최근 컴퓨터 통신 기술이 발달함에 따라서 대부분의 정보 서비스가 온라인으로 이루어지고 있으며, 온라인 정보들의 가치 또한 높아지고 있다. 그러나 정보 기술의 발달에 따라 이를 공격하기 위한 다양한 공격 기법들도 생기고 있으며, 이 공격들로부터 안전한 온라인 서비스를 제공하기 위해서 일반적인 ID/Password 방식의 정적인 Password를 이용하는 것이 아니라 매번 새로운 Password를 생성하는 OTP를 이용하게 되었다. 현재 OTP 토큰을 이용한 2-factor OTP 생성방식이 주로 이용되고 있다. 그러나 이 2-Factor 인증방식은 OTP 토큰의 분실 또는 도난과 같은 물리적 공격에 대한 방어책을 제시하지 못한다. 본 논문에서는 이와 같은 문제를 해결하기 위해 HMAC을 이용한 3-factor 인증방식을 제안하며, 이와 함께 제안한 인증방식에 대한 안전성을 평가한다.
최근 컴퓨터 통신 기술이 발달함에 따라서 대부분의 정보 서비스가 온라인으로 이루어지고 있으며, 온라인 정보들의 가치 또한 높아지고 있다. 그러나 정보 기술의 발달에 따라 이를 공격하기 위한 다양한 공격 기법들도 생기고 있으며, 이 공격들로부터 안전한 온라인 서비스를 제공하기 위해서 일반적인 ID/Password 방식의 정적인 Password를 이용하는 것이 아니라 매번 새로운 Password를 생성하는 OTP를 이용하게 되었다. 현재 OTP 토큰을 이용한 2-factor OTP 생성방식이 주로 이용되고 있다. 그러나 이 2-Factor 인증방식은 OTP 토큰의 분실 또는 도난과 같은 물리적 공격에 대한 방어책을 제시하지 못한다. 본 논문에서는 이와 같은 문제를 해결하기 위해 HMAC을 이용한 3-factor 인증방식을 제안하며, 이와 함께 제안한 인증방식에 대한 안전성을 평가한다.
Recently, most of information services are provided by the computer network, since the technology of computer communication is developing rapidly, and the worth of information over the network is also increasing with expensive cost. But various attacks to quietly intercept the informations is invoke...
Recently, most of information services are provided by the computer network, since the technology of computer communication is developing rapidly, and the worth of information over the network is also increasing with expensive cost. But various attacks to quietly intercept the informations is invoked with the technology of communication developed, and then most of the financial agency currently have used OTP, which is generated by a token at a number whenever a user authenticates to a server, rather than general static password for some services. A 2-factor OTP generating method using the OTP token is mostly used by the financial agency. However, the method is vulnerable to real attacks and therefore the OTP token could be robbed and disappeared. In this paper, we propose a 3-factor OTP way using HMAC to conquer the problems and analyze the security of the proposed scheme.
Recently, most of information services are provided by the computer network, since the technology of computer communication is developing rapidly, and the worth of information over the network is also increasing with expensive cost. But various attacks to quietly intercept the informations is invoked with the technology of communication developed, and then most of the financial agency currently have used OTP, which is generated by a token at a number whenever a user authenticates to a server, rather than general static password for some services. A 2-factor OTP generating method using the OTP token is mostly used by the financial agency. However, the method is vulnerable to real attacks and therefore the OTP token could be robbed and disappeared. In this paper, we propose a 3-factor OTP way using HMAC to conquer the problems and analyze the security of the proposed scheme.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
이러한 인증 방식은 일방향 해시함수의 충돌성과 OTP 토큰에 대한 물리적 공격으로 부터 안전하지 않다. 따라서 본 논문에서는 이러한 문제점을 해결하기 위해 HMAC 기반의 인증방식을 제안하였다. 제안된 인증 방식은 3-factor 인증방식으로서 OTP를 생성하기 위해 사용자의 생체 정보를 이용한다.
기존의 OTP 인증 방식은 일방향 해시함수의 충돌성과 OTP 토큰에 대한 물리적 공격에 대한 문제점들이 나타나고 있다. 본 논문에서는 이러한 문제점을 분석하고 패스워드 방식, S/Key OTP 방식과 제안한 방식을 안전성과 효율성 측면에서 비교 분석하고자 한다. 비교 분석한 결과 새로 제안한 OTP 인증 방식의 문제점을 해결하기 위해 HMAC 기반 3-factor OTP인증 방식이 우수하다는 것을 알 수 있었다.
