macOS용 실시간 온디바이스 안티피싱 솔루션은 참조 기반 감지를 새로운 차원으로 끌어올려 Mac 사용자에게 피싱 웹사이트에 접속했다는 경고를 즉시 제공합니다.
2023년에 몇 개의 고유한 피싱 웹사이트가 공개되었나요? 안티피싱 워킹 그룹
내가 아래에 설명하는 솔루션은 개념 증명 실험으로 시작되었습니다.
현재 안티피싱 앱은 주로 블랙리스트, 분류 기반 접근 방식, 참조 기반 접근 방식의 세 가지 탐지 방법을 사용합니다. 각 방법에는 장점이 있지만 모두 추가 개선이 필요합니다. 각각을 살펴보겠습니다.
블랙리스트 방식은 실용적이고 정확하지만 피싱 웹사이트가 얼마나 빨리 퍼지는지 따라잡을 수 없습니다. 새로운 피싱 웹사이트가 목록에 추가되어야 할 수도 있고 공격자가 종종 감지를 피하기 위해 URL을 변경하기 때문에 항상 효과적인 것은 아닙니다.
예를 들어, Google Safe Browsing은 알려진 피싱 사이트 목록을 사용합니다. 웹사이트를 방문하려고 하면 이 목록과 주소를 비교합니다. 일치하는 것이 있으면 액세스를 차단하고 위험에 대해 경고합니다. 하지만 웹사이트가 몇 분 전에 게시되었다면 어떨까요? 목록에 없을 것이고 사용자는 갇힐 것입니다.
이 안티피싱 방식에서 머신 러닝은 URL 구조, HTML 콘텐츠, 메타데이터와 같은 웹페이지 기능을 분석하여 웹사이트가 스푸핑인지 합법적인지 판별합니다. 분류는 사용자 데이터에서 새로운 피싱 사이트를 발견하기 위해 학습하기 때문에 브라우저 확장 프로그램에 매우 유용합니다.
여기서의 단점은 머신 러닝이 복잡한 알고리즘과 많은 훈련 데이터를 필요로 하는 반면, 사이버 범죄자들은 탐지를 피하기 위해 새로운 난독화 전술을 재빨리 만들어낸다는 것입니다. 이는 분류 기반 접근 방식을 덜 정확하고 독립형 보안 제품에 이상적이지 않게 만듭니다.
일부 참조 기반 솔루션은 최첨단으로 간주됩니다. 이들은 컴퓨터 비전을 사용하여 웹페이지 모양을 분석하고 피싱 웹사이트를 효과적으로 감지합니다. 그러나 우리가 또한 보는 것은 참조 기반 솔루션이 클라우드에서 피싱 사례를 처리하지 않는다면 더 빠를 수 있다는 것입니다.
피싱 웹사이트가 활성화되고 참조 기반 탐지 시스템이 목록에 추가하는 데는 중요한 시간 간격이 있습니다. 우리는 이 간격을 줄여 더 빠른 탐지와 대응을 보장하고자 했습니다.
저희의 목표는 피싱 웹사이트가 공개되자마자 Mac 사용자에게 경고하는 것이었습니다. 이를 달성하기 위해 참조 기반 접근 방식을 취하고 개선했습니다. 클라우드 처리를 제거하고 모든 계산을 로컬에서 수행하도록 제안하여 탐지 시간을 단축했습니다. 보너스로 저희 솔루션은 모든 사용자 데이터가 기기에서 처리되고 다른 곳으로 이동하지 않으므로 개인 정보 보호가 강화됩니다.
Swift를 사용하여 프레임워크를 통합하여 네이티브 macOS 앱을 구축했습니다.
간단히 설명하면 다음과 같습니다.
웹사이트에 있을 때, 우리 앱은 페이지 레이아웃을 이해하려고 시도합니다. 로고, 입력 필드, 버튼과 같은 주요 페이지 요소를 식별합니다. 이 작업을 위해 우리는 다음을 선택했습니다.
이 단계에서는 웹사이트에서 요소의 배치를 인식하는 것이 중요합니다. 특히 브랜드 로고와 자격 증명을 입력하는 양식이 있는 영역이 중요합니다.
다음으로, 프로토타입은 웹사이트에서 감지된 로고가 잘 알려진 브랜드와 일치하는지 확인합니다. 그 위에, 웹페이지 URL을 합법적인 웹사이트의 참조 목록과 비교합니다. 웹사이트가 공식적이라면, 우리는 더 이상의 단계를 건너뜁니다.
덧붙여, 우리는 브랜드가 마케팅에 얼마나 많은 공식 도메인을 사용하는지 보고 실망했습니다. 피싱 웹사이트가 피해자를 속이는 데 매우 효과적인 것도 당연합니다. 예를 들어, DHL은 dhl.com, express.dhl, mydhli.com, dhlsameday.com, dhlexpresscommerce.com과 같은 여러 공식 도메인을 가지고 있습니다.
우리는 웹페이지를 두 가지 범주로 분류합니다. 자격 증명이 필요한지 여부입니다. 이 단계는 피싱 웹사이트가 개인 사용자 정보를 훔치려고 하는지 확인합니다.
스크린샷에서, 우리의 프로토타입은 자격 증명 입력 필드를 발견하고, 페이지를 DHL에 귀속시키고, URL을 공식 DHL 도메인 목록과 비교했습니다. 사용자는 페이지가 DHL에 속하지 않기 때문에 피싱 경고를 받았습니다.
저희 시스템은 기준 정확도를 유지하거나 능가하며 확실히 처리 시간이 더 빠릅니다. 로고 인식에서 90.8%의 정확도를 달성했고 자격 증명 입력 감지에서 98.1%의 정확도를 달성했습니다.
아래 그래프는 다른 안티피싱 솔루션에 대한 당사의 성과와 정확도, 재현율, 거짓 양성률에서 당사가 어떻게 비교되는지 보여줍니다. 당사는 거짓 양성률을 3.4%로 낮게 유지하면서도 피싱 시도의 87.7%를 자랑스럽게 탐지했습니다.
최종 메트릭은 우리 솔루션이 눈에 띄는 성능 저하 없이 백그라운드에서 원활하게 실행됨을 보여줍니다. CPU 사용은 최소입니다. Apple M1 Mac에 8개의 코어가 있는 경우, 우리 프로토타입은 사용 가능한 800% 용량의 16%만 사용합니다. 이 소비 수준은 활성 Safari 탭 3개 또는 Zoom 통화 1개와 비슷합니다.
시중에는 안티피싱 앱이 많이 있지만, 대부분은 외부 서버에서 데이터를 처리합니다. 저희 프로토타입은 최신 컴퓨터의 하드웨어를 통해 머신 러닝 모델을 기기에 로컬로 가져올 수 있음을 보여줍니다. 이를 사용하여 피싱에 대처하고 처리 속도와 시스템 리소스 사용에 대해 걱정할 필요가 없습니다. 다행히도 Apple 생태계는 최적화를 위한 프레임워크와 도구를 제공합니다.
저자: 이반 페트루카, MacPaw Technological R&D의 수석 연구 엔지니어, 전 Moonlock 출신.