing)하고, 상기 SIP 메시지가 비정상 SIP 메시지(Malformed SIP Message)인 경우 차단(Drop)하고, 상기 SIP 메시지가 정상 SIP 메시지인 경우 SIP 메시지 필터링부(230)로 전달하는 SIP 메시지 파싱부(220), 상기 SIP 메시지 중 서비스등록요청 메시지는 SIP 가입자 관리부(240)로 전달하고, 인터넷 전화요청 메시지 및 메시지요청 메시지는 SIP 발신정보 저장부(250)로 전달하고, 상기 메시지 이외의 메시지는 상기 SIP 메시지 송신부(290)로 전달하는 상기 SIP 메시지 필터링부(230), 상기 서비스등록요청 메시지의 가입자 정보를 저장하고, 상기 서비스등록요청 메시지를 상기 SIP 메시지 송신부(290)로 전달하는 SIP 가입자 관리부(240), 상기 인터넷 전화요청 메시지 및 메시지요청 메시지의 발신번호가 SIP 문법에 맞는지 판단하여 비정상 SIP 메시지인 경우 차단(Drop)하고, 정상적인 발신정보를 가진 SIP 메시지인 경우 발신정보 및 발신IP정보를 저장하는 상기 SIP 발신정보 저장부(250), 상기 인터넷 전화요청 메시지 및 메시지요청 메시지를 발신정보 또는 발신IP정보 기준의 모니터링 정보로 저장하고, 발신정보 변조 필터링부(270)로 전달하는 SIP 메시지 모니터링부(260), 상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 변조공격인지 경우 차단(Drop)하고, 그렇지 않은 경우 발신번호 유형 필터링부(280)로 전달하는 상기 발신정보 변조 필터링부(270), 상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 유형공격인 경우 차단(Drop)하고, 그렇지 않은 경우 SIP 메시지 송신부(290)로 전달하는 상기 발신번호 유형 필터링부(280) 및 전달받은 메시지를 상기 SIP 서버로 전달하는 상기 SIP 메시지 송신부(290)를 포함하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비를 제공한다.
보이스피싱 및 문자피싱 공격은 크게 발신번호 변조공격과 발신번호 유형공격으로 구분할 수 있으며, 본 발명의 일 실시예는 상술한 두 가지 보이스피싱 및 문자피싱 공격을 탐지하고 차단할 수 있다.
SIP 메시지 내의 IP정보와 실제 수신한 SIP 메시지의 IP 정보를 비교하여 발신정보가 변조된 경우 발신번호 변조공격으로 판단하여 탐지 및 차단하게 되는데, SIP 메시지 내의 IP정보 유형에 따라 다음과 같이 구분한다.
(1) IP헤더 상의 발신번호 변조공격의 탐지 및 차단
SIP 메시지의 발신IP와 발신번호(From/P-Asserted-Identity)를 분석하여 국외 IP주소 대역을 가진 SIP 메시지가 국내 전화번호로 변조된 경우 IP헤더/발신번호 변조공격으로 판단하여 차단할 수 있다. 즉, 국가/공공기관 등 국내 전화번호를 발신번호로 변조한 SIP 메시지가 국외 IP대역으로부터 수신되는 경우를 발신번호 변조 공격으로 판단하는 것이다.
(2) RTP 세션 정보 상의 발신번호 변조공격 탐지 및 차단
음성 및 영상이 전달될 RTP(Realtime Transfer Protocol) 세션 정보를 포함한 SDP정보를 분석해서 SIP 메시지의 발신번호(From/P-Asserted-Identity)는 국내 전화번호이지만 국외IP 대역으로 RTP IP 대역을 실제 음성 및 영상 트래픽망으로 사용하려는 경우 발신번호 변조공격으로 판단하여 차단할 수 있다.
(3) SIP 헤더의 IP 정보 상의 발신번호 변조공격 탐지 및 차단
SIP 메시지 내의 헤더 값 중 IP 값이 포함되어 있는 메시지(From, Via, Contact 등)를 분석하여 해당 IP정보와 발신번호(From/P-Asserted-Identity)를 비교하여 변조된 경우 발신번호 변조공격으로 판한하여 차단할 수 있다. 즉, 국가 공공기관 등 국내 전화번호를 발신번호로 하는 SIP 메시지가 국외IP 대역을 헤더 값으로 포함한 경우 이를 발신번호 변조공격으로 판단하는 것이다.