본 장에서는 본 논문에서 사용할 용어들을 정의하고 OTP를 이용한 HMAC 기반의 3-factor 인증 구조를 만족해야 하는 기본적인 보안 요구사항들을 기술한다.
이 절에서는 기존에 사용되고 있는 OTP 인증 방식을 일방향 해시함수의 충돌성과 OTP 토큰에 대한 물리적 공격에 대해 분석한다.
가설 설정
3) 오프라인 추측 공격(off-line password guessing attack)에 안전해야 한다.
4) Denning-Sacco 공격에 안전해야 한다.
5) Perfect Forward Secrecy를 만족해야 한다.
제안 방법
➃ DB서버에게 받은 사용자정보를 이용하여 ID와 PW가 정확한지 검사하고 사용자에게 로그인 성공 여부를 알린다.
오프라인 패스워드 추측 공격은 공격자가 사용자에 의해 자주 선택되는 패스워드들에 대한 사전을 가지고 있다고 할 때 수행되는 공격이다. 공격자가 사용자들 간의 통신을 저장한 후 패스워드 사전으로부터 과거 통신에 사용된 패스워드와 일치하는 값을 비교하여 찾아낸다.
또한 OTP를 이용한 HMAC 기반의 3-factor 인증에 대한 패스워드 추측공격, 서버 비밀키 추측공격, 재전송공격 및 위장공격과 같은 여러 가지 공격에 대하여 안전성을 분석한다.
본 논문에서 제안하는 인증 방식은 등록단계, OTP 생성단계, OTP 인증 단계로 구성되며 다음과 같은 순서로 진행된다.
본 장에서는 2-factor OTP 생성 방식을 살펴보고, 기존 2-factor OTP 생성 방식에서 일방향 해시함수의 충돌성과 OTP 토큰에 대한 물리적 공격에 대해서 분석하고 이를 해결할 수 있는 OTP를 이용한 HMAC 기반의 3-factor 인증 구조를 제안한다.
본 장에서는 기존 2-factor OTP 생성 방식에서 일방향 해시함수의 충돌성과 OTP 토큰에 대한 물리적 공격을 해결할 수 있는 새로운 인증 방식의 구조를 살펴보고, 제안한 인증 방식을 보안 요구 사항인 재전송 공격, 일방향 해시함수의 충돌성 및 OTP 토큰 물리적 공격 등에 대해 분석하고, 보안 요구사항들을 만족하면서도 원타임-패스워드를 사용하여 효율성을 증대시킨 OTP를 이용한 HMAC 기반의 3-factor 인증 구조를 제안한다.
본 장에서는 제안한 프로토콜을 일반패스워드 사용, S/Key방식과 제안한 OTP를 이용한 방식들을 비교 분석하여 안전성 및 효율성을 검증한다.
이 절에서는 제안된 인증 방식에 대하여 보안 요구사항인 재전송 공격, 일방향 해시함수의 충돌성, OTP토큰 물리적 공격 등을 분석한다.
제안한 인증방식은 사용자의 지문 또는 생체정보를 이용하여 OTP를 생성한다. 만약 악의적인 사용자가 다른 사용자의 OTP 토큰을 얻는다고 해도, 지문이나 생체정보를 완벽하게 흉내 낼 수 없기 때문에 OTP 토큰의 주인과 같은 OTP를 생성할 수 없다.
제안한 프로토콜을 성능적 측면과 기능적 측면에서 분석하고자 한다. 먼저 제안한 프로토콜은 지수 연산이나 암호화 연산과 같은 현대 컴퓨팅 기술에 영향을 줄 정도로 비용부담이 큰 연산이 없으므로 성능적 측면에 대한 분석은 의미가 없다.
이론/모형
OTP 생성은 클라이언트 즉 OTP 생성기에서 수행하게 되는 과정을 뜻한다. 3-factor 인증과정에서는 지문과 시간, 카운트 값을 사용하고 HMAC 알고리즘을 사용한다. 또한 이때 지문을 해시한 값을 HMAC의 키처럼 사용할 것이다.
따라서 본 논문에서는 이러한 문제점을 해결하기 위해 HMAC 기반의 인증방식을 제안하였다. 제안된 인증 방식은 3-factor 인증방식으로서 OTP를 생성하기 위해 사용자의 생체 정보를 이용한다. 따라서 기존 인증 방식이 가지고 있던 다양한 문제점을 해결할 수 있으며, 전자상거래, 인터넷 뱅킹, 게임, 음악 등과 같은 다양한 응용 분야에서 활용할 수 있을 것으로 본다.
