$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

인터넷 뱅킹 서비스 취약점 분석 및 보안대책
Internet Banking Service Vulnerability Analysis and Security Solution 원문보기

정보·보안논문지 = Journal of information and security, v.7 no.2, 2007년, pp.119 - 128  

이상진 (고려대학교) ,  황소연 (고려대학교 정보경영공학전문대학원) ,  김경곤 (SK인포섹) ,  여성구 ((주)안철수연구소)

초록
AI-Helper 아이콘AI-Helper

1999년 인터넷 뱅킹 서비스가 국내에 처음 도입된 이후 다수의 사용자들에게 인터넷 뱅킹 서비스는 없어서는 안 될 중요한 서비스로 자리 매김하게 되었다. 인터넷 사용자에게 편리함을 제공하는 것은 물론 은행 업무의 효율성을 가져다준 인터넷 뱅킹은 그 중요성이 더욱더 커져갈 것이다. 이로 인해 인터넷 뱅킹을 악용하는 사례가 발생하고 있으며, 특히 컴퓨터 해킹을 통해서 불법적 계좌 이체를 하거나 사용자 정보를 도용하는 등 그 피해의 유형 및 규모가 점점 증가하고 있는 추세이다. 본 논문은 인터넷 뱅킹 서비스를 구성하고 있는 전체적인 요소들(Components) 을 분석하고 서비스 흐름(Service Flow)에 따른 해킹 위협을 구조적으로 분석한다. 이를 통하여 현 인터넷 뱅킹 서비스의 근본적인 문제점을 지적하고 인터넷 뱅킹 서비스의 해킹 위협을 최소화하기 위한 방안을 제시하고자 한다.

Abstract AI-Helper 아이콘AI-Helper

Since the internet banking service was introduced to Korea in 1999, the service has placed itself as an indispensable service to most users. The internet banking, which provides convenience for internet users as well as efficiency for banks, is expected to increase its importance more and to play a ...

주제어

#Internet Banking   #Internet Banking Service Flow   #Hacking  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 본 논문에서는 각종 보안 솔루션이 도입되어 있는 ‘인터넷 뱅킹 시스템’의 현황과 뱅킹 서비스의 컴포넌트를 기반으로 발생할 수 있는 취약점을 서버와 클라이언트로 구분하여 공격 수준별로 분석하고 이에 대한 보안대책을 제시하였다.
  • 본 논문에서는 인터넷 뱅킹 시스템의 서비스 흐름을 정의하고 각 흐름별 해킹 위협들을 도출하여 문제점을 고찰하고 보안대책을 제시하고자 한다.
  • 키보드 보안 솔루션을 해킹하기 위한 여러 가지 방법들이 있고 이 기법은 고난위의 역공학 기법이 사용된다. 아래의 보안 대책은 인터넷 뱅킹 시스템을 사용함에 있어 가장 중요한 요소로 자리 잡고있는 키보드 보안 솔루션의 동작 방식에 따른 각 단계별 위협 요소를 정의하고 이를 해결하기 위한 방안을 정리해 보았다. (그림 7)에서 보안대책 중 Application Level에서 사용할 수 있는 해킹 방법은 Kernel Level에서 사용하는 해킹 기법에 비하여 쉽고 간단하다.
  • 위의 인터넷 뱅킹 아키텍처 부분에서 여러 가지의 공격 위협들을 분류하였으며 이러한 공격 가능성들을 나열 하였는데 이에 대한 해킹 가능성을 최소화하기 위해서는 어떠한 방법들이 선행되어야 하는지를 알아보도록 하고, 향후 어떤 과제들을 고민해야 하는지에 대하여 기술하고자 한다.
  • 인터넷 뱅킹 서비스를 사용함에 있어 ‘보안 솔루션들의 개별화’, ‘보안 솔루션의 부분 적용’, ‘보안 솔루션을 위한 솔루션’, ‘사고 발생 후 조치’라는 총 4가지의 현황 및 문제점을 제시하고자 한다.

가설 설정

  • 첫째, 보안 솔루션의 단일화를 추진해야 한다. 현재의 뱅킹 시스템은 키보드 보안 솔루션, PC 보안 솔루션, Web Session Security 보안 솔루션이 제각기 따로 동작한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
인터넷 뱅킹에 대한 공격 유형 중 Low 수준의 공격은 어떤 것이 있나? Low 수준의 공격에는 파일명과 파일 시스템 속성 변경을 이용한 File Manipulation, 프로세스명 위조와 강제 제거를 통한 Process Manipulation, HTML 소스 수정과 브라우저 모듈 Attach 기능 제거를 통한 App Manipulation, 쿠키 및 세션에 대한 획득과 재사용을 통한 Session Management의 공격 분류가 속한다.
인터넷 뱅킹에 대한 공격 유형 중 Medium 수준의 공격은 어떤 것이 있나? Medium 수준의 공격에는 클라이언트에 존재하는 복호화 함수를 이용한 Cryptography, 애플리케이션 자체 조작과 ActiveX 업데이트 기능 조작, 비정상적인 Method 조작을 이용한 Parameter Manipulation, 비암호화된 통신과 세션 복호화를 통한 Sensitive Data의 공격 분류가 속한다.
인터넷 뱅킹 시스템을 사용하는 이용자의 PC를 해킹하는 대표적인 방법은 무엇인가? 그 방법은 인터넷 뱅킹 시스템을 직접 해킹하는 것이 아니라 인터넷 뱅킹 시스템을 사용하는 이용자의 PC를 해킹하는 것이다. 대표적인 방법은 키 로거 (Key Logger)를 이용하는 것인데 이는 인터넷 뱅킹 사용자들의 키보드 입력 값들을 저장하여 로그인 정보 및 뱅킹 거래 정보들을 빼내는 것이다. 이와 같이 해킹 방식이 증가함에 따라 이를 보완하기 위하여 키보드 보안 솔루션 및 웹 세션 암호화 솔루션 등이 등장하기 시작하였다.
질의응답 정보가 도움이 되었나요?

저자의 다른 논문 :

LOADING...

관련 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로