(4) 가입정보 상의 발신번호 변조공격 탐지 및 차단
REGISTER 메소드 메시지를 통하여 정상적으로 SIP 서버에 등록된 가입자정보를 저장하고, SIP 서버에 정상적으로 등록된 가입자정보를 참조하여 해당 가입자가 사용할 수 없는 발신번호(From/P-Asserted-Identity)로 시도되는 SIP 메시지를 발신번호 변조공격으로 판단하여 차단할 수 있다. 즉, 실제 등록한 가입정보와 다른 정보로 변조하여 SIP 메시지를 송신하는 경우 이를 발신번호 변조공격으로 판단하는 것이다.
발신정보(From/P-Asserted-Identity) Prefix가 국제전화, 이동전화, 사용자정의 전화와 일치하는 경우 이르 발신번호 유형공격으로 판단하여 차단할 수 있다. 발신정보 Prefix의 특성에 따라 다음과 같이 구분한다.
(1) 발신번호의 국제전화 유형공격 탐지 및 차단
발신번호(From/P-Asserted-Identity) 헤더 값에 Prefix로 001 내지 009가 존재하는 SIP 메시지를 수신하고 발신 IP가 사용자가 정의한 특정 IP 대역인 경우 국제전화 유형공격으로 판단하여 차단할 수 있다.
(2) 발신번호의 이동전화 유형공격 탐지 및 차단
발신번호(From/P-Asserted-Identity) 헤더 값에 Prefix로 010 내지 019가 존재하는 SIP 메시지를 수신하고 발신 IP가 사용자가 정의한 특정 IP 대역인 경우 이동전화 유형공격으로 판단하여 차단할 수 있다.
(3) 발신번호의 사용자정의 유형공격 탐지 및 차단
주요 공공기관과 같은 보이스피싱에 발신번호 변조대상이 되는 전화번호 정보를 포함하는 발신번호 유형공격 DB를 이용하여 사용자정의 유형공격을 탐지하고 차단할 수 있다. 상기 발신번호 유형공격 DB는 시스템운영자에 의해서 정의될 수 있으므로 새로운 패턴의 보이스피싱 발신번호도 정의하여 차단할 수 있다.발신번호(From/P-Asserted-Identity) 헤더 값에 Prefix로 발신번호 유형공격 DB에 포함된 Prefix가 존재하는 SIP 메시지를 수신하고 발신 IP가 사용자가 정의한 특정 IP 대역인 경우 사용자정의 유형공격으로 판단하여 차단할 수 있다.
본 발명의 일 실시예는 보이스피싱 및 문자피싱 공격을 실시간으로 모니터링하는 기능을 제공한다. 보이스피싱 및 문자피싱 공격을 사전에 방지하기 위하여 발신정보 기준의 실시간 모니터링하는 기술로 크게 발신번호 기준, 발신IP 기준의 모니터링 기술로 구분할 수 있다.
(1) 발신번호 기준 전화 및 메시지 실시간 모니터링 기술
SIP 메시지의 발신번호(From/P-Asserted-Identity)를 기준으로 전화 및 메시지 서비스요청 시도 횟수를 실시간으로 모니터링하여 일정시간 동안 가장 많은 시도를 수행한 순으로 발신번호 정보를 제공하여, 같은 발신번호를 이용하여 랜덤하게 전화 또는 메시지 서비스요청을 시도하는 보이스피싱 및 문자피싱 공격을 사전에 공격을 탐지 및 차단할 수 있다.
(2) 발신IP 기준 전화 및 메시지 실시간 모니터링 기술
SIP 메시지의 발신IP를 기준으로 전화 및 메시지 서비스요청 시도 횟수를 실시간으로 모니터링하여 일정시간 동안 가장 많은 시도를 수행한 순으로 발신IP 정보를 제공하여, 사전에 보이스피싱 및 문자피싱 공격을 탐지 및 차단할 수 있도록 할 수 있다.
이하 본 발명의 일 실시예에 따른 VoIP 보안장비가 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지하여 차단하는 방법을 도면을 참조하여 자세히 설명하도록 한다.