성능/효과
1) 수동적 공격(passive adversary)은 도청공격에 안전해야한다. 도청공격(eavesdropping)은 온라인상의 통신 내용을 도청하여 세션키의 정보를 알아내거나 통신에서 사용되는 유용한 정보를 알아내는 공격이다.
2) 능동적 공격(active adversary)은 재전송 공격과 중간 침입자 공격에 안전해야 한다.
먼저 제안한 프로토콜은 지수 연산이나 암호화 연산과 같은 현대 컴퓨팅 기술에 영향을 줄 정도로 비용부담이 큰 연산이 없으므로 성능적 측면에 대한 분석은 의미가 없다. 기능적 측면에서 볼 때 제안한 프로토콜은 사용자의 생체 정보와 HMAC을 사용하여 OTP를 생성하기 때문에 표 2와 같이 제안한 프로토콜에 대한 기능성을 일방향 해시함수의 충돌성과 OTP토큰에 대한 물리적 공격에 대해 일반 패스워드방식, S/KEY 시스템보다 더 효율적임을 보여주고 있다.
따라서 제안된 인증 방식은 기존 인증 방식과 같이 동기화된 시간 클럭 T와 동기화된 계수기 C를 사용하기 때문에 생성된 OTP는 ΔT 내에서 동기화된 계수기 C가 같을 때만 사용 가능하다.
제안한 프로토콜 상에서 전송되는 메시지들이 추측 불가능한 HMAC에 의해서 생성된 OTP값이기 때문에 단순한 도청만으로는 유용한 정보를 얻을 수가 없다. 따라서 제안한 인증 구조는 도청공격에 안전하다.
그러나 이들 정보로부터 서버의 비밀키를 유추하는 것은 해시함수의 일방향성 때문에 불가능하다. 따라서 제안한 인증 구조는 서버의 비밀키 공격에 안전하다.
제안된 인증 방식은 기존 인증 방식과 같이 동기화된 시간 클럭 T와 동기화된 계수기 C를 사용하기 때문에 생성된 OTP는 ΔT 내에서 동기화된 계수기 C가 같을 때만 사용 가능하다. 따라서 제안한 인증방식은 재전송공격으로부터 안전하다.
제안된 인증 방식은 기존 인증 방식과 같이 동기화된 시간 클럭 T와 동기화된 계수기 C를 사용하기 때문에 생성된 OTP는 ΔT 내에서 동기화된 계수기 C가 같을 때만 사용 가능하다. 따라서 제안한 인증방식은 재전송공격으로부터 안전하다.
본 논문에서는 이러한 문제점을 분석하고 패스워드 방식, S/Key OTP 방식과 제안한 방식을 안전성과 효율성 측면에서 비교 분석하고자 한다. 비교 분석한 결과 새로 제안한 OTP 인증 방식의 문제점을 해결하기 위해 HMAC 기반 3-factor OTP인증 방식이 우수하다는 것을 알 수 있었다. 제안된 프로토콜은 OTP를 생성하기 위해 생체정보를 이용하여 OTP 토큰에 대한 물리적 공격을 해결하며, HMAC을 기반으로 하여 일방향 해시함수의 충돌성에 대한 문제점에 대해 더 효율적임을 알 수 있다.
제안된 인증 방식은 기존 인증 방식과 같이 동기화된 시간 클럭 T와 동기화된 계수기 C를 사용하기 때문에 생성된 OTP는 ΔT 내에서 동기화된 계수기 C가 같을 때만 사용 가능하다.
비교 분석한 결과 새로 제안한 OTP 인증 방식의 문제점을 해결하기 위해 HMAC 기반 3-factor OTP인증 방식이 우수하다는 것을 알 수 있었다. 제안된 프로토콜은 OTP를 생성하기 위해 생체정보를 이용하여 OTP 토큰에 대한 물리적 공격을 해결하며, HMAC을 기반으로 하여 일방향 해시함수의 충돌성에 대한 문제점에 대해 더 효율적임을 알 수 있다.
제안한 프로토콜에 대한 효율성 분석은 표 3에서 나타난 것과 같이 일반 패스워드 방식과 동일한 1회의 초기화 과정이 필요하며, 사용 횟수에 제한 없이 사용할 수 있다는 장점이 있다. 또한 해시연산 횟수도 4회로 고정됨으로써 오버헤드에 대한 부담도 없음을 알 수 있다.
