기술의 발전에 따라, 스마트폰은 뛰어난 확장성과 성능을 제공한다. 스마트폰에 응용 프로그램을 손쉽게 설치할 수 있는 특징은 사람들의 스마트폰의 다양한 활용을 가능하게 한다. 과거에는 개인용 컴퓨터의 보안성 향상을 위해 스마트폰을 활용하였으나, 최근 스마트폰이 공격자의 주요 대상이 되고 있다. 따라서 스마트폰의 보안을 위해 신뢰할 수 있는 새로운 휴대용 장치가 필요하게 되었다. 스마트글래스, 스마트워치 등과 같은 다양한 웨어러블 장치들이 개발되고 있는데, 이러한 장치들이 우리가 필요한 스마트폰의 보안을 강화할 수 있는 장치로 활용될 수 있을 것이다. 이 논문에서는 스마트폰의 보안을 강화하는 데 있어 스마트워치가 새로운 장치가 될 수 있는지에 대해 연구하고, 스마트워치를 이용한 거래 내역을 확인하고 서명하는 기법과 스마트워치를 이용한 캡차 기반의 거래 내역 확인 기법, 스마트폰을 위한 캡차 기반 거래 연동 OTP 기법을 구현하고 사용자 실험을 통해 결과를 보였다.
기술의 발전에 따라, 스마트폰은 뛰어난 확장성과 성능을 제공한다. 스마트폰에 응용 프로그램을 손쉽게 설치할 수 있는 특징은 사람들의 스마트폰의 다양한 활용을 가능하게 한다. 과거에는 개인용 컴퓨터의 보안성 향상을 위해 스마트폰을 활용하였으나, 최근 스마트폰이 공격자의 주요 대상이 되고 있다. 따라서 스마트폰의 보안을 위해 신뢰할 수 있는 새로운 휴대용 장치가 필요하게 되었다. 스마트글래스, 스마트워치 등과 같은 다양한 웨어러블 장치들이 개발되고 있는데, 이러한 장치들이 우리가 필요한 스마트폰의 보안을 강화할 수 있는 장치로 활용될 수 있을 것이다. 이 논문에서는 스마트폰의 보안을 강화하는 데 있어 스마트워치가 새로운 장치가 될 수 있는지에 대해 연구하고, 스마트워치를 이용한 거래 내역을 확인하고 서명하는 기법과 스마트워치를 이용한 캡차 기반의 거래 내역 확인 기법, 스마트폰을 위한 캡차 기반 거래 연동 OTP 기법을 구현하고 사용자 실험을 통해 결과를 보였다.
With the development of technologies, smartphone provides excellent extensibility and performance. Users can install application programs easily in smartphone, so they can use smartphone in various way. In the past, users used smartphone for enhancing security in personal computer. Nowadays, smartph...
With the development of technologies, smartphone provides excellent extensibility and performance. Users can install application programs easily in smartphone, so they can use smartphone in various way. In the past, users used smartphone for enhancing security in personal computer. Nowadays, smartphone has become a major target for attackers. Therefore we needs a reliable portable device for smartphone security. There are various wearable devices such as smartglasses and smartwatches, so they can be used for enhancing security in smartphone. In this paper, we study about that smartwatches can be role for enhancing smartphone security, and we implement transaction information verification scheme, Transaction information verification scheme based on CAPTCHA and CAPTCHA based transaction OTP scheme and experiment with users in prototype application.
With the development of technologies, smartphone provides excellent extensibility and performance. Users can install application programs easily in smartphone, so they can use smartphone in various way. In the past, users used smartphone for enhancing security in personal computer. Nowadays, smartphone has become a major target for attackers. Therefore we needs a reliable portable device for smartphone security. There are various wearable devices such as smartglasses and smartwatches, so they can be used for enhancing security in smartphone. In this paper, we study about that smartwatches can be role for enhancing smartphone security, and we implement transaction information verification scheme, Transaction information verification scheme based on CAPTCHA and CAPTCHA based transaction OTP scheme and experiment with users in prototype application.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
이 연구에서는 스마트워치를 이용하여 스마트폰에서의 안전한 이체가 수행되는 다양한 기법에 관한 실험을 수행하였다. OTP와 캡차(CAPTCHA: Completely Automated Public Turing test to tell Computers and Humans Apart)[2]를 이용한 거래연동 OTP 기법, 스마트워치를 이용한 콘텐츠 기반의 인증 기법 등에 대한 프로토타입 제작을 하고 사용자 실험을 실시하였다.