본 발명이 적용될 발신번호 변조 공격이 이뤄질 수 있는 인터넷 전화망은 도1과 같은 환경으로 운용되고 있다. 최초 인터넷 전화서비스 가입자가 성공적으로 등록한 가입자번호와 다른 발신번호를 이용하여 인터넷 전화 및 메시지를 요청하는 공격 경로(110), 해외 인터넷 전화사업자를 통하여 국외IP 대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격경로(120), 해외 별정통신 인터넷 전화사업자를 통하여 국외IP 대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격경로(130), 국내 별정통신 인터넷 전화사업자를 통하여 국외IP 대역 정보가 포함된 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격경로 및 가능하지 않은 발신IP 대역으로부터 특정 발신번호 유형으로 인터넷 전화 및 메시지를 요청하는 공격경로(140)가 존재할 수 있다. 이러한 공격경로에 본 발명을 적용한 시스템을 구축한다면 보이스피싱 및 문자피싱 공격을 탐지하고 차단할 수 있다.
도2는 본 발명의 일 실시예에 따른 VoIP 보안장비의 구성요소와 그 상호관계를 블럭다이어그램으로 나타내고 있다. 도3에는 본 발명의 일 실시예에 따른 VoIP 보안장비의 작동박식을 프로차트로 나타내고 있다. 이하 본 발명의 작동 방식을 도2 및 도3을 참조하여 설명하도록 한다.
SIP 메시지 수신부(210)에서 IP 패킷을 수신하면 SIP 메시지인지 여부를 판단하여 SIP 메시지가 아닌 경우에는 SIP 메시지 송신부(290)을 통하여 해당 IP 패킷을 전달(PASS)한다. 여러 종류의 IP 패킷 중에 발신번호 변조공격의 대상이 되는 것은 SIP 메시지이므로 SIP 메시지만 선별하여 검사대상으로 삼는 것이다. SIP 메시지인 경우 SIP 메시지 파싱부(220)에 전달한다.
SIP 메시지 파싱부(220)는 SIP 규격(RFC 3261)에 따라 전달받은 SIP 메시지를 SIP 문법에 맞게 파싱(Parsing)한다. 만일 SIP 규격에 맞지 않는 SIP 메시지인 경우에는 해당 SIP 메시지를 차단(DROP)한다. 정상적인 SIP 메시지 파싱이 수행된 경우 SIP 메시지 필터링부(230)에 SIP 메시지를 전달한다.
SIP 메시지 필터링부(230)는 먼저 SIP 메시지 중에 인터넷 전화 서비스 등록을 요청하기 위한 "REGISTER" 메소드 메시지인 여부를 판단하여 SIP 가입자관리부(240)에 서비스등록 관리를 수행할 수 있도록 하고, SIP 메시지 송신부(290)을 통하여 해당 IP패킷을 전달(PASS)한다. SIP 가입자 관리부(240)는 정상적인 가입자 등록이 수행되면 해당 가입자정보를 저장하여 추후 발신정보 변조 필터링부(270)에서 가입자정보를 요청할 경우 해당 가입자정보를 보낸다.
SIP 메시지 필터링부(230)는 SIP 가입자 관리부(240)로 전달되지 않는 모든 SIP 메시지 중에서 인터넷 전화요청을 하기 위한 "INVITE" 메소드 또는 메시지요청을 하기 위한 "MESSAGE" 메소드 메시지인 경우에는 SIP 발신정보 저장부(250)로 보내고, 나머지 모든 메시지는 SIP 메시지 송신부(290)을 통하여 해당 IP 패킷을 전달(PASS)한다.
SIP 발신번호 저장부(250)는 SIP 메시지 내에 발신번호가 저장되어 있는 From 헤더의 헤더 값 또는 P-Asserted-Identity 헤더의 헤더 값이 SIP 규격에 맞게 구성되어 있는지를 판단하여 비정상적인 발신정보를 가진 메시지인 경우에는 해당 SIP 메시지를 차단(DROP)하고, 정상적인 발신정보를 가진 경우에는 SIP 메시지 내에 발신번호 및 해당 SIP 메시지를 송신한 발신IP 정보를 저장하여 추후 발신정보 변조 필터링부(270)에서 IP정보를 이용할 수 있도록 한다. 또한, SIP 발신번호 저장부(250)는 음성 및 영상이 전달될 RTP 정보가 저장되어 있는 SIP 메시지 내에 SDP(Session Data Protocol) 부를 파싱하여 실제 RTP 트래픽이 전달된 RTP IP정보를 저장하여 추후 발신정보 변조 필터링부(270)에서 RTP IP정보를 이용할 수 있도록 한다. SIP 발신번호 저장부(250)는 SIP 메시지의 발신정보 및 RTP IP정보를 저장한 후 SIP 메시지 모니터링부(250)에 전달한다.
