Advances in Information and Communications Technology (ICT) have accelerated digital transformation and significantly improved the convenience of financial and telecommunications services. However, these developments have also intensified the sophistication of cyber threats that exploit ICT environments. In particular, phishing attacks that deceive users to steal personal, authentication, and financial information are rapidly evolving, and attacks leveraging malicious applications—such as remote control and data exfiltration—are causing substantial financial damage. Because these phishing attacks cross the boundaries of cybersecurity, telecommunications, and financial security domains, countermeasures developed independently within each sector have limited effectiveness in mitigating real-world harm.
Existing response structures operate in silos: cybersecurity agencies conduct malware analysis, telecommunications providers detect suspicious network behavior, and financial institutions rely on Fraud Detection Systems (FDS). Yet, real-time protection of victims is difficult because information does not flow seamlessly across institutions. Cybersecurity agencies possess malware analysis capabilities but cannot directly identify infected users; telecommunications providers can detect compromised devices through network traffic but cannot safeguard financial transactions; financial institutions can detect anomalies in customer transactions but lack the means to determine whether a user is infected with a malicious app, limiting their ability to perform timely protective actions. The absence of a cohesive link between infection detection and victim protection allows attackers to act faster than defensive measures, resulting in continued financial losses.
To address this limitation, this study proposes an automated cooperative response pipeline model integrating cybersecurity agencies, telecommunications providers, and financial institutions. In this model, malicious app analysis results generated by cybersecurity agencies are used by telecommunications providers to identify infected users, and the corresponding infection information is securely transmitted to financial institutions. Financial institutions can then implement targeted protection measures—such as enhanced authentication or temporary transaction suspension—before fraudulent transactions occur. The proposed model incorporates DNS sinkhole-based detection and a privacy-preserving CI (Connecting Information) hash-matching mechanism to enable cross-sector collaboration without exposing personal data.
A four-month pilot deployment (December 2024–March 2025) analyzed 6,650 malicious apps and extracted 78 malicious domains used for sinkhole monitoring. Despite legal constraints restricting direct sharing of personal information, collaboration with investigative authorities enabled the accurate identification and remediation of 2,610 infected users. Based on the average domestic phishing loss per victim, the pilot prevented an estimated KRW 107 billion in potential financial damage. Moreover, performance evaluation confirmed that DNS sinkhole application did not introduce noticeable latency. The study also provides institutional improvement proposals and detailed implementation guidelines to ensure the model’s feasibility under current regulatory frameworks.
The proposed cooperative pipeline model shifts the phishing response paradigm from detection-centric to victim-protection-centric. By enabling proactive intervention before monetary loss occurs, the model demonstrates significant potential to substantially reduce phishing-related financial damage and establish a new foundation for cross-sector collaborative defense.

정보통신기술(ICT, Information and Communications Technology)의 발전은 디지털 전환을 가속화 하며 금융 및 통신 서비스의 편의성을 획기적으로 높였으나, 이를 악용한 보안 위협 또한 정교해지고 있다. 특히 사용자를 기만하여 개인정보·인증정보·금융정보 등을 탈취하는 피싱 공격이 진화하고 있으며, 악성 앱을 이용한 원격 제어와 데이터 유출에 기반한 공격으로 금융 피해가 심각하다. 이런 피싱 공격은 정보보호 분야·통신 분야·금융 분야의 경계를 넘나드는 복합적 특성을 갖기 때문에, 각 기관이 독립적으로 추진하는 대응 기술만으로는 실제 피해 감소에 한계가 있다.
그러나 현행 대응 체계는 정보보호기관(분석), 통신사(탐지), 금융기관(FDS)이 각기 독립적으로 운영되고 있어, 기관 간 실시간 정보 협력을 통한 피해자 보호가 어렵다. 정보보호기관은 악성 앱 분석 기술을 보유하고 있으나 감염자가 누구인지 실시간으로 특정할 수 없고, 통신사는 네트워크 상의 트래픽을 기반으로 감염자를 탐지할 수 있으나 금융거래에 대해 보호할 수 없다. 금융기관은 고객의 금융거래를 기반으로 위험을 탐지할 수 있으나 악성 앱에 감염된 피해자를 특정할 수 없어 이상거래에 대한 확실한 판단과 대응이 어렵다. 즉, 감염자 식별과 피해자 보호 간 연결 구조가 부재한 기존 대응 체계는 공격 속도를 따라가기 어렵고, 실질적인 금융 피해 차단이 이루어지지 않는다.
이에 본 논문에서는 정보보호기관-통신사-금융기관이 유기적으로 협력하여 각각의 영역의 결과가 즉시 전달되는 자동화된 대응 파이프라인 모델을 제안한다. 정보보호기관이 분석한 악성 앱 분석 결과를 바탕으로 통신사에서는 감염된 사용자를 식별하고 식별된 감염자 정보를 금융기관에 전달한다. 금융기관에서는 고객이 이상거래를 시도하기 전에 어떤 고객이 악성 앱에 감염되었는지 파악이 가능하므로 집중적으로 보호해야 할 대상을 특정할 수 있다. 따라서
피해가 발생하기 전에 미리 금융자산 보호가 가능하다. 세부적으로는 DNS 싱크홀을 적용하는 방안과 비식별 처리된 CI 매칭을 통해 고객을 식별하는 방안으로 각 분야에서의 적용 기법을 구체화하여 제시하였다.
