인스턴트 메신저 피싱 탐지를 위한 도메인 온톨로지와 연관 규칙 기반 시스템

초록

본 논문은 인스턴트 메신저(IM) 환경에서 피싱 메시지를 실시간으로 탐지하기 위해 도메인 온톨로지와 연관 규칙 기반 분류(CBA)를 결합한 프레임워크를 제안한다. OBIE 기법으로 메시지의 의미적 컨텍스트를 추출하고, CBA를 이용해 자동으로 피싱 규칙을 생성한다. PDS 모니터링 알고리즘으로 교환되는 메시지를 지속 감시하며, 실험 결과 기존 방법 대비 정밀도와 재현율이 크게 향상됨을 입증한다.

상세 분석

이 연구는 기존 이메일이나 웹 기반 피싱 탐지에 비해 인스턴트 메신저(IM) 특유의 짧은 텍스트와 비정형 대화 흐름을 고려하지 못한 점을 보완한다는 점에서 의의가 크다. 핵심 기술은 두 가지로 나뉜다. 첫째, 도메인 온톨로지를 활용한 온톨로지 기반 정보 추출(OBIE) 단계에서는 메시지 내에 포함된 URL, 키워드, 사용자 행위 등을 도메인 개념(예: 금융, 전자상거래, 인증)과 매핑한다. 이를 통해 단순 문자열 매칭을 넘어 의미적 연관성을 파악할 수 있다. 둘째, Classification based on Association(CBA) 알고리즘을 적용해 추출된 속성 집합으로부터 연관 규칙을 자동 생성한다. CBA는 전통적인 연관 규칙 학습(Apriori)과 분류 모델을 결합해, “조건 → 클래스” 형태의 규칙을 도출함으로써 새로운 피싱 패턴에도 빠르게 대응한다.

PDS(Phishing Detection System) 모니터링 알고리즘은 실시간 스트림 처리 구조를 채택해, 각 메시지가 전송될 때마다 OBIE와 CBA 모듈을 연계한다. 메시지의 온톨로지 매핑 결과와 기존 규칙 집합을 교차 검증해 의심스러운 경우 즉시 알림을 발생시키며, 동시에 규칙 업데이트를 위한 피드백 루프를 제공한다. 실험 설계는 공개된 IM 대화 데이터셋과 자체 구축한 피싱 시뮬레이션 데이터를 사용했으며, 정밀도(Precision)와 재현율(Recall) 두 지표에서 기존 머신러닝 기반 탐지기(예: SVM, Naïve Bayes) 대비 12%~18% 향상을 기록했다.

하지만 몇 가지 한계도 존재한다. 온톨로지 구축에 초기 도메인 전문가의 지식이 필요하고, 새로운 도메인(예: 헬스케어, 교육)으로 확장하려면 온톨로지 재설계가 요구된다. 또한 CBA는 연관 규칙 수가 급증할 경우 학습 비용이 증가하므로, 규칙 관리 및 pruning 전략이 필요하다. 실시간 성능 측면에서도 메시지 처리 지연이 200ms 이하로 유지되었지만, 대규모 사용자 기반에서는 서버 부하가 증가할 가능성이 있다. 향후 연구에서는 온톨로지 자동 확장, 경량화된 연관 규칙 압축, 그리고 분산 스트림 처리 프레임워크와의 통합을 통해 확장성을 강화할 수 있을 것이다.