SIP 메시지 모니터링부(260)는 SIP 메시지를 분석하여 발신정보 기준으로 인터넷 전화 및 메시지요청을 단위 시간당 시도 횟수로 저장한다. 발신번호와 발신IP 정보를 구분하여 각각 따로 인터넷 전화 및 메시지요청을 단위 시간당 시도 횟수로 저장하여 단위 시간당 전화 및 메시지요청의 시도 횟수를 가장 많은 시도 횟수 순으로 저장하여, 발신번호/인터넷 전화/시도 횟수 및 발신번호/SIP 메시지/시도 횟수, 발신IP호/인터넷 전화/시도 횟수 및 발신IP/SIP 메시지/시도 횟수 정보를 출력할 수 있게 한다. 모니터링이 끝난 SIP 메시지는 발신정보 변조 필터링부(270)로 보낸다.
발신정보 변조 필터링부(260)는 SIP 발신번호 저장부(250)에서 저장한 발신IP 정보를 이용하여 먼저 국외IP 대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조한 인터넷 전화 및 메시지 요청인 경우에 발신번호 변조공격으로 판단하여 해당 SIP 메시지를 차단(DROP)한다. 발신정보 변조 필터링부(260)는 SIP 발신번호 저장부(250)에서 저장한 RTP IP정보가 국외IP 대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조한 인터넷 전화 및 메시지 요청인 경우에 발신번호 변조공격으로 판단하여 해당 SIP 메시지를 차단한다. 발신정보 변조 필터링부(260)는 SIP 발신번호 저장부(250)에서 파싱한 Via, Contact 등의 발신관련 IP정보가 저장되어 있을 수 있는 SIP 헤더의 헤더 값이 국외IP 대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조한 인터넷 전화 및 메시지 요청인 경우에 발신번호 변조공격으로 판단하여 해당 SIP 메시지를 차단한다. 발신정보 변조 필터링부(260)는 SIP 가입자 관리부(240)에서 관리하는 인터넷 전화 서비스가입자가 등록시에 사용한 발신번호가 아닌 다른 발신번호로 변조한 인터넷 전화 및 메시지 요청인 경우에 발신번호 변조공격으로 판단하여 해당 SIP 메시지를 차단한다. 발신정보 변조 필터링 기능을 수행한 후에 SIP 메시지를 발신번호 유형 필터링부(280)로 보낸다.
발신번호 유형 필터링부(280)는 발신번호의 Prefix가 국제전화로 판단하게 되는 001 내지 009이면서 사용자가 정의한 특정 IP대역을 가진 SIP 메시지의 인터넷 전화 및 메시지 요청인 경우 발신번호 유형공격으로 판단하여 해당 SIP 메시지를 차단한다.
발신번호 유형 필터링부(280)는 발신번호의 Prefix가 이동전화로 판단하게 되는 010 내지 019이면서 사용자가 정의한 특정 IP대역을 가진 SIP 메시지의 인터넷 전화 및 메시지 요청인 경우 발신번호 유형공격으로 판단하여 해당 SIP 메시지를 차단한다.
발신번호 유형 필터링부(280)는 발신번호의 Prefix가 사용자가 정의한 번호대역이면서 사용자가 정의한 특정 IP대역을 가진 SIP 메시지의 인터넷 전화 및 메시지 요청인 경우 발신번호 유형공격으로 판단하여 해당 SIP 메시지를 차단한다.
상기 사용자가 정의한 특정 IP 대역이란 발신 IP가 해당 발신번호 유형이 올 수 없는 IP 대역, 보이스피싱 및 문자피싱 공격이 발생했던 IP 대역 등에 대해서 사용자가 직접 입력한 IP 대역을 말한다.
위의 모든 공격에서 탐지되지 않은 SIP 메시지는 최종적으로 SIP 메시지 송신부(290)를 통하여 전달(PASS)한다.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있다.