스마트폰이 악성코드에 감염되거나, 분실되었을 때에도 사용자의 정보가 유출되거나 공격자가 사용자의 정보를 악용하여 거래를 수행하지 못하도록 하는 것이 목표이기 때문에 스마트폰의 보안을 강화하는 장비로 스마트워치를 활용하였으며, 이를 위해 약간의 사용성을 희생하였으나 사용자 실험을 수행한 결과 큰 손실은 없는 것으로 보인다. 기존의 거래연동 OTP[3,4]와 콘텐츠 기반 캡차[5] 등에 대한 다양한 연구를 스마트폰과 스마트워치라는 분리된 장비에서의 전자거래에서 활용할 수 있는 방안을 제시하고, 프로토타입을 제작하여 사용자 실험을 수행하였다. 또한 사용자가 거래내역에 대한 서명을 수행할 때 사용하는 키를 스마트폰에 저장하는 것이 아니라 스마트워치에 저장하고 필요시 서명하는 방법으로 사용자의 비밀을 분산시켜 두 장비가 동시에 있을 때에만 전자거래 등의 동작을 수행할 수 있도록 할 수 있다.
이 연구에서는 스마트폰과 분리된 스마트워치에서 기존의 거래내역 인증방법을 적용하여 사용자가 확인할 수 있도록 하였다. 사용자가 스마트워치를 이용하여 전자거래에 대한 정보를 확인하거나, 전자서명에 필요한 키를 사용자의 스마트폰이 아닌 스마트워치에 저장하여 거래내역에 대한 서명을 스마트워치에서 수행할 수 있도록 하여 사용자의 비밀을 분산시킬 수 있었다.
맹영재 등은 모바일 뱅킹을 위해 OTP를 안전하게 입력하는 방법으로 비밀 퍼즐을 만들어 이체 확인을 하는 방법들에 대해서 제안하였다[12]. 이 논문에서는 제안한 방법을 기반으로 스마트폰과 스마트워치에서 동작하는 기법을 구현하였다. 이 기법에서는 사용자가 이체정보를 확인하기 위해서 예금주의 이름을 캡차로 만들어 스마트폰에서 보여준다.
이 논문에서는 스마트워치를 이용해 스마트폰을 안전하게 사용하는 방법을 실험하였다. 스마트워치를 이용한 거래 안전을 확보하기 위한 방법으로 스마트워치를 이용하여 거래 내역을 확인하고 서명하는 기법, 악성 코드를 막기 위해 캡차 기반의 거래 내역 확인 기법, 스마트폰을 위한 캡차 기반 거래 연동 OTP 입력 기법을 스마트워치에 적용하여 실험하였다.
가설 설정
6(ms)임을 보였다. 또한 이 실험에서는 사용자가 공격을 당해 스마트워치 화면에 이체금액이 바뀔 수 있다는 가정을 하여 사용자가 대응할 수 있는지 실험하였다. 총 50번 실험 중에 27번의 경우 이러한 공격이 있다고 가정하여 실험하였을 때, 전체 27번의 실험 중에 3번의 경우만 이체 과정을 계속했고, 나머지 24번 경우는 이체 과정을 취소했다.
스마트워치를 이용한 거래내역 확인 기법에서는 사용자가 스마트워치를 보고 자신이 입력한 거래내용이 맞는지 확인한 후 거래를 계속 진행시켰다. 이 실험에서는 임의로 공격자가 존재 하여 사용자의 이체 금액을 바꾸는 경우를 가정하였는데, 대부분의 사용자가 이러한 공격에 대해 효과적인 조치를 취하는 모습을 확인할 수 있었다.
제안 방법
이 연구에서는 스마트워치를 이용하여 스마트폰에서의 안전한 이체가 수행되는 다양한 기법에 관한 실험을 수행하였다. OTP와 캡차(CAPTCHA: Completely Automated Public Turing test to tell Computers and Humans Apart)[2]를 이용한 거래연동 OTP 기법, 스마트워치를 이용한 콘텐츠 기반의 인증 기법 등에 대한 프로토타입 제작을 하고 사용자 실험을 실시하였다.
이 논문의 공헌도는 다음과 같다. 이 연구에서는 스마트폰과 스마트워치를 동시에 이용하여 사용자의 거래내용을 확인하고 인증하는 방법을 실험하였다. 스마트폰이 악성코드에 감염되거나, 분실되었을 때에도 사용자의 정보가 유출되거나 공격자가 사용자의 정보를 악용하여 거래를 수행하지 못하도록 하는 것이 목표이기 때문에 스마트폰의 보안을 강화하는 장비로 스마트워치를 활용하였으며, 이를 위해 약간의 사용성을 희생하였으나 사용자 실험을 수행한 결과 큰 손실은 없는 것으로 보인다.
