[논문]OTP토큰의 취약점 및 모바일 페이먼트 활용

최원섭; 이재성; 김동규

OTP토큰의 취약점 및 모바일 페이먼트 활용 원문보기

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본고에서는 이러한 OTP의 취약점에 대해 분석하고, 이를 보완할 수 있는 하드웨어 OTP에 대해 설명한다. 그리고 기존의 보안수단(SE)인 USIM과 결합하여 큰 수정 없이 사용 가능한 모바일 페이먼트에서 활용할 수 있는 방안에 대해 논의하고자 한다.
본고에서는 이러한 OTP의 취약점에 대해 분석하고, 이를 보완할 수 있는 하드웨어 OTP에 대해 설명한다. 그리고 기존의 보안수단(SE)인 USIM과 결합하여 큰 수정 없이 사용 가능한 모바일 페이먼트에서 활용할 수 있는 방안에 대해 논의하고자 한다.
본고에서는 이러한 취약점을 분석하여 이를 보완할 수 있는 복제 불가능한 PUF를 이용한 하드웨어 OTP를 제안하였다. 비밀키 등의 주요 인증 정보로 활용되는 PUF는 복제가 불가능하고, OTP 생성 모듈과 함께 하드웨어 OTP 내부의 하드웨어 로직 셀들로 구현되기 때문에, 메모리 스캔이나 버스 프루빙 등을 통해 분석이 어렵다.

제안 방법

<그림 4>는 challenge-response 방식 OTP의 동기화 및 인증 과정이다. OTP값 생성 시 인증 서버에서 난수를 생성해 초기화시 OTP 토큰과 공유된 비밀키로 암호화 여 OTP 토큰으로 전송하고 OTP 토큰은 이 난수와 비밀키를 OTP 생성 알고리즘의 입력 값으로 사용하여 OTP값을 생성한다. 이후 OTP 토큰에서 생성된 OTP값은 인증 서버로 전송되고 인증 서버는 동일한 알고리즘과 입력 값을 사용하여 OTP값을 생성하고 이를 OTP로 부터 받은 OTP값과 비교하여 인증을 수행한다.
비밀키 등의 주요 인증 정보로 활용되는 PUF는 복제가 불가능하고, OTP 생성 모듈과 함께 하드웨어 OTP 내부의 하드웨어 로직 셀들로 구현되기 때문에, 메모리 스캔이나 버스 프루빙 등을 통해 분석이 어렵다. 동작 방식이 간단하고 기존의 OTP에 사용되는 방식인 시간 동기화 방식과 공개키 암호화 방식을 사용하여 서버 해킹을 통한 피해를 방지할 수 있는 challenge-response 방식으로 구현하였다.
이번 장에서는 이전 장에서 분석했던 OTP의 취약점들을 해결하기 위한 해결방법으로 복제 불가능한 PUF(Physical Unclonable Functions)^[16] 를 비밀키로 이용하여 OTP값을 생성하는 하드웨어 OTP를 제안한다.
이번 장에서는 하드웨어 OTP를 기존의 모바일기기에 적용하여 모바일 페이먼트에서 활용하는 방법을 알아본다.
OTP값 생성 시 인증 서버에서 난수를 생성해 초기화시 OTP 토큰과 공유된 비밀키로 암호화 여 OTP 토큰으로 전송하고 OTP 토큰은 이 난수와 비밀키를 OTP 생성 알고리즘의 입력 값으로 사용하여 OTP값을 생성한다. 이후 OTP 토큰에서 생성된 OTP값은 인증 서버로 전송되고 인증 서버는 동일한 알고리즘과 입력 값을 사용하여 OTP값을 생성하고 이를 OTP로 부터 받은 OTP값과 비교하여 인증을 수행한다.

이론/모형

인증 방식에 따라 크게 인증서와 같이 사용자가 가지고 있는 것을 이용한 소유 기반 인증, 패스워드나 PIN처럼 사용자의 기억에 기반을 둔 지식 기반 인증, 홍채나 지문과 같은 사용자 고유의 생체 정보를 이용한 생체 기반 인증으로 나뉜다. 금융 결제처럼 높은 보안성을 필요로 하는 시스템에서는 두 가지의 인증 방식을 동시에 사용하는 이중 인증 방식(Two-factor authentication)이 사용된다. 일반적으로 지식 기반 인증 기법인 패스워드와 보안 카드와 같은 소유 기반 인증 기법이 결합되어 사용된다.

성능/효과

기존의 OTP 시스템에서는 공격자가 OTP 인증 서버를 해킹하여 정상적인 사용자 OTP 토큰의 비밀키를 탈취하여 정상적인 사용자로 위장할 수 있으나, 와 같이 제안하는 challenge-response 방식의 하드웨어 OTP에서는 공개키 암호 시스템을 사용하여 인증기관에서 서버 해킹으로 사용자의 공개키가 누출되어도 공격자는 인증 서버에서 공개키로 암호화하여 전송한 challenge를 복호화 할 수 없어 정상적인 사용자로의 위장이 불가능하다.
기존의 OTP 시스템에서는 공격자가 OTP 인증 서버를 해킹하여 정상적인 사용자 OTP 토큰의 비밀키를 탈취하여 정상적인 사용자로 위장할 수 있으나, <그림 15>와 같이 제안하는 challenge-response 방식의 하드웨어 OTP에서는 공개키 암호 시스템을 사용하여 인증기관에서 서버 해킹으로 사용자의 공개키가 누출되어도 공격자는 인증 서버에서 공개키로 암호화하여 전송한 challenge를 복호화 할 수 없어 정상적인 사용자로의 위장이 불가능하다. 이를 통해, challengeresponse 방식의 하드웨어 OTP는 시간동기화 방식의 하드웨어 OTP 방식으로 해결이 불가능한 서버해킹으로 인한 취약점을 개선하였다.

핵심어

질문

논문에서 추출한 답변

OTP란?

OTP(One-Time Password)는 보안 카드의 문제점을 개선하여 이를 대체해 나가고 있는 대표적인 소유 기반 인증 기법이다. 보안 카드는 20~30가지의 한정된 색인(index)과 이에 해당하는 숫자 값이 기록된 카드이므로 외부 공격자에게 패스워드와 같이 단 몇 번의 노출로 인해 그 정보가 드러나 이를 재사용하여 사용자로 위장할 수 있는 취약점이 있다.

사용자 인증이란?

사용자 인증은 사용하고자 하는 시스템에 접근하기 위해 자신이 인가된 사용자라는 것을 증명하는 과정이다. 인증 방식에 따라 크게 인증서와 같이 사용자가 가지고 있는 것을 이용한 소유 기반 인증, 패스워드나 PIN처럼 사용자의 기억에 기반을 둔 지식 기반 인증, 홍채나 지문과 같은 사용자 고유의 생체 정보를 이용한 생체 기반 인증으로 나뉜다.

모바일 OTP의 단점은?

모바일 OTP는 별도의 하드웨어 장비를 구입할 필요 없이 스마트폰에 앱을 설치하여 사용하는 타입이다. 하지만 인증 서버 측에서 이 방식을 지원하지 않을 시 이용할 수 없으며 스마트폰과 운영체제에 따라 이용이 제한 될 수 있고, 해킹에 취약한 단점이 있다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

OTP토큰의 취약점 및 모바일 페이먼트 활용 원문보기

AI 본문요약
AI-Helper

문제 정의

제안 방법

이론/모형

성능/효과

질의응답

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

OTP토큰의 취약점 및 모바일 페이먼트 활용 원문보기

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

이론/모형

성능/효과

질의응답

이 논문을 인용한 문헌

저자의 다른 논문 :

최원섭 (1) 이재성 (1) 김동규 (24)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

AI 본문요약
AI-Helper