110 : 서비스 등록한 가입자 번호와 다른 발신번호를 이용하여 인터넷 전화 및 메시지를 요청하는 공격 경로
120: 해외 인터넷 전화사업자를 통하여 국외 IP대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격 경로
130: 해외 별정통신 인터넷 전화사업자를 통하여 국외 IP대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격 경로
140: 국내 별정통신 인터넷 전화사업자를 통하여 국외 IP대역 정보가 포함된 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격경로 또는 가능하지 않은 발신 IP대역으로부터 특정 발신호 유형으로 인터넷 전화 및 메시지를 요청하는 공격 경로
210: SIP 메시지 수신부
220: SIP 메시지 파싱부
230: SIP 메시지 필터링부
240: SIP 가입자 관리부
250: SIP 발신정보 저장부
260: SIP 메시지 모니터링부
270: 발신정보 변조 필터링부
280: 발신번호 유형 필터링부
290: SIP 메시지 송신부
120: 해외 인터넷 전화사업자를 통하여 국외 IP대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격 경로
130: 해외 별정통신 인터넷 전화사업자를 통하여 국외 IP대역을 가진 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격 경로
140: 국내 별정통신 인터넷 전화사업자를 통하여 국외 IP대역 정보가 포함된 SIP 메시지가 국가/공공기관 등의 국내 전화번호를 발신번호로 변조하여 인터넷 전화 및 메시지를 요청하는 공격경로 또는 가능하지 않은 발신 IP대역으로부터 특정 발신호 유형으로 인터넷 전화 및 메시지를 요청하는 공격 경로
210: SIP 메시지 수신부
220: SIP 메시지 파싱부
230: SIP 메시지 필터링부
240: SIP 가입자 관리부
250: SIP 발신정보 저장부
260: SIP 메시지 모니터링부
270: 발신정보 변조 필터링부
280: 발신번호 유형 필터링부
290: SIP 메시지 송신부
Claims (11)
- SIP 서버와 인터넷 전화(Internet Protocol Phone: IP Phone) 단말기 사이에 위치하는 VoIP(Voice Over Internet Protocol) 보안장비에 있어서,
상기 인터넷 단말기로부터 패킷을 수신하고, 상기 패킷이 SIP 메시지인 경우 SIP 메시지 파싱부에 전달하고, 상기 패킷이 SIP 메시지가 아닌 경우 SIP 메시지 송신부로 전달하는 SIP 메시지 수신부;
상기 SIP 메시지를 SIP 문법에 맞게 파싱하고, 상기 SIP 메시지가 비정상 SIP 메시지(Malformed SIP Message)인 경우 차단(Drop)하고, 상기 SIP 메시지가 정상 SIP 메시지인 경우 SIP 메시지 필터링부로 전달하는 SIP 메시지 파싱부;
상기 SIP 메시지 중 서비스등록요청 메시지는 SIP 가입자 관리부로 전달하고, 인터넷 전화요청 메시지 및 메시지요청 메시지는 SIP 발신정보 저장부로 전달하고, 상기 메시지 이외의 메시지는 상기 SIP 메시지 송신부로 전달하는 상기 SIP 메시지 필터링부;
상기 서비스등록요청 메시지의 가입자 정보를 저장하고, 상기 서비스등록요청 메시지를 상기 SIP 메시지 송신부로 전달하는 SIP 가입자 관리부;
상기 인터넷 전화요청 메시지 및 메시지요청 메시지의 발신정보가 SIP 문법에 맞는지 판단하여 비정상 SIP 메시지인 경우 차단(Drop)하고, 정상적인 발신정보를 가진 SIP 메시지인 경우 발신정보 및 발신IP정보를 저장하는 상기 SIP 발신정보 저장부;
상기 인터넷 전화요청 메시지 및 메시지요청 메시지를 발신번호 또는 발신IP 기준의 모니터링 정보로 저장하고, 발신정보 변조 필터링부로 전달하는 SIP 메시지 모니터링부;
상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 변조공격인지 경우 차단(Drop)하고, 그렇지 않은 경우 발신번호 유형 필터링부로 전달하는 상기 발신정보 변조 필터링부;
상기 인터넷 전화요청 메시지 및 메시지요청 메시지가 발신번호 유형공격인 경우 차단(Drop)하고, 그렇지 않은 경우 SIP 메시지 송신부로 전달하는 상기 발신번호 유형 필터링부; 및
전달받은 메시지를 상기 SIP 서버로 전달하는 상기 SIP 메시지 송신부;를 포함하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
- 제 1항에 있어서,
상기 SIP 발신정보 저장부는 SIP 메시지 내에 발신 번호가 저장되어 있는 From 헤더의 헤더 값 또는 P-Asserted-Identity 헤더의 헤더 값이 SIP 규격에 맞는지 판단하여 비정상 메시지를 판단하고, 정상적인 메시지에 대하여 발신 정보를 저장하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
- 제 1항에 있어서,
상기 SIP 발신정보 저장부는 SIP 메시지 내에 SDP(Session Data Protocol) 부를 파싱하여 RTP(Realtime Tranfer Protocol) IP를 저장하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
- 제 1항에 있어서,
상기 모니터링 정보는 인터넷 전화요청 및 메시지요청을 단위 시간당 시도 횟수로 저장하며 발신 IP 및 발신번호 기준으로 수집하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
- 제 1항에 있어서,
상기 발신정보 변조공격은 상기 SIP 메시지의 발신IP가 국외 IP 대역을 가진 SIP 메시지의 발신번호를 국내 전화번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
- 제 3항에 있어서,
상기 발신정보 변조공격은 상기 RTP IP가 국외 IP 대역을 가진 SIP 메시지의 발신번호를 국내 전화번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
- 제 1항에 있어서,
상기 발신정보 변조공격은 상기 SIP 메시지 헤더값이 국외 IP 대역을 가진 SIP 메시지의 발신번호를 국내 전화번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
- 제 1항에 있어서,