이러한 문제를 해결하기 위해 계좌번호의 일부나 이체금액을 모두 캡차의 형태로서 확인 하도록 해야 할 필요가 있다. 그러나 편리성과 보안성의 상호 교환(trade-off) 관계는 흔히 이러한 연구에 있어서 중요하게 고려되어야할 부분이므로 이 제안에서는 예금주의 이름만 확인하는 것으로 한다.
11)를 사용하였으며, 이는 스마트폰 확장형으로 동작한다. 앞서 이야기한 바와 같이 보안성을 확보하기 위해서는 스마트폰 확장형 스마트워치의 사용을 배제하는 것이 좋으나, 이 논문에서는 사용자 실험과 개발의 용이성 등의 이유로 스마트폰 확장형 스마트워치를 사용하였다. 스마트폰으로는 Google 사의 레퍼런스 모델인 Galaxy Nexus(Android 4.
또한 사용자 10명을 대상으로 각각 실험마다 5회씩 반복하여 실험을 수행하였다.
이 논문에서는 스마트폰에 스마트워치를 블루투스로 연결하여 실험했다. 각각의 실험에서 스마트폰에 스마트워치를 연결하는데 소요시간을 기록하였다.
이 논문에서는 스마트폰에 스마트워치를 블루투스로 연결하여 실험했다. 각각의 실험에서 스마트폰에 스마트워치를 연결하는데 소요시간을 기록하였다. 3.
이 절에서는 이 논문에서 수행한 실험들의 결과를 CDF를 통해 보이고, 그에 대한 분석을 수행한다. Fig.
이 논문에서는 스마트워치를 이용해 스마트폰을 안전하게 사용하는 방법을 실험하였다. 스마트워치를 이용한 거래 안전을 확보하기 위한 방법으로 스마트워치를 이용하여 거래 내역을 확인하고 서명하는 기법, 악성 코드를 막기 위해 캡차 기반의 거래 내역 확인 기법, 스마트폰을 위한 캡차 기반 거래 연동 OTP 입력 기법을 스마트워치에 적용하여 실험하였다.
각각의 기법들을 사용자들을 대상으로 하여 실험한 결과는 다음과 같다. 스마트워치를 이용한 거래내역 확인 기법에서는 사용자가 스마트워치를 보고 자신이 입력한 거래내용이 맞는지 확인한 후 거래를 계속 진행시켰다. 이 실험에서는 임의로 공격자가 존재 하여 사용자의 이체 금액을 바꾸는 경우를 가정하였는데, 대부분의 사용자가 이러한 공격에 대해 효과적인 조치를 취하는 모습을 확인할 수 있었다.
대상 데이터
이 논문에서 제안하는 실험을 위해 스마트워치로는 Sony smartwatch 2(1.0.B.5.28/1.0.A.4.11)를 사용하였으며, 이는 스마트폰 확장형으로 동작한다. 앞서 이야기한 바와 같이 보안성을 확보하기 위해서는 스마트폰 확장형 스마트워치의 사용을 배제하는 것이 좋으나, 이 논문에서는 사용자 실험과 개발의 용이성 등의 이유로 스마트폰 확장형 스마트워치를 사용하였다.
앞서 이야기한 바와 같이 보안성을 확보하기 위해서는 스마트폰 확장형 스마트워치의 사용을 배제하는 것이 좋으나, 이 논문에서는 사용자 실험과 개발의 용이성 등의 이유로 스마트폰 확장형 스마트워치를 사용하였다. 스마트폰으로는 Google 사의 레퍼런스 모델인 Galaxy Nexus(Android 4.0.2)를 사용하였다. 또한 실험에 사용한 어플리케이션 개발을 위해 Eclipse Sony Add-on SDK v 2.
이론/모형
1절에서의 방법처럼 텍스트 상태의 거래 내역을 확인하는 경우, 스마트워치가 악성 코드에 감염되는 경우 거래 자체가 위험할 수 있으며, 이를 해결하기 위해 캡차를 이용하여 사용자에게 거래 내역을 확인하도록 하는 방법을 사용할 수 있다. 이를 위해 스마트워치를 이용하여 거래 내역을 확인하는 방법 중 하나로 이상호 등이 제안한 콘텐츠 기반 캡차를 이용하여 거래 내역을 확인하는 방법[5]을 스마트워치에 적용하였다.
