[논문]OTP 통합인증과 안전성 분석

김인석; 강형우; 임종인

OTP 통합인증과 안전성 분석
Integrated OTP Authentication and Security Analysis 원문보기

정보·보안논문지 = Journal of information and security, v.7 no.3, 2007년, pp.101 - 107

김인석 (금융감독원) , 강형우 (금융감독원) , 임종인 (고려대학교 정보경영공학 전문대학원)

초록
AI-Helper

최근 개인용 컴퓨터 및 네트워크의 발전과 보급 확대 등으로 인하여 인터넷뱅킹과 같은 전자 금융의 사용이 급속도로 증가하고 있다. 전자금융의 활성화가 금융권의 업무 효율성과 고객의 금융거래의 편의성 측면에서 상당히 큰 기여를 하고 있지만, 전자금융거래가 갖는 비대면성의 특성으로 인하여 이에 대한 보안 문제가 점차 증대되고 있다. 따라서 최근 금융권에서는 전자금융 거래시 본인확인 강화를 위하여 OTP(One Time Password)를 도입하고, 고객이 하나의 OTP 기기를 이용하여 금융권에서 공동으로 사용하기 위한 OTP 통합인증센터를 구축하였다. 본 논문에서는 전자금융의 보안강화를 위하여 금융권에서 추진 중인 OTP 통합인증센터의 주요 업무를 살펴보고 OTP 통합인증센터의 핵심 기능인 OTP 통합인증 서비스에 대한 안전성 분석을 제시한다.

Abstract ▼ AI-Helper

In recent years, electronic financial services, such as internet banking, come into wide use since the personal computer and network technology have made reasonably good progress. The growth of electronic financial service contributes to promoting the business efficiency of financial institution and promoting the convenience of financial customer, while the security on electronic financial service is getting more important because it is not face-to-face financial service. Therefore, the financial sector had decided to introduce the OTP (One Time Password) in order to authenticate the identification of customer and has built the Integrated OTP Authentication Center for a customer being able to use only one OTP token in electronic financial transaction with several financial institution. In this paper, we introduce the business of Integrated OTP Authentication Center and present the security analysis on integrated OPT authentication service, which is the main function of Integrated OTP Authentication Center.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

지금부터는 OTP 통합인증 서비스에 대한 장점을 살펴본다. OTP 인증기술 자체에 대한 장점은 기존의 연구[9, 10]에서 알려져 있으므로, 본 논문에서는 전자금융에서 본인 확인을 위해 OTP를 통합하여 사용하는 OTP 통합인증 서비스에 대한 장점을 살펴본다. 첫째, 금융기관들에서 제공하는 전자금융서비스의 보안강도가 상향평준화 된다.
본 절에서는 OTP 통합인증의 각 인증 단계에서 OTP값 노출시 발생 가능한 취약요소를 분석하여 OTP 통합사용에 대한 안전성을 진단한다. OTP를 통합하여 사용할 경우 인증을 처리하는 과정은 (그림 7)과 같이 3단계로 구분된다.

제안 방법

“전자금융 보안 종합대책”은 개인 정보유출로 인한 전자금융사고의 피해를 최소화하고, 안전한 전자금융거래를 위한 대책을 제시하고 있으며, 특히 인터넷뱅킹과 같은 전자금융거래시 본인확인을 강화하기 위하여 OTP 기기를 도입하도록 하였다. 이와 함께, OTP 통합인증센터를 설립하여 금융권에서 공동으로 사용할 OTP 통합인증시스템을 구축하고 운영 및 관리를 전담하도록 하였다.
지금까지 OTP 통합인증 서비스에 대해서 발생할 수 있는 취약점을 위주로 안전성을 분석하였다. 지금부터는 OTP 통합인증 서비스에 대한 장점을 살펴본다.
지금까지 OTP값 처리 과정을 3단계로 구분하여 OTP값 노출에 대한 안전성을 분석하였다. 1단계에서의 OTP값 노출은 위험성이 있지만, 다른 보안수단을 통하여 사고발생 가능성을 낮추고 있다.
이 장에서는 OTP 통합인증센터에서 제공하는 OTP 통합인증서비스에 대한 안전성을 분석해 본다. 현재 대부분의 금융권에서는 시간동기화 방식 OTP 기기를 사용하므로 본 장에서는 시간동기화 방식에 초점을 맞춰서 OTP 통합인증에 대한 안전성을 분석한다.

