$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

메모리 해킹 공격에 강건한 사용자 인증수단 고찰 원문보기

情報保護學會誌 = KIISC review, v.23 no.6, 2013년, pp.67 - 75  

이한욱 (금융결제원 정보보호기술팀) ,  신휴근 (금융결제원 정보보호기술팀)

초록
AI-Helper 아이콘AI-Helper

최근 인터넷뱅킹 해킹 기술과 악성코드 배포 기술이 빠르게 진화하고 공격형태도 더 정교해짐에 따라 사용자 PC에 설치된 보안 도구만으로는 더 이상 전자금융 서비스의 안전성을 담보하기 어려워지고 있다. 이러한 상황에서 메모리 해킹 악성코드에 의한 불법 계좌이체 사고가 빈번하게 발생하여 사회적 이슈가 되고 있으며, 개정된 전자금융 거래법에서는 고객의 PC가 해킹되었다고 하더라도 이로 인해 발생한 금융 사고에 대한 손해 배상을 금융회사가 우선 책임지게 되어 있어 대응이 필요한 시점이다. 본 논문은 기 발생한 메모리 해킹 악성코드에 의한 인터넷뱅킹 사고로부터 파생될 수 있는 공격유형을 도출하고 사용자 인증수단이 해당 공격유형에 어떤 취약점을 노출하는지 살펴봄으로써 사용자 PC에 메모리 해킹 악성코드가 감염되어 있다고 하더라도 안전하게 전자금융 서비스를 완료할 수 있는 사용자 인증수단을 고찰해 보고자 한다.

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 이 공격유형의 공격자는 가로채기를 이용한 OTP 동행 공격과 타행 공격, 단순 SMS인증 공격 및 인증유도를 통한 단순 2채널인증 공격을 수행할 수 있다. 각각의 공격에 대해 살펴보자.
  • 이러한 악성코드로부터 파생될 수 있는 새로운 공격유형을 예측하고자 우리는 공격자가 정보접근 능력, 변조능력, 실시간공격 능력 및 고객의 스마트폰 제어 능력의 네 가지 조합 가능한 능력을 지닐 수 있다고 가정하였다. 각각의 능력에 대해 살피보자.
  • 최근 거래확인 대신 거래연동이란 용어를 많이 사용하고 있지만 공인인증 기반 기술의 경우 거래내역을 입력으로 하여 서로 다른 전자서명 값을 생성하므로 원칙적으로 거래연동 수단에 속하게 되므로 분류 기준이 불명확해 질 수 있다. 본 논문에서는 사용자 인증수단의 구분을 보다 엄밀하게 하기 위해 사용자가 적극적으로 개입하여 별도의 매체를 통해 거래내역을 입력하거나 확인할 수 있는 연동 수단을 거래확인 수단이라고 하겠다.
  • 본 논문은 기 발생한 메모리 해킹 악성코드에 의한 인터넷뱅킹 사고유형 뿐 아니라 이로부터 파생될 수 있는 다양한 공격유형에 대해서도 안전하게 전자금융거래를 완결할 수 있는 사용자 인증수단에 대해 고찰하고자한다.
  • 이 장에서는 현재 인터넷뱅킹에 적용 중이거나 적용 가능한 사용자 인증수단을 거래내역의 확인 여부에 따라 분류하고, 메모리해킹뱅킹사고를 야기한 악성코드로부터 파생될 수 있는 인터넷뱅킹 공격유형을 도출한 뒤, 공격유형별로 사용자 인증수단의 취약점을 검토하여 메모리 해킹 공격에 강건한 사용자 인증수단을 도출하고자 한다.

가설 설정

  • 메모리해킹뱅킹사고를 유발한 악성코드는 PC에 적용된 각종 보안 프로그램을 무력화하여 고객이 입력한 각종 정보를 가로채고 거래가 완료되는 것을 방해한다. 이러한 악성코드로부터 파생될 수 있는 새로운 공격유형을 예측하고자 우리는 공격자가 정보접근 능력, 변조능력, 실시간공격 능력 및 고객의 스마트폰 제어 능력의 네 가지 조합 가능한 능력을 지닐 수 있다고 가정하였다. 각각의 능력에 대해 살피보자.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
메모리해킹뱅킹사고는 무엇을 이용하고 있는가? 메모리해킹뱅킹사고는 대부분의 인터넷뱅킹 이용고객이 유출되면 안전성을 완전히 상실하는 계좌비밀번호, 이체비밀번호, 보안카드, 하드디스크에 저장된 공인인증서만을 이용하고 있다는 점과 피싱 사이트 등을 통해 한꺼번에 지시번호 전부를 넘기는 비정상적인 경로를 제외하면 즉시 공격은 어려울 것이라 여겼던 보안카드 이용체계의 허점을 이용한다. 과거 이체 거래마다 임의의 보안카드 지시번호를 요청하던 방식은 공격자가 하나의 보안카드 지시번호만 알면 동일한 지시번호 요청이 발생할 때까지 반복시도를 통해 불법 이체를 완료할 수 있어, 2005년 금융감독원의 전자금융거래 보안종합대책에 의해 보안카드 비정상 오류 또는 종료 후 다음 거래 시 서비스 구분 없이 동일지시번호를 요구토록 변경하였다[1].
사용자 인증수단에는 무엇이 있는가? 거래내역을 확인할 수 있는 사용자 인증수단에는 거래연동 SMS인증, 거래연동 OTP, 거래확인 보안토큰 및 거래연동 2채널인증 등이 있다. 거래연동 SMS인증은 문자메시지에 거래내역이 표시되는 SMS인증을 말하며, 거래연동 OTP는 OTP 기기에 부착된 숫자패드에 수신계좌번호, 거래금액 등 거래정보를 사용자가 직접 입력하여 OTP번호를 생성하는 수단을 말한다.
실시간 공격유형의 공격자는 어떤 능력을 가지고 있는가? 실시간 공격유형은 고객이 악성코드에 감염된 PC에서 이체필요정보를 입력하면 악성코드가 이를 가로채공격자에게 전송하고 피해고객의 정상적인 이체실행을 방해하는 중에 공격자가 실시간으로 불법이체를 수행하는 유형이다. 이 유형의 공격자는 고객 PC에 대한 정보접근 능력과 실시간 공격 능력을 지니고 있으며 실시간 공격이란 점을 제외하면 메모리해킹뱅킹사고의 공격과 유사하다. OTP 지시번호 또는 단순 SMS인증의 인증코드와 같이 일정한 시간 위를 가지고 유효한 값이 변동되는 사용자 인증수단에 대해 효과적인 가로채기 공격이 가능하다.
질의응답 정보가 도움이 되었나요?

참고문헌 (4)

  1. 금융감독위원회, 금융감독원, "전자금융거래 안전성 강화 종합대책", 2005. 

  2. 금융감독원, "인터넷뱅킹 이용시 신종 전자금융사기에 주의하세요!!", 2013. 

  3. Zentraler Kreditausschuss, "Financial Transaction Services 3.0 Security - Alternative Sicherheitsverfahren", 2013. 

  4. E. Kalige and D. Burkey, "A Case Study of Eurograbber: How 36 Million Euros was Stolen via Malware", 2012. 

관련 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로