[논문]자바스크립트 변조를 이용한 국내 인터넷 뱅킹 키보드 암호화 모듈 우회 공격

이성훈; 김승현; 정의엽; 최대선; 진승헌

doi:10.13089/jkiisc.2015.25.4.941

초록
AI-Helper

인터넷의 발달과 함께 인터넷 뱅킹은 널리 사용되고 있다. 이와 함께 금전적 이득을 목적으로 인터넷 뱅킹을 타겟으로 하는 피싱 공격이 기승을 부리고 있으며, 이에 대응하기 위해 은행에서는 보안 모듈을 사용자 컴퓨터에 설치하고 인터넷 뱅킹을 이용하도록 요구한다. 하지만 메모리 해킹 공격 등 고도화된 피싱 공격은 보안 모듈을 우회한다. 본 논문에서는 국내 은행에서 제공하는 인터넷뱅킹 보안 모듈 현황을 알아보고, 그 중에서도 이체 정보의 암호화를 담당하는 키보드 보안 모듈을 분석한다. 그리고 자바스크립트를 이용하여 이체정보를 변조하는 기법을 제안한다. 키보드 보안 모듈은 공격자가 심어놓은 악의적 프로그램으로부터 사용자가 입력한 이체 정보의 노출 및 변조를 방지하는 기능을 담당한다. 하지만 우리가 제안한 자바스크립트 변조 공격은 키보드 암호화 모듈을 우회하고 이체 정보를 변조하는 것이 가능하다. 또한 이체정보확인 페이지를 변조하여 사용자가 정상적인 거래를 한 것처럼 속일 수 있다.

Abstract ▼ AI-Helper

Internet banking is widely used in our life with the development of the internet. At the same time, phishing attacks to internet banking have been increased by using malicious object to make unfair profit. People using internet banking service in Korea is required to install security modules such as...

Internet banking is widely used in our life with the development of the internet. At the same time, phishing attacks to internet banking have been increased by using malicious object to make unfair profit. People using internet banking service in Korea is required to install security modules such as anti-virus and keyboard protection. However phishing attack technique has been progressed and the advanced technique such as memory hacking defeats the security module of internet banking service. In this paper, we describe internet banking security modules provided by Korean internet banks and analyze how keyboard encryption module works. And we propose an attack to manipulate account transfer information using javascript. Although keyboard protection module provides two functions that protect leakage and manipulation of account transfer information submitted by users against the malicious program of hackers. Our proposed technique can manipulate the account transfer information and result html pages.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 국내 주요 은행의 인터넷 뱅킹 보안 현황에 대해서 알아보고 그 중에서도 이체시에 키보드 입력 보안을 담당하는 키보드 보안 모듈의 암호화 과정을 분석하였다. 사용자가 입력한 이체정보는 암호화를 담당하는 자바스크립트에서 암호화를 하였고, 본 논문에서 제시한 이체정보 변조 코드를 자바스크립트에 삽입하여 암호값을 분석하고 재조합하였다.
본 논문에서는 사용자가 정상 은행 사이트에 접속하여 인터넷 뱅킹을 시도하더라도 사용자가 입력한 이체정보를 자바스크립트 수준에서 변조하여 메모리 해킹과 마찬가지로 보안 모듈을 우회하고, 사용자에게 피싱 피해를 야기할 수 있는 이체정보 변조 방법을 제안한다.

가설 설정

7. 은행은 사용자 인증을 위해서 OTP, 공인인증서 서명을 요구한다.