상기 발신정보 변조공격은 상기 가입자 정보를 분석하여 해당 가입자가 등록한 번호와 다른 발신번호로 변조한 경우를 포함하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
- 제 1항에 있어서,
상기 발신번호 유형공격은 상기 SIP 메시지의 발신번호 헤더 값이 001 내지 009이면서 사용자가 정의한 특정 IP 대역인 경우 발신자 국제전화 유형공격으로 판단하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
- 제 1항에 있어서,
상기 발신번호 유형공격은 상기 SIP 메시지의 발신번호 헤더 값이 010 내지 019이면서 사용자가 정의한 특정 IP 대역인 경우 발신자 이동통신 유형공격으로 판단하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
- 제 1항에 있어서,
발신번호 변조유형 정보가 포함된 발신번호 유형공격 DB를 포함하고,
상기 발신번호 유형공격은 상기 SIP 메시지의 발신번호 헤더 값이 상기 발신번호 유형공격 DB에 존재하면서 사용자가 정의한 특정 IP 대역인 경우 사용자정의 유형공격으로 판단하는 것을 특징으로 하는 발신정보가 변조된 보이스피싱 및 문자피싱 공격을 탐지 및 차단하는 VoIP 보안장비.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120078668A KR101379779B1 (ko) | 2012-07-19 | 2012-07-19 | 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120078668A KR101379779B1 (ko) | 2012-07-19 | 2012-07-19 | 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20140011751A KR20140011751A (ko) | 2014-01-29 |
| KR101379779B1 true KR101379779B1 (ko) | 2014-04-01 |
Family
ID=50143843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020120078668A Active KR101379779B1 (ko) | 2012-07-19 | 2012-07-19 | 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101379779B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023136672A1 (ko) * | 2022-01-14 | 2023-07-20 | 삼성전자 주식회사 | 외부 전자 장치와의 통화 유형을 판단하는 전자 장치 및 이의 동작 방법 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102446891B1 (ko) | 2022-03-14 | 2022-09-27 | (주)라바웨이브 | 피싱 문자 및 피싱 영상의 전송을 차단하는 방법 및 이를 위한 장치 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060078464A (ko) * | 2004-12-31 | 2006-07-05 | 엘지전자 주식회사 | 이동통신 단말기의 메시지 발신자 정보 제공방법 |
| KR20100068786A (ko) * | 2008-12-15 | 2010-06-24 | 한국전자통신연구원 | 발신번호 관리를 통한 휴대폰 피싱 공격 방지 방법 |
| KR20100130824A (ko) * | 2009-06-04 | 2010-12-14 | (주)제너시스템즈 | IP 대역 분석을 이용한 VoIP 인터넷 전화 서비스 시스템 및 그 방법 |
| KR20110065091A (ko) * | 2009-12-09 | 2011-06-15 | 한국인터넷진흥원 | 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법 |
-
2012
- 2012-07-19 KR KR1020120078668A patent/KR101379779B1/ko active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060078464A (ko) * | 2004-12-31 | 2006-07-05 | 엘지전자 주식회사 | 이동통신 단말기의 메시지 발신자 정보 제공방법 |
| KR20100068786A (ko) * | 2008-12-15 | 2010-06-24 | 한국전자통신연구원 | 발신번호 관리를 통한 휴대폰 피싱 공격 방지 방법 |
| KR20100130824A (ko) * | 2009-06-04 | 2010-12-14 | (주)제너시스템즈 | IP 대역 분석을 이용한 VoIP 인터넷 전화 서비스 시스템 및 그 방법 |
| KR20110065091A (ko) * | 2009-12-09 | 2011-06-15 | 한국인터넷진흥원 | 인터넷 전화 과금우회 공격 탐지 시스템 및 그 탐지 방법 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023136672A1 (ko) * | 2022-01-14 | 2023-07-20 | 삼성전자 주식회사 | 외부 전자 장치와의 통화 유형을 판단하는 전자 장치 및 이의 동작 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20140011751A (ko) | 2014-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10447481B2 (en) | Systems and methods for authenticating caller identity and call request header information for outbound telephony communications | |
| KR101218253B1 (ko) | 보안 및 불법호 검출 시스템 및 방법 | |
| Mustafa et al. | End-to-end detection of caller ID spoofing attacks | |
| KR101945782B1 (ko) | 인터넷 전화 불법 피싱호 차단 서비스 제공 방법 및 장치 | |
| US10306058B2 (en) | Methods, telecommunication switches and computer programs for processing call setup signalling | |
