[논문]메시지 인증 코드를 위한 디지털 인감

정창훈; 신동오; 장룡호; 양대헌; 이경희; 염흥열

doi:10.13089/jkiisc.2016.26.2.345

메시지 인증 코드를 위한 디지털 인감
Digital Legal Seal for Message Authentication Code 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.26 no.2, 2016년, pp.345 - 358

정창훈 (인하대학교) , 신동오 (인하대학교) , 장룡호 (인하대학교) , 양대헌 (인하대학교) , 이경희 (수원대학교) , 염흥열 (순천향대학교)

초록
AI-Helper

이 논문에서는 디지털 인감이라는 보안 도구를 제안한다. 디지털 인감은 종이에 출력된 바코드를 스캔하고, 스캔한 바코드 데이터와 그 데이터에 대한 HMAC 태그를 디스플레이 장치에 출력한다. 생성된 HMAC 태그는 온라인 또는 오프라인에서 사용자 본인을 확인하거나 메시지의 인증에 사용될 수 있다. 우리는 디지털 인감을 온라인 뱅킹에 적용하여 보안카드나 OTP의 부족한 점을 보완할 수 있는지에 대해 검토한다. 또한 오프라인 차용증에 일반 인감대신 사용하여 인감의 위조 가능성을 낮출 수 있는지도 검토한다.

Abstract ▼ AI-Helper

In this paper, we present a security tool which called Digital Legal Seal. The Digital Legal Seal scans a barcode on a paper and print it with the tag generated by Hash-based Message Authentication Code(HMAC) in text format on a display device. The result of HMAC can be used for user authentication or secure message transmission on both online and offline. We examine not only how the Digital Legal Seal can make up the weak points of security card and OTP (One Time Password), but also the possibility of reducing the forgery of promissory note on offline.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

이 논문에서는 디지털 인감을 온라인 뱅킹에 적용하면 보안카드와 일회용 비밀번호의 취약점을 보완할 수 있다는 것의 대해서 검토하였다. 그리고 오프라인 차용증에 적용하면 일반 인감보다 위조당하기 어렵다는 것도 검토하였다. 디지털 인감에 대한 사용자 편의성을 높이는 방법, 바코드를 종이로 프린트 하지 않고 모니터에서 바코드 스캔하기 등은 추후 연구 주제로 남기며, 사물인터넷(IoT, Internet of Things) 등의 다양한 분야에서 활용될 것으로 기대된다.
사용자가 디지털 인감을 이용하여 바코드를 스캔하면, 스캔된 데이터와 HMAC의 태그가 디스플레이 장치에 출력된다. 사용자는 디스플레이 장치에 표시된 데이터를 확인하고, 데이터를 올바르게 스캔한 것이 확인되면 온라인 뱅킹 계좌 이체 등의 내용에 대한 무결성을 보장하거나, 사용자를 인증하기 위한 목적으로 사용할 수 있다.
이 논문에서 제안하는 디지털 인감은 사용자가 바코드를 정확하게 스캔해야지만, 올바른 바코드의 데이터와 HMAC의 태그가 출력된다. 우리는 디지털 인감과 스캔 보조대를 이용하여 사용자들이 편리하게 사용할 수 있는지에 대한 실험을 진행하였다. 실험은 3명의 피험자에게 디지털 인감과 스캔 보조대를 이용하여 연속으로 10번씩 스캔하게 하였으며, 우리는 스캔 성공률과 스캔하는 시간을 측정하여 사용자 편의성을 검토하였다.
디지털 인감은 어떠한 데이터가 들어있는 바코드를 스캔하여, 그 데이터와 HMAC 태그를 출력해주는 도구이다. 이 논문에서는 디지털 인감을 온라인 뱅킹에 적용하면 보안카드와 일회용 비밀번호의 취약점을 보완할 수 있다는 것의 대해서 검토하였다. 그리고 오프라인 차용증에 적용하면 일반 인감보다 위조당하기 어렵다는 것도 검토하였다.