성능/효과

인증 실패가 발생할 경우 OTP 통합인증센터에서는 오류횟수 등을 통합관리 한다. 대체 인증서버를 이용한 인증방식은 OTP 통합인증센터의 부하를 분산시키는 효과가 있으며, OTP 통합인증센터의 비상시에도 별도의 인증경로의 전환 작업 없이 정상적으로 거래될 수 있다는 점에서 상대적으로 안정성이 높다.
이는 전체 금융기관에 OTP가 보편화됨으로써 전자금융 안전성이 몇몇 대형 금융기관에 편중되지 않고 전반적으로 향상되는 효과가 있다. 둘째, 전자금융 사용자의 편의성이 증대된다. 금융기관이 개별적으로 OTP를 구축한다면, 기존의 보안카드와 마찬가지로 고객들은 거래하는 금융기관별 OTP를 별도로 소지해야만 한다.
본 논문에서는 금융권에서 제공하는 OTP 통합인증 서비스에서 발생 가능한 취약점에 초점을 두고 안전성을 분석하였으며, 분석 결과 OTP 통합인증서비스가 피싱, 해킹 등의 다양한 공격기법으로부터 안전한 서비스인 것으로 확인되었다. 또한 OTP 기술은 기존의 금융권에서 제공하는 보안성을 크게 향상시키며 OTP 통합인증센터를 통한 인증서비스는 금융기관의 예산 절감 효과와 함께 사용자 편의성, 시스템 보안성, 그리고 시스템 안정성을 증대시킬 것으로 분석됐다. 향후에는 전자금융서비스의 보안 강화를 위하여 OTP를 이용한 양방향 인증을 위한 인증프로토콜 등에 대해서 추가적으로 연구를 진행할 예정이다.
이와 같은 정보화 역기능에 대비하기 위하여, 금융권에서는 전자금융거래의 본인 확인을 강화하기 위하여 OTP 통합인증센터를 구축하여 사용자가 하나의 OTP를 이용하여 다수의 금융기관에 사용할수 있는 OTP 통합인증서비스를 제공하였다. 본 논문에서는 금융권에서 제공하는 OTP 통합인증 서비스에서 발생 가능한 취약점에 초점을 두고 안전성을 분석하였으며, 분석 결과 OTP 통합인증서비스가 피싱, 해킹 등의 다양한 공격기법으로부터 안전한 서비스인 것으로 확인되었다. 또한 OTP 기술은 기존의 금융권에서 제공하는 보안성을 크게 향상시키며 OTP 통합인증센터를 통한 인증서비스는 금융기관의 예산 절감 효과와 함께 사용자 편의성, 시스템 보안성, 그리고 시스템 안정성을 증대시킬 것으로 분석됐다.
따라서 사용자가 A기관에 제출한 OTP값을 공격자가 알아냈다 하더라도 1초 이내에 C와 같은 다른 기관에서 재사용하는 것은 불가능하다. 셋째, 3단계(OTP값 인증단계)에서의 OTP값 노출시에 대한 안전성 분석이다. 이 경우 OTP 통합인증센터에서 OTP값을 이미 수신하였으므로 공격자가 OTP값을 타 기관에 재사용하는 것은 불가능하다.
하지만, OTP 통합인증을 통해 하나의 OTP로 전 금융기관을 사용한다면, 사용자 편의성 증가로 인한 OTP 이용활성화를 기대할 수 있다. 셋째, 전문화된 통합관리로 인하여 보안이 향상된다. 보안의 통합관리는 개별관리에 비해 전문화된 인력으로 적절한 통제에 의해 관리하게 되므로 더욱 안전하며, 국가 공공의 PKI를 발급 및 관리하는 공인인증센터에서 그 사례가 있듯이 통합관리는 개별 기관의 안정성이 모두 상향되는 효과가 있다.
OTP 인증기술 자체에 대한 장점은 기존의 연구[9, 10]에서 알려져 있으므로, 본 논문에서는 전자금융에서 본인 확인을 위해 OTP를 통합하여 사용하는 OTP 통합인증 서비스에 대한 장점을 살펴본다. 첫째, 금융기관들에서 제공하는 전자금융서비스의 보안강도가 상향평준화 된다. 고객에게 발급된 OTP 기기를 공동 사용하며, OTP 인증센터를 통합적으로 운영함으로써 비용이 절감되기 때문에, 중소형 금융기관들도 OTP 도입을 적극적으로 추진하여 사용할 수 있다.
이와 같은 공격 기법은 다음의 두 가지 이유로 인해 실현이 불가능하다. 첫째, 유효한 OTP값은 기술적으로 1분마다 자동 변경되며, 공격자가 알아낸 OTP값은 1분 동안만 유효하므로 재사용이 불가능하다. 따라서 공격자가 OTP값을 알아냈다 하더라도 사용자의 OTP값이 생성된 순간부터 1분이내에 공격을 성공하는 것은 현실적으로 불가능하다.