후속연구
제안된 인증 방식은 3-factor 인증방식으로서 OTP를 생성하기 위해 사용자의 생체 정보를 이용한다. 따라서 기존 인증 방식이 가지고 있던 다양한 문제점을 해결할 수 있으며, 전자상거래, 인터넷 뱅킹, 게임, 음악 등과 같은 다양한 응용 분야에서 활용할 수 있을 것으로 본다.
질의응답
핵심어
질문
논문에서 추출한 답변
안전한 인터넷 사용을 위한 필수적인 요소는?
개인정보 유출로 인한 전자금융 사고를 줄일 수 있는 방법 중 하나는 강력한 사용자 인증을 수행하는 것이다[2]. 사용자 인증은 안전한 인터넷 사용을 위한 필수적인 요소이며, 대표적인 방식으로 ID/Password 인증 방식이 있다. 그러나 ID/Password 인증 방식은 정적 패스워드를 사용하기 때문에 도청에 의해 노출되면 악의적인 공격자가 이를 이용하여 정당한 사용자로 위장할 수도 있다[3].
인터넷이 네트워크 상 갖고 있는 단점은?
기존에 오프라인 상에서 이루어지던 은행거래, 상거래가 인터넷 뱅킹과 전자상거래와 같이 온라인상에서 이루어지면서 많은 문제점에 노출되고 있다. 인터넷은 개방형 네트워크이기 때문에 인터넷 뱅킹이나 전자 상거래는 편리성 못지않게 공격자에 의한 시스템 침입, 불법 해킹 및 인터넷 피싱 등의 피해에 대해 노출되어 있다. 인터넷 뱅킹 사고, 대형은행 고객정보 유출 및 공인인증서 유출로 인한 은행 불법 인출 사건 등과 같은 불법 피해 사례가 늘고 있다.
산업자원부, 정보통신부, 금융감독위원회 및 금융감독원은 공동으로 “전자금융거래 안전성 강화 종합대책”을 수립한 이유는?
인터넷은 개방형 네트워크이기 때문에 인터넷 뱅킹이나 전자 상거래는 편리성 못지않게 공격자에 의한 시스템 침입, 불법 해킹 및 인터넷 피싱 등의 피해에 대해 노출되어 있다. 인터넷 뱅킹 사고, 대형은행 고객정보 유출 및 공인인증서 유출로 인한 은행 불법 인출 사건 등과 같은 불법 피해 사례가 늘고 있다. 이러한 사고로 인해 막대한 금전적 손해뿐만 아니라 이로 인해 겪는 정신적 피해도 증가하여 산업자원부, 정보통신부, 금융감독위원회 및 금융감독원은 공동으로 “전자금융거래 안전성 강화 종합대책”을 수립하였다[1].
참고문헌 (10)
금융감독원, "전자상거래 안전성 강화 종합대책," 9월, 2005.
백미연, "전자상거래의 보안 강화 방법 및 OTP 이용 현황," 지급결제와 정보기술, pp. 71-100, 2006.
박중길, 장태주, 박봉주, 류재철, "시간을 이용한 효율적인 일회용 패스워드 알고리즘," 한국정보처리학회 논문지 C, 8(4), 2001.
N. Haller, "A One Time Password Standard," IETF RFC 1938, 1996.
금융보안연구원, "금융보안 주간 정보," 2006.
M. Bellare, D. Jablon, H. Krawczyk, P. Mackenzie, P. Rogaway, R. Swaminathan and T. Wu, "Proposal for P1363 study group on password-based authenticated key exchange methods," 2000.
박왕석, 정종필, 박창섭, 이동훈, "패스워드를 이용한 인증 프로토콜에 대한 고찰", 통신정보보호학회 학술지 제9권 제4호, 1999.
서승현, 강우진, "OTP 기술현황 및 국내 금융권 OTP 도입사례," 한국정보보호학회, 6월, 2007.
류연호, "OTP 개념을 이용한 사용자-인증 서버의 상호 인증 모델," NuriMedia, 2005.
X. Wang, Y. L Yin, and H. Yu, "Finding collisions in the full SHA-1," Advances in Cryptology Crypto'05, Lecture Notes in Computer Science 3621, Springer-Verlag, pp. 17-36, 2005.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.