성능/효과
1. 분명하지 않은 출처나 공격자가 작성한 출처에서 사용자가 응용 소프트웨어를 다운로드 및 실행하는 경우, 사용자는 응용 소프트웨어에 어떤 조작이 되어 있는지, 응용 소프트웨어의 신뢰 여부를 확실하게 알 수 없다.
이 연구에서는 스마트폰과 분리된 스마트워치에서 기존의 거래내역 인증방법을 적용하여 사용자가 확인할 수 있도록 하였다. 사용자가 스마트워치를 이용하여 전자거래에 대한 정보를 확인하거나, 전자서명에 필요한 키를 사용자의 스마트폰이 아닌 스마트워치에 저장하여 거래내역에 대한 서명을 스마트워치에서 수행할 수 있도록 하여 사용자의 비밀을 분산시킬 수 있었다. 또한 전자거래에 사용되는 OTP를 입력하는 경우에도 사용자에게 스마트워치를 이용하여 입력하도록 하여 사용자의 정보가 유출되는 것을 막을 수 있다.
전체 50번의 실험 중에 8번은 정상적인 실험의 수행에 실패했고(’다음’ 버튼을 누르고 ‘이체실패’ 메시지가 뜰 때), 정확도는 84%이었다.
4에서 확인할 수 있다. 총 38번의 데이터는 3초~7초 사이에 1회의 작업을 완료함으로 전체의 76%를 차지하고, 실험 수행에 평균 소요시간이 6276.6(ms)임을 보였다. 또한 이 실험에서는 사용자가 공격을 당해 스마트워치 화면에 이체금액이 바뀔 수 있다는 가정을 하여 사용자가 대응할 수 있는지 실험하였다.
5에서 확인할 수 있다. 이 실험에서 총 40번의 경우 5초~9초 사이에 1회의 작업을 끝냈으며, 전체의 80%를 차지하고 평균 소요시간이 8784.6 (ms)임을 보였다.
대부분의 작업은 30초~50초 사이에 완료되며, 이 구간에는 총 40번의 데이터가 존재한다. 또한 사용자가 실험에 적응할수록 실험시간이 상대적으로 줄어드는 것을 알 수 있었다. 전체 50번의 실험 중에 8번은 정상적인 실험의 수행에 실패했고(’다음’ 버튼을 누르고 ‘이체실패’ 메시지가 뜰 때), 정확도는 84%이었다.
9는 앞서 실험한 세 가지 기법들에 대해 사용자의 입력이 완료되는 시간을 CDF로 표현하였다. 이 그래프에서 볼 수 있듯 스마트워치에 표시된 거래내역을 확인하고, 확인/거절을 선택하는 기법과 스마트워치에 콘텐츠 캡차 기반의 기법의 경우 대부분의 사용자가 10초 이내에 빠르게 동작을 완료하는 것을 확인할 수 있으며, 스마트워치를 이용한 캡차 기반의 OTP 방식은 사용자의 절반 이상이 40초 이상의 시간을 사용하는 것을 알 수 있다. 다만 사용자의 거래내역을 확인하는 기법에서는 하나의 기기가 감염되는 경우 그 보안성이 떨어지는 정도가 스마트워치를 이용한 캡차 기반의 OTP 방식과 차이가 있다.
캡차 기반의 거래 연동 OTP 입력 기법은 사용자가 스마트워치를 이용하여 거래 정보와 관련된 캡차를 확인하고 OTP를 입력하는 데 걸리는 시간을 측정하였는데, 이를 통해 사용자들이 OTP를 입력 할 때의 경향성을 알 수 있었다.
또한 인터넷 뱅킹에서 OTP와 전자 서명을 함께 사용하여 높은 보안성을 유지하듯, 스마트워치와 스마트폰에서도 OTP와 전자 서명 기법을 사용하게 할수 있다. 캡차 기반 거래 연동 OTP와 캡차 기반의 거래 내역 확인기법을 혼합하여 사용하는 방법으로 스마트워치나 스마트폰이 공격자에 의해 감염 되었을 때에도 안전성을 보장할 수 있을 것이다.
후속연구
위 두 방법은 간편하고 빠르게 조작을 할 수 있는 장점이 있다. 향후 다른 방법과 혼합하여 사용한다면 이체거래에서 안전성을 더욱 높일 수 있을 것으로 생각된다.
스마트워치의 OTP 사용은 기존의 OTP 입력방법에 비해 소요시간이 상대적으로 길다. 하지만 이후에 스마트폰과 스마트워치의 발전과 입력 방법이 보완된다면 이 논문에서 제시한 방법은 충분히 실행할 만하다고 볼 수 있다. 또한 대부분 사용자는 이 방법이 흥미롭고 긍정적이라는 의견을 표현했다.
