$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

PC에 탑재된 OTP의 취약점 분석
Vulnerabilities Analysis of the OTP Implemented on a PC 원문보기

정보처리학회논문지. The KIPS transactions. Part C Part C, v.17C no.4, 2010년, pp.361 - 370  

홍우찬 (성균관대학교 전자전기컴퓨터공학과) ,  이광우 (성균관대학교 전자전기컴퓨터공학과) ,  김승주 (성균관대학교 정보통신공학부) ,  원동호 (성균관대학교 정보통신공학부)

초록
AI-Helper 아이콘AI-Helper

OTP(One Time Password)란 사용자가 인증시 안전한 메커니즘을 이용하여 매번 다른 패스워드를 생성하여 인증하는 방식을 말한다. OTP 인증 방식을 이용할 경우 공격자는 패스워드를 가로채어 정당한 사용자로 위장할 수 없게 된다. 이러한 OTP는 H/W 기반 또는 S/W 기반 형태로 구현될 수 있다. H/W를 기반으로 하는 단말기형과 카드형의 경우 배포 및 사용의 편의성 문제로 인해 대중화에 어려움이 존재하였다. 이를 대체하기 위한 방법으로 모바일이나 PC에 S/W 형태로 구현하는 OTP가 도입되고 있다. 하지만 S/W 제품은 구현상에 취약점이 존재할 경우 악의적인 공격의 대상이 될 수 있다는 문제점이 있다. 실제로 금융보안연구원의 보고서에서는 모바일 상에 탑재된 OTP의 경우 구현상에 취약점이 존재한다고 밝혔다. 하지만 PC상에 탑재된 OTP에 대해서는 현재까지 취약점 분석 사례가 존재하지 않는다. 이에 본 논문에서는 PC에 탑재된 OTP의 보안 검토사항을 도출하고, 실제 역공학을 통해 OTP 생성 메커니즘을 파악하여 취약점 분석을 수행하였다.

Abstract AI-Helper 아이콘AI-Helper

OTP(One Time Password) is a user authentication using secure mechanism to authenticate each other in a way to generate a password, an attacker could intercept the password to masquerade as legitimate users is a way to prevent attacks. The OTP can be implemented as H/W or S/W. Token and card type OTP...

주제어

#S/W 방식 OTP   #PC에 탑재된 OTP   #인증   #역공학  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 본 논문에서는 PC에 S/W 방식으로 구현된 OTP의 보안 검토사항을 도출하였고, 실제 역공학을 통해 PC에 탑재된 OTP 제품의 동작 과정을 파악하여 도출한 보안 검토사항 만족여부를 확인하였다. 분석한 PC에 탑재된 OTP 제품은 역공학을 통해 분석한 결과 마스터키, 시간 정보가 노출되었고, PIN • 마스터키 • 시간 정보의 위 • 변조가 가능하였다.
  • 이에 본 논문에서는 역공학을 통해 PC에 탑재된 OTP가 가지는 취약점을 분석하고, 이러한 취약점을 통해 발생 가능한 문제점을 살펴본다. 2장에서는 OTP에 대한 정의 및 구현 방식에 대해서 설명하고, 3장에서는 PC에 탑재된 OTP 보안 검토사항을 도출한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
OTP란? OTP는 One Time Password의 약자로, 사용자 인증 시 1회만 사용할 수 있는 비밀번호를 생성하는 매체를 의미한다. 또한 동시에 생성되는 1회용 패스워드 자체를 의미하기도 한다[2]. 이는 동일한 패스워드가 반복해서 사용됨으로써 발생할 수 있는 여러 가지 문제를 예방하는 효과가 있다.
OTP 비동기화 방식으로 무엇이 있는가? 동기화 방식은 OTP 생성 알고리즘의 입력값으로 어떠한 시드를 사용하느냐에 따라 다시 이벤트 동기화 방식, 시간 동기화 방식 그리고 이벤트 동기화 방식과 시간 동기화 방식을 혼용하여 사용하는 조합 방식으로 나눌 수 있다. 비동기화 방식으로는 서버가 제시한 질의 값을 이용하여 응답 값을 서버에 전송함으로써 자신을 인증하는 질의응답 방식이 있다.
OTP 생성 알고리즘의 장점은? OTP 검증 시 OTP 인증 센터는 사전에 나누어 가진 마스터키와 동기화 되는 시드값을 이용하여 OTP 값을 만들어 사용자가 전송한 OTP 값과 비교 검증하게 된다. OTP 생성 알고리즘은 암호학적으로 안전한 방법으로 OTP를 생성하기 때문에, 공격자는 이전에 사용된 OTP를 획득한다 하더라도 추후 생성될 OTP를 유추할 수 없다.
질의응답 정보가 도움이 되었나요?

참고문헌 (8)

  1. 금융보안연구원, “모바일 OTP 보안성 분석서”, FSA.TS4.MOS v1.0, 2009. 

  2. 금융보안연구원, “OTP 표준화 체계”, FSA.TS4.FOS v0.9, 2007. 

  3. N.Haller, C.Metz, P.Nesser, M.Straw, “A One-Time Password System”, RFC 2289, IETF, 1998 

  4. Eldat Eilam, “Reversing : Secrets of Reverse Engineering”, John Wiley&Sons, 2005. 

  5. 최동현, 김승주, 원동호, “일회용 패스워드(OTP: One-Time Password) 기술 분석 및 표준화 동향”, 정보보호학회지 제17권 제3호, pp.12-17, 2007. 

    원문보기 상세보기

  6. 신동휘, 최윤성, 박상준, 김승주, 원동호, “네이트온 메신저의 사용자 인증 메커니즘에 대한 취약점 분석”, 정보보호학회논문지 제17권 1호. pp.7-80, 2007. 

  7. OATH, http://www.openauthentication.org 

  8. RSA, http://www.rsa.com 

저자의 다른 논문 :

LOADING...

관련 콘텐츠

오픈액세스(OA) 유형

BRONZE

출판사/학술단체 등이 한시적으로 특별한 프로모션 또는 일정기간 경과 후 접근을 허용하여, 출판사/학술단체 등의 사이트에서 이용 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로