[논문]피싱 방지 및 가용성 개선을 위한 PKI기반의 모바일 OTP(One Time Password) 메커니즘에 관한 연구

김태형; 이준호; 이동훈

doi:10.13089/jkiisc.2011.21.1.15

피싱 방지 및 가용성 개선을 위한 PKI기반의 모바일 OTP(One Time Password) 메커니즘에 관한 연구
Study on Mobile OTP(One Time Password) Mechanism based PKI for Preventing Phishing Attacks and Improving Availability 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.21 no.1, 2011년, pp.15 - 26

김태형 (고려대학교 정보보호대학원) , 이준호 (고려대학교 정보보호대학원) , 이동훈 (고려대학교 정보보호대학원)

초록
AI-Helper

IT기술 및 정보통신망의 발달은 온라인 금융거래를 활성화 시켰고 사용자들은 다양한 금융서비스를 받을 수 있게 되었다. 하지만 이러한 긍정적인 효과와는 다르게 2009년 7월 7일에 발생한 DDoS(Distribute Denial of Service)공격과 같이 사용자들에게 피해를 주는 부정적인 효과도 초래하였다. 온라인 금융거래에서도 피싱(Phishing) 사이트와 같이 인증절차를 우회할 수 있는 예측 불가능한 공격이 발생하게 되었으므로 OTP(One Time Password)인증과 같이 온라인 금융거래에 이용되는 인증기술에 대해서도 다각도로 안전성을 검토해야한다. 따라서 OTP 인증의 안전성을 높이기 위해 본 논문에서는 PKI기반의 모바일 OTP 메커니즘을 제안한다. 제안하는 메커니즘은 PKI기반에서 운용되므로 사용자와 인증서버의 디지털서명과 공개키 암호화를 통하여 OTP 생성을 위한 비밀 값은 안전하게 전송되고 생성된 OTP는 사용자가 웹사이트에 입력하는 것이 아니라 모바일 단말기에서 인증서버로 직접 전송(Direct Transmission)되기 때문에 2006년에 발생한 시티은행 피싱 사이트에서 드러난 OTP 인증방식의 문제점이 해결되고 사용자의 가용성(편의성)을 높이게 된다.

Abstract ▼ AI-Helper

The development of IT technology and information communication networks activated to online financial transactions; the users were able to get a variety of financial services. However, unlike the positive effect that occurred on 7 July 2009 DDoS(Distribute Denial of Service) attacks, such as damaging to the user, which was caused negative effects. Authentication technology(OTP) is used to online financial transaction, which should be reviewed to safety with various points because the unpredictable attacks can bypass the authentication procedure such as phishing sites, which is occurred. Thus, this paper proposes mobile OTP(One Time Password) Mechanism, which is based on PKI to improve the safety of OTP authentication. The proposed Mechanism is operated based on PKI; the secret is transmitted safely through signatures and public key encryption of the user and the authentication server. The users do not input in the web site, but the generated OTP is directly transmitted to the authentication server. Therefore, it is improvement of the availability of the user and the resolved problem is exposed from the citibank phishing site(USA) in 2006.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 장에서는 모바일 단말기를 이용한 OTP 메커니즘에서 발생될 수 있는 보안위협에 대해서 알아보고 그에 따라 요구되는 사항에 대해서 알아본다.
〔17〕하지만 RFC 1760, RFC 1938, RFC 2289U〕와 같은 표준 및 과거의 연구들에서는〔2〕〔3〕 시간동기화 방식보다는 시도 응답(Challenge- Res- ponse)방식을 기반으로 한 메커니즘을 사용하였다. 본 장에서는 현재 사용되고 있는 동기화 기술과 모바일 단말기를 이용한 OTP인증에 관련된 연구를 소개한다.