이러한 경우 거래를 안전하게 하기 위해서는 기기의 언락을 위한 PIN입력이나 스마트폰에 저장된 공개키 인증서의 비밀키를 암호화하는 패스워드를 사용자로부터 입력받는 방법이 있다. 사용자의 편의를 위해서는 이러한 기법보다는 스마트워치에 존재하는 다양한 센서들을 이용하여 인증된 사용자를 대상으로만 전자 거래를 수행하게 하는 등의 방법으로 전자거래를 안전하게 할 수 있는 연구가 필요할 것이다.
이후 연구에서는 이 논문에서 수행한 실험들을 바탕으로 하여 스마트워치를 활용한 스마트폰에서의 안전한 거래방법을 제안할 때 안전성뿐만 아니라 사용자들이 실제 사용하면서 느끼는 사용성적인 측면도 충분히 반영하여야 할 것이다. 특히 캡차를 활용한 방법을 사용하는 경우, [5]의 연구에서와 같이 사용자가 불편함을 느끼지 않는 시간동안 해결할 수 있는 적절한 캡차의 난이도 설정 방법에 대한 고찰이 필요할 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
스마트폰 악성코드란 무엇인가?
스마트폰 악성코드는 PC에서와 마찬가지로 스마트폰에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭이다. 악성코드는 기기의 취약점, 무선 침투, 이동 저장장치, 사회 공학적 기법 등 다양한 경로로 침입해 스마트폰을 위협하며, 스마트폰 운영체제 및 웹브라우저의 취약점을 공격한다.
스마트폰 악성코드 감염은 심각한 사회적 위협인 이유는?
또 SMS·MMS 등 스팸문자 발송을 비롯해 휴대 전화 소액결제, 무선인터넷 이용, 유료 전화서비스, 국제전화 발신 등의 과금을 유발한다. 이뿐 아니라 단말기 UI 변경, 단말기 파손(오류 발생), 배터리 소모, 파일, 일정, 전화번호부 등의 수많은 정보와 프로그램을 삭제하는 피해도 남긴다. 따라서 스마트폰 악성코드 감염은 심각한 사회적 위협이 될 수 있다.
참고문헌 (12)
Korea Naeil Shinmoon, "IT industry catches the quick payment market! 'Contention of a Hundred Schools of Thought'." Aug. 2014.
Von Ahn, L., Blum, M., Hopper, N. J., & Langford, J., "CAPTCHA: Using hard AI problems for security." In Advances in Cryptology/EUROCRYPT , pp. 294-311, 2003.
YoungJae Maeng and DaeHun Nyang, "OTP with Transaction uses of complementary color," Magazine of The Korea Institute of information Security&Cryptology, 21(7), pp. 38-52, Nov. 2011.
Financial Security Institute, "Considerations of Electronic financial environment about transaction signature authentication technology trends and implementation," vol. 2, Apr. 2014.
Sang-ho Lee, Sung-ho Kim, Jeon-il Kang, Je-sung Byun, Dae-hun Nyang and Kyung-hee Lee, "A Method of Enhancing Security of internet Banking Service using Contents Based CAPTCHA," Journal of The Korea Institute of information Security&Cryptology, 23(4), pp. 571-583, Aug. 2013.
Korea CCTV News, "First quarter of 2014, Smartphone malicious codes have a total of 435122...2-fold increase year on year." Apr. 2014.
Seung-Hyeon Seo and Gil-Su Jeon, "Smartphone Security Threat and Countermeasure," TTA Journal(2010), No. 132, pp. 44-48.
Won-Tae Sim, Jong-Myoung Kim, Jae-Cheol Ryou and Bong-Nam Noh, "Android Application Analysis Method for Malicious Activity Detection," Korea Institute of Information Security & Cryptology Journal(2011), 21(1), pp. 213-219.
Financial Security Institute, "Electronic banking services in the Smartphone Security Guide," vol. 6, Jul. 2014.
Korea Yonhap News, "7 out of 10 smartwatches are Samsung gear series." Aug. 2014.
Korea MK News," 'Smartwatch' seven times growth in this year...8 out of 10 Samsung products." Feb. 2014
YoungJae Maeng, DaeHun Nyang and KyungHee Lee, "Password Authentication and Transaction Confirmation Method Using Secret Puzzle on Mobile Banking," Jonornal of The Korea Institute of information Security&Cryptology, 21(1), pp. 187-199, Feb. 2011.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.