최근 NFC 기술을 탑재한 스마트 기기를 이용하여 모바일 지급결제, 출입통제, 스마트 포스터와 같이 정보 제공 또는 광고에 관련된 응용 서비스가 제공되고 있다. 이에 따라 NFC 기술과 더불어 스마트 기기 시장은 더욱더 성장할 것으로 전망된다. 특히, 모바일 지급결제 서비스가 국내 외에서 더 활성화될 것으로 예상되고 있으며, 2012년 3월에는 모바일 지급결제를 위한 표준인 KS X 6928이 제정되었다. 모바일 지급결제 시스템은 사용자에게 편의성을 제공하지만 거래 정보를 전송하는 과정에서 데이터가 노출되는 등 다양한 보안 위협이 발생할 수 있기 때문에 인가되지 않은 제 3자에게 전송되는 데이터가 노출되지 않도록 암호화를 수행하는 것이 반드시 요구된다. 따라서 본 논문에서는 KS X 6928의 대면 거래와 비대면 거래에서 데이터를 암호화하는데 사용하는 세션키 생성 방식의 문제점을 분석하고 안전성을 향상시킬 수 있는 안전한 모바일 지급결제 시스템을 제안한다.
최근 NFC 기술을 탑재한 스마트 기기를 이용하여 모바일 지급결제, 출입통제, 스마트 포스터와 같이 정보 제공 또는 광고에 관련된 응용 서비스가 제공되고 있다. 이에 따라 NFC 기술과 더불어 스마트 기기 시장은 더욱더 성장할 것으로 전망된다. 특히, 모바일 지급결제 서비스가 국내 외에서 더 활성화될 것으로 예상되고 있으며, 2012년 3월에는 모바일 지급결제를 위한 표준인 KS X 6928이 제정되었다. 모바일 지급결제 시스템은 사용자에게 편의성을 제공하지만 거래 정보를 전송하는 과정에서 데이터가 노출되는 등 다양한 보안 위협이 발생할 수 있기 때문에 인가되지 않은 제 3자에게 전송되는 데이터가 노출되지 않도록 암호화를 수행하는 것이 반드시 요구된다. 따라서 본 논문에서는 KS X 6928의 대면 거래와 비대면 거래에서 데이터를 암호화하는데 사용하는 세션키 생성 방식의 문제점을 분석하고 안전성을 향상시킬 수 있는 안전한 모바일 지급결제 시스템을 제안한다.
Diverse application service such as mobile payment, access control or smart poster have been provided by using smart devices with built-in Near Field Communication technology. Especially, a mobile payment system can provide convenience to its users, but it also can poses including data disclosure wh...
Diverse application service such as mobile payment, access control or smart poster have been provided by using smart devices with built-in Near Field Communication technology. Especially, a mobile payment system can provide convenience to its users, but it also can poses including data disclosure while transmitting. There are vulnerabilities while generating session keys used to encrypt data in transaction processes as proposed in KS X 6928, the standard for mobile payment system. Therefore, in this thesis, I analyzed weaknesses of session keys used to encrypt transaction data and proposed a more secure mobile payment system based on NFC to enhance security. The proposed system will provide security functionalities such as key freshness, mutual authentication and key confirmation.
Diverse application service such as mobile payment, access control or smart poster have been provided by using smart devices with built-in Near Field Communication technology. Especially, a mobile payment system can provide convenience to its users, but it also can poses including data disclosure while transmitting. There are vulnerabilities while generating session keys used to encrypt data in transaction processes as proposed in KS X 6928, the standard for mobile payment system. Therefore, in this thesis, I analyzed weaknesses of session keys used to encrypt transaction data and proposed a more secure mobile payment system based on NFC to enhance security. The proposed system will provide security functionalities such as key freshness, mutual authentication and key confirmation.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
거래 데이터를 전송하는 과정에서 암호화하는데 사용하는 세션키에 취약점이 존재하며, 안전성이 보장되지 않는다. 따라서 본 논문에서는 세션키의 안전성을 향상시키기 위한 키 생성 방식을 제안하였다.
본 논문에서는 KS X 6928에서의 대면 거래 및 비대면 거래에 각각 사용되는 세션키에 대한 문제점을 분석하고 안전성을 향상시킬 수 있는 안전한 모바일 지급결제 시스템을 제안한다. 제안하는 방식의 대면 거래의 경우 MK가 노출되어도 세션키를 생성할 수 없도록 모바일 단말기와 카드사 서버 사이에 사전에 공유한 비밀키인 PSK(Pre-Shared Key)를 이용한다.
제안 방법
본 논문에서 제안하는 대면 거래의 경우, 카드사의 고유값인 MK가 외부로 노출되더라도 공격자는 거래 데이터를 암호화하는데 사용하는 세션키를 생성할 수 없도록 모바일 단말기와 카드사 서버 간에 공유 비밀키인 PSK를 이용한다. 따라서 전방향 안전성, 키 신규성, 상호 인증 및 키 확인을 제공한다.
본 장에서는 기존의 모바일 지급 결제 시스템이 갖고있는 문제점을 제시한 후, 이에 대한 해결책인 보다 안전한 방식의 결제 프로토콜을 제안한다. 기존의 모바일 지급 결제 시스템의 문제점은 다음과 같이 요약할 수 있다.
본 장에서는 제안하는 모바일 지급결제 시스템의 대면 거래 및 비대면 거래에서 생성한 세션키 SK의 안전성을 분석한다.
본 논문에서는 KS X 6928에서의 대면 거래 및 비대면 거래에 각각 사용되는 세션키에 대한 문제점을 분석하고 안전성을 향상시킬 수 있는 안전한 모바일 지급결제 시스템을 제안한다. 제안하는 방식의 대면 거래의 경우 MK가 노출되어도 세션키를 생성할 수 없도록 모바일 단말기와 카드사 서버 사이에 사전에 공유한 비밀키인 PSK(Pre-Shared Key)를 이용한다. 또한, 비대면 거래의 경우 모바일 단말기에서 생성한 비밀 랜덤수와 PSK를 이용하여 키의 안전성을 향상시켰다.
· 세션키 안전성: 제안하는 방식은 모바일 단말기에서 선택한 비밀 랜덤 수 Nonce와 사전에 공유한 비밀키 PSK, 거래 시간 정보 TS를 이용해서 세션키를 생성하고 공개키로 암호화해서 안전하게 전송하기 때문에 기존의 방식에 비해 안전성을 강화하였다.
3) 결제 단말기는 모바일 단말기로부터 전송된 데이터를 세션키를 생성하여 암호화 한 후, 승인 서버로 전송하여 승인 요청을 한다.
3) 결제 단말기는 전송된 데이터로 카드사를 식별하고 해당 카드사로 사용자의 PSK를 요청한다.
5) 카드사는 전송된 데이터를 확인한 후, 모바일 카드 결제 프로그램으로 승인 결과를 전송한다.
6) 사용자가 승인 결과를 확인하면 카드사는 가맹점으로 승인 결과를 전송하여 결제를 종료한다.
9) 사용자가 결과를 확인하고 승인하면 카드사는 가맹점으로 승인 결과를 전송하여 결제를 종료한다. 제안하는 비대면 거래에서 데이터를 암호화하는데 사용하는 세션키 SK의 생성 과정은 Fig.
· 대면 거래의 문제점: 파생키 DK와 세션키 SK를 생성하는데 각각 사용되는 Chip ID와 거래 계수기는 모두 평문 형태로 결제 단말기에 전송된다. 결과적으로 모든 키의 안전성은 MK에 의존한다고 할 수 있다. 따라서 카드사의 비밀키인 MK가 노출될 경우, 누구나 파생키 DK와 세션키 SK를 생성할 수 있기 때문에 데이터를 암호화하는데 사용하는 세션키의 안전성을 보장할 수 없다.
후속연구
따라서 키 신규성, 상호 인증 및 키 확인, 효율성 등을 제공한다. 제안하는 모바일 지급결제 시스템을 적용함으로써 보다 안전한 결제 시스템을 제공할 수 있을 것으로 기대한다.
질의응답
핵심어
질문
논문에서 추출한 답변
모바일 지급결제 중 대면 거래와 비대면 거래의 문제점은 무엇인가?
그러나 KS X 6928에서 정의한 대면 거래에서는 세션키(Session Key)를 생성하는 과정에서 카드사의 비밀키인 MK(Master Key)가 노출될 경우, 거래에 사용되는 모든 키를 알아낼 수 있다. 또한, 비대면 거래에서는 세션키를 누구나 알 수 있는 정보인 TS(Time Stamp)를 기반으로 생성하기 때문에 키의 안전성이 보장되지 않는다.
모바일 지급결제란 무엇인가?
다양한 응용 서비스 중에서도 모바일 지급결제 서비스가 국내·외에서 널리 주목받음에 따라 더욱 활성화 될 것으로 예상되고 있으며, 2013년 3월 지식경제부 기술표준원에서는 모바일 지급결제를 위한 표준으로 KS X 6928을 제정하였다[1-3]. 모바일 지급결제는 모바일 기기에 저장된 모바일 신용카드를 이용하여 결제를 수행하는 것으로, 대면거래와 비대면 거래로 나눌 수 있다.
NFC 기술을 탑재한 스마트 기기를 이용하여 어떤 서비스가 제공되고 있는가?
최근 NFC(Near Field Communication) 기술을 탑재한 스마트 기기 등을 이용하여 모바일 지급결제, 출입통제, 스마트 포스터와 같이 정보 제공 또는 광고와 관련된 응용 서비스가 제공되고 있다. 다양한 응용 서비스 중에서도 모바일 지급결제 서비스가 국내·외에서 널리 주목받음에 따라 더욱 활성화 될 것으로 예상되고 있으며, 2013년 3월 지식경제부 기술표준원에서는 모바일 지급결제를 위한 표준으로 KS X 6928을 제정하였다[1-3].
참고문헌 (9)
KS X 6928-1 "Mobile payment - Mobile card - Part 1 : General", 2012.
KS X 6928-2 "Mobile payment - Mobile card - Part 2 : Offline transaction, 2012.
KS X 6928-3 "Mobile payment - Mobile card - Part 2 : Online transaction, 2012.
http://www.nfc-forum.org/
ECMA International, Standard ECMA-340 "Near Field Communication Interface and Protocol-1(NFCIP-1)", 1st edition, December. 2002.
ECMA International, Standard ECMA-352 "Near Field Communication Interface and Protocol-2(NFCIP-2)", 1st edition, December. 2003.
ECMA International, Standard ECMA-385 "NFC-SEC: NFCIP-1 Security Services and Protocol", June. 2010.
ECMA International, Standard ECMA-386 "NFC-SEC-01: NFC-SEC Cryptography Standard using ECDH and AES", June. 2010.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.