| EP1931105A1 (fr) | Procédé et système de gestion de sessions multimédia, permettant de contrôler l'établissement de canaux de communication | |
| US20080089494A1 (en) | System and Method for Securing a Telephone System Comprising Circuit Switched and IP Data Networks | |
| Gruber et al. | Voice calls for free: How the black market establishes free phone calls—Trapped and uncovered by a VoIP honeynet | |
| CA2796540A1 (en) | Transparent bridge device | |
| Mathieu et al. | SDRS: a voice-over-IP spam detection and reaction system | |
| Sheoran et al. | NASCENT: Tackling caller-ID spoofing in 4G networks via efficient network-assisted validation | |
| KR101379779B1 (ko) | 발신 정보가 변조된 보이스 피싱 및 문자 피싱 공격을 탐지 및 차단하는 방법 | |
| Shan et al. | Research on security mechanisms of SIP-based VoIP system | |
| Voznak et al. | Threats to voice over IP communications systems | |
| Park et al. | Security threats and countermeasure frame using a session control mechanism on volte | |
| Ganesan et al. | A scalable detection and prevention scheme for voice over internet protocol (VoIP) signaling attacks using handler with Bloom filter | |
| Omari et al. | A closer look on challenges and security risks of Voice over Internet Protocol infrastructures | |
| Scata et al. | Security analysis and countermeasures assessment against spit attacks on voip systems | |
| Song et al. | Towards standardized prevention of unsolicited communications and phishing attacks | |
| Ahmad et al. | VoIP security: A model proposed to mitigate DDoS attacks on SIP based VoIP network | |
| Hofbauer et al. | CDRAS: An approach to dealing with Man-in-the-Middle attacks in the context of Voice over IP | |
| Sherr et al. | Can they hear me now? A security analysis of law enforcement wiretaps | |
| EP2109284A1 (en) | Protection mechanism against denial-of-service attacks via traffic redirection | |
| Geneiatakis et al. | Performance evaluation of a flooding detection mechanism for voip networks | |
| Otterstedt | Risk analysis on VoIP systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20120719 |
|
| PA0201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20130830 Patent event code: PE09021S01D |
|
| PG1501 | Laying open of application | ||
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20140319 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20140325 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20140326 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment |
Payment date: 20170327 Year of fee payment: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20170327 Start annual number: 4 End annual number: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20180326 Year of fee payment: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20180326 Start annual number: 5 End annual number: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20210208 Start annual number: 8 End annual number: 8 |
|
| PR1001 | Payment of annual fee |
Payment date: 20220307 Start annual number: 9 End annual number: 9 |
|
| PR1001 | Payment of annual fee |
Payment date: 20230201 Start annual number: 10 End annual number: 10 |
|
| PR1001 | Payment of annual fee |
Payment date: 20240311 Start annual number: 11 End annual number: 11 |