4개월(24년 12월 부터 25년 3월)간의 시범 적용 결과, 6,650개의 악성 앱 분석을 통해 도출된 78개 악성 도메인으로 싱크홀 접속자를 탐지하였다. 현행 제도 내에서 개인정보 제공에 대한 현실적인 제한으로 수사기관과의 공조를 통해 2,610건의 악성 앱에 감염된 실제 사용자를 정확히 탐지하여 조치한 결과 약 1,070억원 규모의 금융 피해를 예방하는 성과를 거두었다. 또한 싱크홀로 인한 성능 지연이 발생하지 않음을 증명하고 제안 모델이 원활히 작동될 수 있도록 제도적으로 필요한 부분까지 개정안을 마련해 정합성을 확보하였으며, 세부적인 구현 방안에 대해서도 제시하였다.
본 논문에서 제안한 모델은 피싱에 대한 대응 패러다임을 탐지 중심에서 피해자 보호 중심으로 전환하는 협력대응 파이프라인 모델이다. 제안한 모델에서는 악성 앱에 감염된 이용자가 금전 피해를 당하기 이전에 적극적인 보호가 가능하므로 획기적으로 피싱 피해를 예방할 수 있을 것으로 기대된다.

• 제1장 서 론 1
• 1.1 연구 배경 및 목적 1
• 1.2 연구 내용 및 방법 4
• 1.3 논문의 구성 7
• 제2장 이론적 배경 9
• 2.1 피싱 공격 유형 9
• 2.2 피싱 피해 현황 14
• 2.2.1 국내 피싱 피해 현황 14
• 2.2.2 국외 피싱 피해 현황 17
• 2.3 피싱 피해 대응의 중요성 20
• 제3장 관련 연구 25
• 3.1 정보보호기관의 악성 앱 분석 및 대응 기법 25
• 3.1.1 정적 분석 기법 26
• 3.1.2 동적 분석 기법 26
• 3.1.3 AI/하이브리드 분석 기법 27
• 3.1.4 파이프라인 대응 기법 28
• 3.2 통신사의 악성 도메인 대응을 위한 네트워크 분석 기법 30
• 3.2.1 DNS 로그 분석 기법 30
• 3.2.2 도메인 등록정보 분석 기법 31
• 3.2.3 하이브리드 분석 기법 31
• 3.2.4 DNS 싱크홀 기법 32
• 3.3 금융기관의 FDS(이상거래 탐지시스템) 기법 35
• 3.3.1 FDS의 빅데이터와 인공지능 활용기법 35
• 3.3.2 국내 금융기관의 FDS 운영 방법 37
• 3.4 기관별 개별 대응의 한계 39
• 제4장 제안 모델 41
• 4.1 제안 모델의 차별성 41
• 4.1.1 기존의 방법과 제안 모델 비교 분석 41
• 4.1.2 시범 적용 및 결과 분석을 위한 위협 모델 정의 43
• 4.2 협력대응 파이프라인 모델 제안 45
• 4.2.1 정보보호기관에서 악성 도메인 추출 방법 47
• 4.2.2 통신사에서 악성 앱 피해자 식별 방법 49
• 4.2.3 금융기관에서 피해자 보호 방법 54
• 4.3 시스템 아키텍쳐 55
• 4.3.1 시스템 구성 56
• 4.3.2 데이터 처리 및 보안관리 58
• 4.3.3 CI(연계정보)를 활용한 안전한 데이터 관리 59
• 4.3.4 시퀀스 다이어그램 61
• 4.4 시스템 구현 방안 63
• 4.4.1 컴포넌트 역할 65
• 4.4.2 전송 데이터 규격 66
• 4.4.3 API 표준 명세서 72
• 4.4.4 모델 확장 및 장애 대응 82
• 4.5 시범 적용 및 결과 분석 83
• 4.5.1 시범 적용의 목적 83
• 4.5.2 성능 지표 정의 85
• 4.5.3 시범 적용 환경 86
• 4.5.4 시범 적용 환경의 한계 89
• 4.5.5 시범 적용 결과 89
• 4.5.6 싱크홀로 인한 지연(latency) 분석 91
• 제5장 제도 개선 방안 97
• 5.1 비식별 처리된 CI 활용을 위한 제도 개선 방안 97
• 5.2 일방향 해시 기반 비식별 처리의 정당성 101
• 제6장 결론 및 향후 연구 방향 103
• 6.1 결론 103
• 6.2 향후 연구 방향 104
• 참고문헌 106
• ABSTRACT 113