제안 방법

2. 저장된 테이블 정보에서 변조하고자 하는 테이블 번호를 찾아서 수정한다.
html 결과 화면 변조는 DOM을 이용하여 html 내용을 변경한다[8]. 먼저, 사용자가 입력한 입금계좌번호 값을 사용자가 최근에 전송한 계좌이체번호 목록에서 검색하여 수신자명을 알아낸다. 만약 계좌이체번호 목록에 사용자가 입력한 입금계좌번호에 해당하는 수신자명이 없는 경우, 은행 서버로 입력정보를 전송하여 수신자명을 확인할 수 있다[9].
본 논문에서 제안한 이체정보 변조 자바스크립트 코드와 HTML 값 변경 코드는 별도의 프로그램으로 자동화되어 동작하지 않는다. BHO(Browser Help Object)를 이용하거나, 웹 브라우저 프로세서에 Fig.
본 논문에서는 국내 주요 은행의 인터넷 뱅킹 보안 현황에 대해서 알아보고 그 중에서도 이체시에 키보드 입력 보안을 담당하는 키보드 보안 모듈의 암호화 과정을 분석하였다. 사용자가 입력한 이체정보는 암호화를 담당하는 자바스크립트에서 암호화를 하였고, 본 논문에서 제시한 이체정보 변조 코드를 자바스크립트에 삽입하여 암호값을 분석하고 재조합하였다. 이체정보는 암호화되어 메모리에 저장되어 있지만, 스크립트 수준에서 암호값을 변조하는 것이 가능하였다.
만약 계좌이체번호 목록에 사용자가 입력한 입금계좌번호에 해당하는 수신자명이 없는 경우, 은행 서버로 입력정보를 전송하여 수신자명을 확인할 수 있다[9]. 수신자명과 입금 계좌번호를 innerHTML을 이용하여 결과 화면을 변조한다.
제안 방법은 메모리 해킹 공격과 마찬가지로 정상 인터넷 뱅킹 사이트에 접속하고 보안 모듈이 설치되어 있더라도, 키보드 보안 모듈에 의한 이체번호 암호값을 변조할 수 있다. 하지만 자바스크립트를 이용한 계좌번호 변조의 한계도 있다.

대상 데이터

논문의 구성은 다음과 같다. 2장에서는 국내 인터넷 뱅킹 이체 프로토콜을 분석한다. 3장에서는 인터넷 뱅킹 이체 정보 변조와 이에 대한 대응 방안 관련 논문들을 살펴본다.
는 국내 주요 은행의 키보드 보안 모듈을 정리한 내용이고, 크게 3개 회사 제품을 사용하고 있다. 본 논문에서는 3개 회사 제품 중 한 개 회사 제품을 선택하여 분석하였다.

성능/효과

2. 은행에서 이체입력 html페이지를 사용자 컴퓨터에 전달하고 컴퓨터는 이체 입력화면을 보여준다.
5. 은행은 암호값을 확인하고 수신계좌번호의 수신자명을 포함한 이체정보확인 html 페이지를 전달하고 컴퓨터는 이체정보확인 화면을 보여준다.
또한 해당 논문에서는 입금계좌번호가 키보드 보안으로 암호화되어 있기 때문에 스크립트 수준에서는 조작하기 어렵다고 하였다. 그러나 본 논문에서 제안한 방법은 스크립트 수준에서 입급계좌번호의 변조가 가능함을 보였다.
이체정보는 암호화되어 메모리에 저장되어 있지만, 스크립트 수준에서 암호값을 변조하는 것이 가능하였다. 또한 사용자가 정상 인터넷 뱅킹 사이트에 접속하여 보안 모듈이 작동하였음에도 불구하고 이체정보를 변조하는 자바스크립트로 원하는 입금계좌번호의 암호값으로 변조하고 이체정보 확인 페이지도 수정하여 실제 피싱 공격이 가능함을 보였다.
사용자가 입력한 이체정보는 암호화를 담당하는 자바스크립트에서 암호화를 하였고, 본 논문에서 제시한 이체정보 변조 코드를 자바스크립트에 삽입하여 암호값을 분석하고 재조합하였다. 이체정보는 암호화되어 메모리에 저장되어 있지만, 스크립트 수준에서 암호값을 변조하는 것이 가능하였다. 또한 사용자가 정상 인터넷 뱅킹 사이트에 접속하여 보안 모듈이 작동하였음에도 불구하고 이체정보를 변조하는 자바스크립트로 원하는 입금계좌번호의 암호값으로 변조하고 이체정보 확인 페이지도 수정하여 실제 피싱 공격이 가능함을 보였다.
MITB(Man-In-The-Browser) 취약점을 분석한 [9] 논문은 자바스크립트 삽입 공격을 이용한 이체금액 변조와 자주 이체한 계좌목록을 이용한 입금 계좌번호 변경 기법을 수행했다. 자바스크립트 조작으로 사용자가 입력한 입금계좌번호를 취소하고 이체 계좌목록에 있는 다른 계좌번호로 변경하는 것이 가능함을 보였다. 사용자가 입력한 입금계좌번호는 공격자의 프로그램에 의해서 새로 생긴 가짜 입력 폼에 입력되게 된다.