후속연구

또한 OTP 기술은 기존의 금융권에서 제공하는 보안성을 크게 향상시키며 OTP 통합인증센터를 통한 인증서비스는 금융기관의 예산 절감 효과와 함께 사용자 편의성, 시스템 보안성, 그리고 시스템 안정성을 증대시킬 것으로 분석됐다. 향후에는 전자금융서비스의 보안 강화를 위하여 OTP를 이용한 양방향 인증을 위한 인증프로토콜 등에 대해서 추가적으로 연구를 진행할 예정이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	OTP 통합인증이란 무엇을 의미하나?	OTP 통합인증이란 사용자가 하나의 OTP 기기를 가지고서도 자신이 거래하는 모든 금융기관의 전자금융 서비스를 이용할 수 있도록 통합된 OTP 인증이 제공됨을 의미한다. 즉 금융기관 공동으로 구축하는 OTP 통합인증센터를 통해 전자금융 사용자의 OTP 인증이 모든 금융기관에 통합적으로 수행하게 된다.
	OTP 통합인증센터에서는 어떤 업무로 구성되나?	OTP 통합인증센터는 금융기관의 요청에 의한 OTP 인증업무와 금융기관과의 OTP 업무를 위한 관리업무 및 통합인증센터 고유의 운영업무 3가지로 구성되며, OTP 통합인증센터의 구성도는 (그림 1)과 같다. 인증 업무는 통합인증센터의 핵심 업무로서 금융기관이 요청한 전자금융가입자의 식별자와 OTP값을 받아서 OTP값의 유효성을 확인 하여 인증을 제공하는 것이며, 관리 업무는 인증업무를 제외한 금융기관과 통합인증센터 간에 연동이 필요한 업무로서 OTP 기기의 발급 및 재발급, 등록 및 폐기 등의 업무가 이에 해당된다.
	OTP를 통합하여 사용할 경우 인증을 처리하는 과정 3단계는?	OTP를 통합하여 사용할 경우 인증을 처리하는 과정은 (그림 7)과 같이 3단계로 구분된다. 첫째, 1단계(OTP 값 발생단계)에서의 OTP값 노출시에 대한 안전성 분석이다. 사용자가 A기관에 사용할 목적으로 발생한 OTP값을 공격자가 불법적으로 획득할 경우, 공격자가 이 OTP값을 A기관뿐 아니라 C기관에서도 사용이 가능하다는 문제이다. 이 경우 공격자는 사용자의 공인인증서와 A와 C기관의 모든 금융 비밀정보를 확보해야하며, 또한, 공격자가 OTP값을 획득하였다 하더라도 사용자가 OTP값을 입력한 순간부터 약 30초～1분 이내에 공격을 성공한다는 것은 현실적으로 불가능하다. 둘째, 2단계 (OTP값 수신 및 중계단계)에서의 OTP값 노출시에 대한 안전성 분석이다. 사용자가 A기관에서 사용한 OTP값을 공격자가 불법적으로 알아내어 다른 C기관에서 사용할 경우 발생하는 문제[8]이다. 이 경우 OTP값은 원칙적으로 재사용이 금지되도록 OTP 통합인증 프로토콜이 설계되어 있으므로 인증을 처리하는 OTP 통합인증센터에서 수신한 OTP값은 전체 금융기관에서 사용이 불가능하다. A기관에서 수신한 OTP값을 OTP 통합인증센터로 전송하여 사용자를 인증하는데 소요되는 시간은 1초 이내이다. 따라서 사용자가 A기관에 제출한 OTP값을 공격자가 알아냈다 하더라도 1초 이내에 C와 같은 다른 기관에서 재사용하는 것은 불가능하다. 셋째, 3단계(OTP값 인증단계)에서의 OTP값 노출시에 대한 안전성 분석이다. 이 경우 OTP 통합인증센터에서 OTP값을 이미 수신하였으므로 공격자가 OTP값을 타 기관에 재사용하는 것은 불가능하다.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증