제안 방법

〔4〕〔5〕〔6〕〔7〕〔8〕〔9〕〔10〕국내에서도 OTP 기술의 발전 방향으로 USIM기반 모바일 OTP 기술, 부인방지 지원 OTP 및 거래연동 OTP기술에 관하여 기술적 검토가 이루어지고 있다.〔17〕본 논문에서 제안하는 모델은 모바일 단말기를 이용하여 PKI(Public Key Infrastructure)기반의 OTP생성 방식을 제안하였고 현재 OTP 동기화 방식 중 주로 사용되고 있는 시간동기(Time-Synchronous)방식이 아닌 시도 응답(Challenge- Response)방식을 사용하였다. 생성한 OTP를 사용자 PC(웹사이트에 입력하는 것이 아니라 모바일 단말기에서 직접 인증서버로 전송하는 방식을 사용하였기 때문에 숫자나 문자를 입력해야 하는 장치가 모바일 단말기 하나로 통일되어 편리함을 제공하며 예방하기 어려운 웹사이트 피싱 공격에도 안전성을 제공한다.
전송한다. 그리고 OTP생성을 위한 비밀번호와 인증서버자신이 생성한 난수를 XOR하여 OTP생성 알고리즘의 입력 값으로 사용한다.
다음에서는 OTP 보안 요구사항의 분석을 통하여 제안모델이 안전성을 살펴보고 보안위협과 요구사항과의 관계 분석을 한다〔표 1〕.
모바일 단말기에 사용되는 WIM(Wireless Identity Module)을 적용한 SIM 카드를 이용하여 OTP를 생성하고 사용자는 OTP를 이용하여 인증호} 는 방법을 제안하였다.〔5〕하지만 제안한 방법에서는 OTP를 인증한 이후에 서버가 정당한지 검증하기 때문에 악의적인 서버일 경우 매우 위험해진다.
생성하는 방식이다. 사용자가 OTP를 생성할 경우, 카운트 값을 OTP알고리즘의 입력 값으로 사용하여 OTP를 생성하고, OTP를 생성한 후에는 카운터 값을 증가시켜서 저장해두었다가 다음번에 사용한다. 이 방식의 경우 OTP단말기에서 OTP만 여러 번 생성하고 해당 OTP를 서버에 입력하지 않으면, OTP단말기와 서버 간의 카운트 값이 달라져 OTP 단말기를 다시 초기화해야하는 단점을 가지고 있다.
시도 응답 방식이 가지고 있는 사용자의 입력 횟수가 많은 단점을 개선하기 위해 개발된 방식으로 임의의 난수 대신에 시간 값을 OTP생성을 위한 입력 값으로 사용한다. 서버와 OTP단말기 간에 동기화된 시간을 기준으로 특정 시간 간격(보통 30초)마다 변하는 OTP를 생성하게 된다.
제안모델의 메커니즘이 3장에서 기술한 OTP 보안 요구사항과 OTP생성 단말기의 요구사항에 만족되는지 분석한다.
공격, 서비스 거부 공격. 피싱 공격에 대하여 제안모델의 안정성을 분석한다.

이론/모형

있다.〔17〕하지만 RFC 1760, RFC 1938, RFC 2289U〕와 같은 표준 및 과거의 연구들에서는〔2〕〔3〕 시간동기화 방식보다는 시도 응답(Challenge- Res- ponse)방식을 기반으로 한 메커니즘을 사용하였다. 본 장에서는 현재 사용되고 있는 동기화 기술과 모바일 단말기를 이용한 OTP인증에 관련된 연구를 소개한다.
피싱(Phishing) 파밍(Pharming) 등 공격 방법이 다양해짐에 따라 안전하지 못하다는 결론에 도달하였다. 그러므로 현재에는 금융거래에서 가장 많이 사용하는 방식인 공인인증서 + 보안카드 방식 (2-Factor)이 사용된다. 하지만 보안카드 역시 키보드 입력을 알 수 있는 키로그(Key Log) 공격에 취약점이 드러나 금융감독원에서는 2008년 4월 1일부터 인터넷 뱅킹 이용시 개인이체한도 1억원 이상에서는 보안 카드 대신에 1등급 보안 수단인 OTP단말기를 의무적으로 사용하도록 규정하였다.