후속연구

본 논문에서 제안한 방식은 난독화된 자바스크립트에 대한 한계가 있지만, 향후 메모리 해킹 공격을 통해서 메모리에서 이체정보 암호값을 직접 변조 가능하도록 연구할 예정이다.

참고문헌 (10)

The Bank of Korea, "Use of Internet Baning Services during 2014," Feb. 2015.
Financial News, "phishing attack status of Korean banks," http://www.fnnews.com/news/201502161501395040, Feb. 2015.
Seung-hyun Kim, Dae-sun Choi, Seung-hun Jin, Sung-hoon Lee, "Geo-location based QR-Code authentication scheme to defeat active real-time phishing attack," In Proceedings of the 2013 ACM workshop on Digital identity management, pp. 51-62, Nov. 2013.
Han-wook Lee and Hyu-keun Shin, "Study on strong authentication to defeat memory hacking attack," Korea Institute of Information Security and Cryptology, 23(6), pp. 67-75, Dec. 2013.
SoftCamp, "Secure KeyStroke 4.0," http://www.softcamp.co.kr/, Jun. 2015.
Raon Secure, "TouchEnKey," https://www.raonsecure.com, Jun. 2015.
AhnLab, "Ahnlab Online Security 2.0," http://www.ahnlab.com/kr/site/product/productView.do?prodSeq34, Jun. 2015.
w3schools.com, "HTML DOM innerHTML Property," http://www.w3schools.com/jsref/prop_html_innerhtml.asp, Jun. 2015.
Young-jae Maeng, Dong-oh Shin, Sung-ho Kim, Dae-hun Nyang, Mun-Kyu Lee, "A vulnerability analysis of MITB in online banking transactions in Korea," Internet and Information Security, 1(2), pp. 101-118, Nov. 2010.
Chang-hun Yu and Jong-sub Moon, "A study on protecting for forgery modification of user-input on webpage," Journal of The Korea Institute of Information Security & Cryptology, 24(4), pp. 635-643, Aug. 2014.

원문보기 상세보기

이 논문을 인용한 문헌

저자의 다른 논문 :

LOADING...

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

자바스크립트 변조를 이용한 국내 인터넷 뱅킹 키보드 암호화 모듈 우회 공격
An Attack of Defeating Keyboard Encryption Module using Javascript Manipulation in Korean Internet Banking 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

성능/효과

후속연구

참고문헌 (10)

이 논문을 인용한 문헌

저자의 다른 논문 :

연구과제 타임라인

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

자바스크립트 변조를 이용한 국내 인터넷 뱅킹 키보드 암호화 모듈 우회 공격 An Attack of Defeating Keyboard Encryption Module using Javascript Manipulation in Korean Internet Banking 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

성능/효과

후속연구

참고문헌 (10)

이 논문을 인용한 문헌

저자의 다른 논문 :

김승현 (8) 최대선 (26) 진승헌 (48)

연구과제 타임라인

전체(0) 논문(0) 특허(0) 보고서(0)

전체(0) 논문(0) 특허(0) 보고서(0)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

자바스크립트 변조를 이용한 국내 인터넷 뱅킹 키보드 암호화 모듈 우회 공격
An Attack of Defeating Keyboard Encryption Module using Javascript Manipulation in Korean Internet Banking 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper