대부분의 웹사이트나 정보시스템은 사용자를 식별하고 인증하기 위하여 ID/PW(Identification/Password) 기술을 사용하고 있다. 그러나 ID/PW 기술은 보안에 취약하다. 또한 사용자는 ID와 PW를 기억해야하고, 패스워드는 쉽게 예측하지 못하도록 영문자, 숫자, 특수문자 등을 조합하여 복잡한 패스워드를 사용해야 하고, 주기적으로 패스워드를 변경해야 한다. 이에 본 논문에서는 외장 스토리지에 사용자 인증정보를 저장하여 사용자를 인증하는 방법을 제안하였다. 이를 통해 다른 사람이 ID와 PW가 알게 되더라도 인증정보가 저장된 외장 스토리지가 없이는 사용자 인증이 되지 않는다. 사용자 인증정보는 사용자가 로그인에 성공할 때마다 새로운 인증정보가 생성되어 외장 스토리지에 저장된다. 따라서 제안한 사용자 인증 방법은 기존의 ID/PW 기술을 활용하는 웹사이트나 다양한 정보시스템 등에서 활용된다면 보안성을 크게 향상시키고, 사용자의 ID만을 사용하기 때문에 사용자의 편의성도 크게 향상될 것으로 기대한다.
대부분의 웹사이트나 정보시스템은 사용자를 식별하고 인증하기 위하여 ID/PW(Identification/Password) 기술을 사용하고 있다. 그러나 ID/PW 기술은 보안에 취약하다. 또한 사용자는 ID와 PW를 기억해야하고, 패스워드는 쉽게 예측하지 못하도록 영문자, 숫자, 특수문자 등을 조합하여 복잡한 패스워드를 사용해야 하고, 주기적으로 패스워드를 변경해야 한다. 이에 본 논문에서는 외장 스토리지에 사용자 인증정보를 저장하여 사용자를 인증하는 방법을 제안하였다. 이를 통해 다른 사람이 ID와 PW가 알게 되더라도 인증정보가 저장된 외장 스토리지가 없이는 사용자 인증이 되지 않는다. 사용자 인증정보는 사용자가 로그인에 성공할 때마다 새로운 인증정보가 생성되어 외장 스토리지에 저장된다. 따라서 제안한 사용자 인증 방법은 기존의 ID/PW 기술을 활용하는 웹사이트나 다양한 정보시스템 등에서 활용된다면 보안성을 크게 향상시키고, 사용자의 ID만을 사용하기 때문에 사용자의 편의성도 크게 향상될 것으로 기대한다.
Most web sites, information systems use the ID/Password technique to identify and authenticate users. But ID/Password technique is vulnerable to security. The user must remember the ID/Password and, the password should include alphabets, numbers, and special characters, not to be predicted easily. U...
Most web sites, information systems use the ID/Password technique to identify and authenticate users. But ID/Password technique is vulnerable to security. The user must remember the ID/Password and, the password should include alphabets, numbers, and special characters, not to be predicted easily. User also needs to change your password periodically. In this paper, we propose the user authentication method that the user authentication information stored in the external storage to authenticate a user. If another person knows the ID/Password, he can't log in a system without the external storage. Whenever a user logs in a system, authentication information is generated, and is stored in the external storage. Therefore, the proposed user authentication method is the traditional ID/Password security technique, but it enhances security and, increases user convenience.
Most web sites, information systems use the ID/Password technique to identify and authenticate users. But ID/Password technique is vulnerable to security. The user must remember the ID/Password and, the password should include alphabets, numbers, and special characters, not to be predicted easily. User also needs to change your password periodically. In this paper, we propose the user authentication method that the user authentication information stored in the external storage to authenticate a user. If another person knows the ID/Password, he can't log in a system without the external storage. Whenever a user logs in a system, authentication information is generated, and is stored in the external storage. Therefore, the proposed user authentication method is the traditional ID/Password security technique, but it enhances security and, increases user convenience.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 ID/PW 기반의 사용자 인증 방법에서 자주 발생하는 패스워드(PW) 노출에 대한 해결 방안을 제안하였다. 즉, 제안 시스템에 사용자 등록 시 ID만을 등록하면 인증정보가 자동으로 생성되어 안전한 외장 스토리지에 저장되고, 제안 시스템에 등록된 사용자가 제안 시스템에 접근하는 경우 사용자가 자신의 ID와 외장 스토리지만을 제시하면 안전하게 사용자 인증이 된다.
본 논문에서는 외장 스토리지를 활용한 PW기반 사용자 인증기술의 단점을 해결하고자 한다. 즉, 기존의 ID/PW 방식에서 사용자 인증을 위한 보안 강도를 인증서 수준으로 높이면서, 사용자는 자신의 ID만 기억하고 인증정보는 외장 스토리지에 저장함으로써 가능한 간편 사용자 인증 기술이다.
본 논문에서는 응용시스템에서 사용하는 ID/PW 방식의 보안 취약점 개선 및 사용자 편의성 제고에 초점을 맞추었다. 즉, ID/PW 방식의 가장 큰 취약점은 사용자의 패스워드가 해킹을 통해 제3자에게 노출되는 경우, 응용시스템은 속수무책으로 당할 수밖에 없다.
본 논문에서는 이러한 시대적인 요구에 부응할 수 있는 대안으로 새로운 사용자인증 방안을 제안하였다. 즉, 가장 기본적이면서도 사용하기에 익숙한 ID/PW 인증 기술을 응용한 방안으로, 기존의 ID는 그대로 유지하고, 사용자 PW 대신에 정당한 사용자임을 나타내는 사용자 인증정보가 저장된 외장 스토리지를 제시하면 인증되는 방법이다.
보안서비스의 4대 요소는 기밀성, 무결성, 인증, 부인봉쇄이며, 그 중에서 인증은 사용자 인증과 메시지 인증으로 분류된다. 특히, 사용자 인증은 다양한 응용시스템으로의 접근 가능 여부를 결정하는 매우 중요한 보안 요소로, 본 논문에서 제안한 방법은 기존에 PW 기반의 사용자 인증 방법을 개선하는 것이다. 기존 ID/PW 기반의 사용자 인증시스템에서 ID/PW가 해커에게 노출되면, 해커는 해당 응용 시스템에 정당한 사용자로 로그인 막대한 피해를 줄 수 있다[3].
제안 방법
즉, 기존의 ID/PW 방식에서 사용자 인증을 위한 보안 강도를 인증서 수준으로 높이면서, 사용자는 자신의 ID만 기억하고 인증정보는 외장 스토리지에 저장함으로써 가능한 간편 사용자 인증 기술이다. 또한, 제안시스템은 응용 시스템에 제한 없이 도입이 편리하도록 설계 하였으며 사용자는 외장 스토리지만 있으면 사용자 등록과 응용 시스템에 사용이 가능하도록 하였다.
본 장에서는 기존의 ID/PW, 인증서, 지문, OTP, 참고 문헌[3] 등의 사용자 인증방법과 비교하였다.
이러한 취약점을 보완하기 위해 복잡하고 추가적인 비용을 요구하는 PKI(Public Key Infrastructure) 기반의 인증서 방식을 도입하였다. 이러한 PKI 기술은 인터넷 상의 전자상거래를 안전하게 사용하고 관리하기 위한 정보보호표준 방식으로, 발급 받은 인증서를 이용 하여 인터넷 상의 사용자 간의 전자서명과 암호화를 지원한다[13].
이를 위해, 기존의 여러 가지 사용자 인증 방법과 비교하여 제안시스템의 우수성을 객관적으로 제시하였다.
즉, 사용자의 ID가 해킹공격에 의해 노출되더라도, 외장 스토리지에 저장된 인증정보가 없으면 사용자 인증에 성공할 수 없는 안전성이 보장된 방안이다. 이를 위해서 사용자가 소지하고 있는 외장 스토리지(예. USB 메모리 등)에 사용자 인증정보를 저장하고, 필요시 이를 제시하도록 하였다.
제안 시스템은 최초 사용자가 ID/PW를 등록 시 ID만 입력하면 그에 대응되는 사용자인증정보와 응용시스템 인증정보 파일을 자동으로 생성하여 외장 스토리지에 암호화되어 저장한다. 응용시스템 사용자로 등록된 사용자가 응용 시스템에 접근 시 자신의 ID와 소지하고 있는 외장 스토리지에 저장된 인증정보를 응용시스템에서 불러와 사용자를 인증하는 시스템이다.
따라서 가장 중요한 사용자 인증 강도를 높이면서도 사용의 수월성을 확보할 수 있는 새로운 방안으로 외장 스토리지를 활용한 PW기반 사용자 인증기술이 제안되었다[3]. 제안기법은 ID/PW 기술을 준용하면서 인증정보를 외장 스토리지에 저장하여 사용자 인증 강도와 사용의 수월성을 제고한 방안이다. 하지만, 이 기술은 사용자 패스워드를 항상 기억하여 입력해야 하는 번거로움이 내재되어 있다.
본 논문에서 제안한 시스템은 참고문헌[3]을 개선한 것이다. 즉, 사용자 인증을 위해 기존의 ID/PW 방식에서 PW를 입력받지 않고, 외장스토리지에 저장된 사용자 인증정보를 활용할수 있도록 하여 보안성을 높이고, 시스템 구축비용을 낮추며 사용자의 편리성을 가질 수 있도록 고안하였다.
성능/효과
제안 방안은 사용자 인증정보를 외장 스토리지에 저장하고 인증정보 활용시마다 재구성 함으로써, 기존의 ID/PW 방식의 보안 취약점인 패스워드 노출 취약성을 완전히 해결하였으며, 복잡하고 어려운 사용자 패스워드를 주기적으로 변경할 필요성이 없어졌다. 따라서 제안 방안은 ID/PW 기반의 사용자 인증 방식을 사용하는 대부분의 정보시스템에서 외장 스토리지와 조합하여 활용 가능하다.
[표 2]에서 살펴본 바와 같이 제안 시스템은 패스워드를 입력받지 않아서 주기적인 패스워드의 변경이 요구되지 않고, 영문자/숫자/특수문자 등의 조합규칙을 준수하거나 기억하지 않아도 되어 사용자의 편의성을 크게 향상 시켰다. 또한 인증정보는 해당 세션에서만 사용하는 1회성이므로 재사용이 불가능하고, 암호화 되어 저장되므로 위변조 가능성이 적으면서도 보안성이 뛰어남을 알 수 있다. 마지막으로, 저렴한 외장 스토리지를 별도의 포맷이나 변경 없이 바로 활용할 수 있어 휴대가 편리하고 작은 비용으로 시스템을 구축하여 보안성을 향상시킬 수 있는 장점이 있다.
제안 방안은 사용자 인증정보를 외장 스토리지에 저장하고 인증정보 활용시마다 재구성 함으로써, 기존의 ID/PW 방식의 보안 취약점인 패스워드 노출 취약성을 완전히 해결하였으며, 복잡하고 어려운 사용자 패스워드를 주기적으로 변경할 필요성이 없어졌다. 따라서 제안 방안은 ID/PW 기반의 사용자 인증 방식을 사용하는 대부분의 정보시스템에서 외장 스토리지와 조합하여 활용 가능하다.
따라서 사용자는 복잡한 조합규칙을 갖는 패스워드를 기억하고 입력 할 필요가 없을 뿐만 아니라, 주기적으로 패스워드를 변경하지 않아도 동일한 안전성을 보장하는 새롭고 간편한 사용자인증 기술이다. 즉, 사용자의 ID가 해킹공격에 의해 노출되더라도, 외장 스토리지에 저장된 인증정보가 없으면 사용자 인증에 성공할 수 없는 안전성이 보장된 방안이다. 이를 위해서 사용자가 소지하고 있는 외장 스토리지(예.
본 논문에서는 ID/PW 기반의 사용자 인증 방법에서 자주 발생하는 패스워드(PW) 노출에 대한 해결 방안을 제안하였다. 즉, 제안 시스템에 사용자 등록 시 ID만을 등록하면 인증정보가 자동으로 생성되어 안전한 외장 스토리지에 저장되고, 제안 시스템에 등록된 사용자가 제안 시스템에 접근하는 경우 사용자가 자신의 ID와 외장 스토리지만을 제시하면 안전하게 사용자 인증이 된다. 또한, 인증이 완료될 때마다 새로운 인증정보를 생성하여 외장 스토리지에 저장하고 사용자가 제안 시스템에 재접속 시 새로운 인증정보를 사용한다.
후속연구
이 기술을 통해서 ID/PW기술에서 발생하는 대부분의 보안 취약점을 해소하였다. 또한 응용시스템의 제약 없이 손쉽게 구현이 가능하고, 추가적인 소요 비용에 대한 부담이 적어서 범용적인 활용을 기대할 수 있을 것으로 본다.
향후 연구방향으로는 다양한 외장 스토리지(USB, 스마트폰 등)에 사용자 인증정보를 안전하게 저장하는 기술을 개발하고, 이를 다양한 정보시스템에 적용하며, 사용자 인증정보를 통합관리가 가능하도록 지속적인 연구가 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
공인인증서의 장점과 단점은 무엇인가?
사용자 인증기술로 공인인증서를 사용하는 것은 보안상 안전성은 매우 높지만, 이를 활용하기 위한 부대비용이 많이 들고, 사용자의 편의성은 떨어진다. 이로 인해 안전성을 높이면서 사용자의 편의성을 제공하는 공인인증서를 대체하는 새로운 사용자 인증방법이 필요하다[3].
ID/PW 방식이란 어떤 방식인가?
이러한 방식으로 가장 널리 사용되는 방식은 ID/PW 방식이다. 이는 사용자 등록 시, 사용자가 제시한 식별자(ID, Identifier)와 패스워드(PW, Password)를 응용 시스템에 저장한다. 사용자 등록된 이후에는 응용 시스템이 사용자에게 ID와 PW를 요구하며, 입력된 ID와 PW가 응용 시스템에 저장된 내용과 일치하면 응용 시스템으로의 접근을 허용하는 인증 기술이다. 하지만, 응용 시스템에 저장된 ID/PW 정보가 해킹에 의해 노출되거나 시스템 관리자가 ID/PW 정보를 악의적으로 이용 하는 경우 막대한 피해를 입을 수 있다.
사용자 인증 기술에는 무엇이 있는가?
사용자 인증 기술로는 단순한 ID/PW 방식[12], OTP 방식[4][5][9][10], 공인인증서[13], 보안카드[6], 지문인식[7][8][11] 등 다양한 기술들이 있다. 하지만, 우리나라에서 많이 사용하는 공인인증서를 제외하고는 안전한 전자상거래를 위한 사용자 인증기술은 다양하지 않다[3].
※ AI-Helper는 부적절한 답변을 할 수 있습니다.