성능/효과

1) 인증서버와 단말기의 비밀을 통한 인증보다는 PKI의 인증기관(Certificate Authority)을 통하여 서버인증이 되므로 안전성이 보장된다.
2) OTP를 웹사이트에 전송하기까지 모바일 단말기에 사용자만이 알고 있는 비밀 값(P/W, PIN등)을 입력하는 횟수는 2번이지만 모바일단말기에서 OTP를 생성하고 인증서버에 직접전송(Qired 姑sion)하므로 PC(웹사이트) 에 OTP를 입력하지 않아도 된다. (피싱 방지 및 가용성 개선)
3) OTP에 사용자의 서명을 한 후에 전송하므로 온라인 금융거래를 하려는 실제 소유자가 OTP를 생성했다는 것을 입증 할 수 있다. (부인방지)
방법을 제안하였다.〔5〕하지만 제안한 방법에서는 OTP를 인증한 이후에 서버가 정당한지 검증하기 때문에 악의적인 서버일 경우 매우 위험해진다. 그러므로 서버인증이 완료된 후 OTP를 인증해야 보다 안전한 인증이 된다.
이러한 기반을 활용하여 보다 강력한 인증 기술을 구축해야만 앞으로의 공격에 대비가 가능하다. 따라서 본 논문에서는 PKI 기반에서 모바일 단말기와 서버의 동기화를 위해 시도 응답(Challenge- Response)방식을 사용하여 OTP를 생성하는 메커니즘을 제안하였고 제안하는 메커니즘은 PKI기반에서 운용되므로 사용자와 서버의 서명과 공개키 암호화를 통하여 OTP 생성을 위한 비밀 값은 안전하게 전송된다. 생성된 OTP는 사용자가 웹사이트에 입력하는 것이 아니라 모바일 단말기에서 인증서버로 직접 전송(Direct :日-ansmission) 되기 때문에 2006년에 발생한 시티은행 피싱 사이트에서 드러난 OTP 인증방식의 문제점이 해결되고 사용자의 가용성 (편의성)을 높인다.
본 절에서는 모바일에서 생성한 OTP를 사용자가 PC (웹사이트)에 입력하지 않고 모바일을 이용하여 서버에 직접 전송CDirect Thmsmission)토록 하는 메커니즘을 제안한다’ 제안하는 메커니즘으로 인하여 첫 째, 사용자는 모바일 단말기에서 OTP를 생성하고 인증서버에게 전송하기 때문에 OTP생성 후 OTP를 다시 PC(웹사이트)에 입력해야 하는 수고가 줄어들어 가용성(편의성 )이 높아지고 둘째 , 모바일 단말기를 통하여 실질적으로 인증되기 때문에 PC(웹사이트)에서의 키로그 공격뿐만 아니라 피싱 공격에서도 안전성을 보장받을 수 있게 된다.
SMS 메시지 기반 인증. 비접촉식 기반인증 모두 안전하게 OTP를 생성하는 방법이고 제안모델 역시 안전하게 OTP를 생성한다. 하지만 OTP를 이용하여 인증하는 방법에 있어서 제안모델을 제외한 인증 메커니즘은 웹사이트에 사용자가 OTP를 직접 입력해야 하는 방식이기 때문에 사회공학적인 방법을 이용한 피싱 사이트를 통하여 실질적으로 가장 중요한 OTP가 노출될 수 있다.
그래서 ID/Password를 암호화하는 방식을 적용하였지만 스니핑 (Sniffing), 스푸핑 (Spoofing). 피싱(Phishing) 파밍(Pharming) 등 공격 방법이 다양해짐에 따라 안전하지 못하다는 결론에 도달하였다. 그러므로 현재에는 금융거래에서 가장 많이 사용하는 방식인 공인인증서 + 보안카드 방식 (2-Factor)이 사용된다.

후속연구

생성된 OTP는 사용자가 웹사이트에 입력하는 것이 아니라 모바일 단말기에서 인증서버로 직접 전송(Direct :日-ansmission) 되기 때문에 2006년에 발생한 시티은행 피싱 사이트에서 드러난 OTP 인증방식의 문제점이 해결되고 사용자의 가용성 (편의성)을 높인다. 본 논문에서 제안한 것과 같이 앞으로도 안전성이 높은 OTP의 장점을 이용하여 강력한 인증 메커니즘에 대한 연구가 활발해야 할 것이고 스마트폰의 대중화로 인하여 연산 및 구현에 대한 부담이 줄어드는 만큼 안전성이 높은 PKI 기반과의 연동을 하여 사용자에게 보다 안전하고 편리한 온라인 금융거래 서비스를 제공해야 할 것이다.

참고문헌 (18)

Haller, N.M, C. Metz, P. Nesser, M. Straw, "A One-Time Password System", RFC 2289. Fab. 1998.
Mitchell, C.J, Chen, L., "Comments on the S/KEY User Authentication Scheme", ACM Operating Systems Review. Vol. 30. No. 4. pp. 12- 16, Oct. 1996.
Yeh, T.C., Shen, H.Y., Hwang, J.J, "A Secure One-time Password Authentication Scheme Using Smart Cards", IEICE Trans. Commun. Vol. E85-B. No. 11. Nov. 2002.
Abdulaziz S., Almazyad and Yasir Ahmad, "A New Approach in T-FA Authentication with OTP Using Mobile Phone", SecTech 2009, CCIS, Vol 58, pp.9-17, Dec. 2009
Helena Rif`a-Pous, "A Secure Mobile-Based Authentication System for e-Banking", OTM 2009, Part II, LNCS 5871, pp. 848-860, Nov. 2009.
Jacek Lach, "Using Mobile Devices for User Authentication", CN 2010, CCIS 79, pp. 263-268, June. 2010.
Fadi Aloul1, Syed Zahidi1, Wasim El-Hajj, "Multi Factor Authentication Using Mobile Phones", International Journal of Mathematics and Computer Science, Vol4, no. 2, pp. 65-80, 2009(Special Issue-Analytic Number Theory)
Steffen Hallsteinsen, Ivar Jorstad, Do Van Thanh, "Using the mobile phone as a security token for unified authentication," Second International Conference on Systems and Networks Communications (ICSNC 2007), icsnc, pp.68, August. 2007
Fadi Aloul, Syed Zahidi, Wassim El-Hajj, "Two Factor Authentication Using Mobile Phones", Computer Systems and Applications, AICCSA 2009. IEEE/ACS International Conference. May. 2009.
Jongpil Jeong, Min Young Chung, and Hyunseung Choo, "Integrated OTP-Based User Authentication and Access Control Scheme in Home Networks" APNOMS 2007, LNCS 4773, pp. 123-133, 2007.
Hyeran Mun, Kyusuk Han and Kwangjo Kim, "3G-WLAN Interworking: Security Analysis and New Authentication and Key Agreement based on EAP-AKA", Proceedings of Wireless Telecommunication Symposium, Prague, pp 1-8, Apr. 2009.
Christoforos Ntantogian, Christos Xenakis, "One-Pass EAP-AKA Authentication in 3G-WLAN Integrated Networks", Wireless Pers Commun Vol48, pp 569-584, March. 2009

상세보기
강수영, 이임영, "OTP를 활용한 UICC (Universal IC Card) 기반의 인증 메커니즘에 관한 연구", 한국정보보호학회논문지. Vol.18, No 2, pp.21-31, 2008년 4월
최재덕, 정수환, "이질적인 무선 네트워크 환경에서 인증 연동을 위한 비UICC 방식의 EAP-AKA 인증", 대한전자공학회논문지, Vol46, No.5, pp. 168-177, 2009년 5월.
"무선단말기에서의 공인인증서 저장 및 이용 기술규격", v1.12, 한국인터넷진흥원(KISA), 2010년 3월.
"무선단말기와 PC간 공인인증서 전송을 위한 기술규격", v2.00, 한국인터넷진흥원(KISA), 2010년 3월.
강우진, "OTP 기술동향 및 센터소개", OTP 보안과 최신 인증기술 세미나, 금융보안연구원(FSA). 2010년 6월.
Brian Krebs. "Citibank Phish Spoofs 2-Factor Authentication", The washington post, Security Fix, Jul. 2006 (http://blog.washingtonpost.com/securityfix/2006/07/citibank_phish_sp

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증