$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

금융보안을 위한 물리적 보안 카드의 설계 및 구현
Design and Implementation of Physical Secure Card for Financial Security 원문보기

한국정보통신학회논문지 = Journal of the Korea Institute of Information and Communication Engineering, v.19 no.4, 2015년, pp.855 - 863  

서화정 (Department of Computer Engineering, Pusan National University) ,  김호원 (Department of Computer Engineering, Pusan National University)

초록
AI-Helper 아이콘AI-Helper

본 논문에서는 전자금융 신종 사기 수법에 의한 사용자의 비밀정보 유출을 방지하기 위하여 자신이 가진 보안카드와 스마트 폰을 이용하여 금융거래 사이트를 검증하는 새로운 기법을 제안한다. 이를 위해 보안카드를 새롭게 디자인하여 공정한 사이트에 접속하는 경우에만 보안카드와 스마트폰을 통해 사이트의 인증이 가능하도록 하였다. 또한 기존의 OTP를 통한 보안 인증에서는 방어할 수 없었던 중간자 공격을 사용자의 거래 내역에 따른 보안카드 값 생성을 통해 효과적으로 방어하는 방안도 제안한다. 본 논문에서 제시하는 기법은 보안카드와 스마트폰을 통한 새로운 사이트 인증 기법으로써 사용자가 직접 피싱, 파밍 사이트를 판단할 수 있을 뿐 아니라 중간자 공격에 대한 대처방안으로도 매우 효과적인 기법이다.

Abstract AI-Helper 아이콘AI-Helper

In this paper, we present a novel method to verify the financial site and prevent sensitive information disclosure with financial security card and smart phone. This method allows homepage access when user accesses to the valid site with right security card and smart phone. Furthermore, traditional ...

주제어

#물리적 보안카드   #금융 보안   #설계 및 구현  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 본 논문에서는 보안카드의 기존 디자인을 변경하여 사용자에게 보다 적극적인 피드백을 줌으로써 피싱과 파밍공격을 방지할 수 있는 기법을 제시한다. 또한 해당 기법은 기존의 OTP 기술에서는 방어하기 힘들었던 MITM에 대해서도 방어가 가능하다[5].
  • 본 논문에서는 피싱, 파밍 그리고 MITM과 같은 최근 문제가 되고 있는 금융사기 기법들에 대해 확인해 보고 이를 효과적으로 방어하기 위한 보안 카드 인증 메커니즘을 설계 및 구현해 보았다. 해당 기법은 지금까지 제시된 기법들과는 달리 사용자가 능동적으로 피싱, 파밍 사이트를 구분할 수 있을 뿐 아니라 현재 제시되는 기술로는 방어가 어려운 MITM을 효과적으로 방어하기 위한 새로운 패러다임을 제시한다.
  • 새로운 보안 카드 기법 적용 시 기존의 피싱과 파밍 그리고 MITM 공격에 대한 방어 가능성과 기존의 실수 입력 방지 보안 카드와의 보안성에 대해 확인해 본다. 제안된 기법은 피싱/파밍을 위한 인증을 위해 인증 페이지를 보안카드로 확인해 보는 방식을 통해 사이트의 진위여부를 확인하게 된다.
  • 해당 화면이 표기되면 새롭게 디자인된 보안카드를 휴대폰의 스크린에 올려서 생성된 인증 화면이 적합한지를 확인할 수 있다. 지금부터는 실제로 구현된 보안카드 앱과 보안카드 실물 디자인을 통해 피싱 혹은 파밍 사이트를 구분하는 기법을 시연하고자 한다. <그림 8>에서는 보안카드와 스마트폰이 나타나 있다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
인터넷 뱅킹에서 사용되는 보안 솔루션의 종류는 무엇인가? 사용자들의 안전한 온라인 금융서비스는 선택적 요건이 아닌 필수적인 요인으로써 그 중요성이 점차 강조되고 있다. 현재 인터넷 뱅킹에서 사용되는 보안 솔루션으로는 공인인증서, 일회용 비밀번호, 보안카드, 가상키보드 등이 있다. 이러한 보안 솔루션의 안전성은 수학적 불가능성에 기반을 두고 있기 때문에 공격자가 암호에 대한 전통적인 기법으로 공격을 시도하는 경우는 매우 드물다.
보안카드의 배치 및 인쇄 값을 변경하여 사용자가 사이트의 상이점을 알아채도록 도와주는 방법의 문제점은 무엇인가? 최근에는 피싱 및 파밍 사이트를 통해 사용자의 보안카드 정보를 알아내는 공격을 방어하기 위해 보안카드의 배치 및 인쇄 값을 변경하여 사용자가 사이트의 상이점을 알아채도록 도와주는 방법이 제시되었다[4]. 하지만 해당 기법은 사용자에게 적극적인 피드백을 주기 보다는 사용자가 상이점을 통해 판단해서 결정하도록 하여 사용자의 부주의로 인한 피해 발생 가능성이 존재한다. 이와 더불어 공격자가 사이트와 사용자 중간에 위치하며 거래를 조작하는 중간자 공격에 대해서는 효과적으로 방어하지 못하는 문제점을 가진다.
피싱(Phishing)은 무엇인가? 하지만, 최근 피싱, 파밍 방식의 신, 변종 수법이 증가함으로 2013년도 통계 자료만 본다면 과반수 이상이 피싱, 파밍임을 확인할 수 있다. 여기서 피싱(Phishing) 이란 개인정보(Private data)와 낚는다(Fishing)의 합성어로 전화, 문자, 메신저, 가짜사이트 등의 수단으로 피해자를 기망 및 협박을 해서 개인정보 및 금융거래 정보를 요구하거나 피해자의 금전을 이체하도록 하는 수법이다. 악의적 공격자는 사용자에게 문자나 이메일을 통해 피싱사이트 주소를 전송하고, 피싱사이트 주소임을 인지하지 못한 사용자는 피싱사이트에 접속하게 되고 자신의 비밀정보를 입력하게 됨으로써 공격이 성공하게 된다.
질의응답 정보가 도움이 되었나요?

참고문헌 (9)

  1. The bank of Korea, "2014 third quarter Reports on Domestic Internet Banking Services," 2014. 

  2. Research Center on Security Policy of Police University, "Future of Security 2014," 2014. 

  3. AhnLab. Social engineering method [Internet] Available: http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist3&seq9761 

  4. J. K. Park and J. H. Lee, "Miss-type-proof based Techniques to Prevent from Phising and Phaming," Review of KIISC, vol.23 no. 6, pp. 9-17, Dec. 2013. 

  5. ZDNET. New Financial Phishing Attack [Internet]. Available:http://www.zdnet.co.kr/news/news_view.asp?artice_id20130702122904 

  6. Wikipedia. Personal identification number [Internet]. Available: http://en.wikipedia.org/wiki/Personal_identification_number 

  7. Wikipedia. ISO 9564 [Internet]. Available: http://en.wikipedia.org/wiki/ISO_9564#PIN_ entry_devices 

  8. Wikipedia. One-time password [Internet]. Available: http://en.wikipedia.org/wiki/One-time _password 

  9. Y. L. Park, J. W. Son, S. H. Shin and M. K. Yoon, "Methods for Multi-channel based Financial Input", Review of KIISC, vol.23 no.1, pp. 9-17, Feb 2013. 

저자의 다른 논문 :

LOADING...

관련 콘텐츠

오픈액세스(OA) 유형

GOLD

오픈액세스 학술지에 출판된 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로