가설 설정

디지털 인감은 제작될 때 일련번호를 부여받고 일련번호와 매칭되는 임의의 비밀키를 내장한다. 금융기관은 일련번호와 비밀키를 안전하게 등록하고 관리한다고 가정한다. 금융기관이란 개별 은행이나 증권사가 될 수 있으며, 현재의 OTP통합인증센터와 유사하게 디지털 인감 통합인증센터 등에서 디지털 인감의 제작, 등록 관리를 대행할 수도 있다.
스캔한 데이터는 아두이노 우노로 전송된다. 디지털 인감은 HMAC을 위한 비밀키를 가지고 있다고 가정한다. 디지털 인감은 스캔한 데이터를 숫자 또는 영문으로 변환하고, 이를 HMAC의 입력으로 받아 태그를 출력한다.
정부 표준 차용증 관리 시스템은 안전하게 차용증을 관리해주는 시스템의 예시이며, 모든 차용증은 정부에서 관리한다고 가정한다. 또한 이 시스템은 신뢰할 수 있는 시스템이며, 디지털 인감의 일련번호와 비밀키를 안전하게 등록 및 관리하고, 관리되는 디지털 인감 정보를 이용하여 스스로 차용증 발급 등 부정한 행위를 하지 않는다고 가정한다.
금융기관은 사용자 식별자와 사용자에게 발급된 디지털 인감의 일련번호를 안전한 방법으로 전산망에 저장한다. 사용자는 디지털 인감에 저장된 비밀키를 명시적으로 알 필요는 없으며, 디지털 인감으로부터 비밀키를 추출하는 것은 어렵다고 가정한다.
우선, 온라인 뱅킹 계좌 이체 등의 데이터로부터 생성된 바코드를 종이에 출력하고 이를 스캔 보조대에 결합한다. 이때, 디지털 인감은 서버와 사전에 공유된 비밀키를 가진다고 가정한다. 사용자가 디지털 인감을 이용하여 바코드를 스캔하면, 스캔된 데이터와 HMAC의 태그가 디스플레이 장치에 출력된다.
디지털 인감은 제작될 때 일련번호를 부여받고 일련번호와 매칭되는 임의의 비밀키를 내장한다. 정부 표준 차용증 관리 시스템은 안전하게 차용증을 관리해주는 시스템의 예시이며, 모든 차용증은 정부에서 관리한다고 가정한다. 또한 이 시스템은 신뢰할 수 있는 시스템이며, 디지털 인감의 일련번호와 비밀키를 안전하게 등록 및 관리하고, 관리되는 디지털 인감 정보를 이용하여 스스로 차용증 발급 등 부정한 행위를 하지 않는다고 가정한다.

제안 방법

사용자는 온라인 뱅킹 계좌 이체 페이지에서 본인의 이름(영문 네 자리), 수신자의 계좌번호(숫자 네 자리), 금액(숫자 아홉 자리), 날짜(숫자 여섯 자리)를 입력하고 바코드를 출력한다. 그리고 디지털 인감을 이용하여 바코드를 스캔함으로써 총 영문 4자리, 숫자 19자리의 데이터와 HMAC의 태그를 디지털 인감의 디스플레이 장치를 통하여 확인한다. 표시된 내용에 문제가 없을 경우 다섯 자리로 표현되는 HMAC의 태그를 ‘인증 코드’란에 입력한다.
의 첫 번째 줄은 데이터 11100011을 의미한다. 디지털 인감은 계속해서 세로 방향으로 바코드를 스캔하는데, 이 때 바코드의 첫 번째 셀을 검은색과 흰색이 반복되도록 구성함으로써 디지털 인감으로 하여금 바코드 데이터의 변경을 감지할 수 있도록 설계하였다. 따라서 실제 의미 있는 데이터는 첫 번째 셀을 제외한 7개 셀로 표현 된다.
사용자는 계좌 이체 정보 등을 바코드로 변환하여 프린트한 다음, 비밀키가 저장되어 있는 디지털 인감으로 스캔하여 HMAC 태그를 생성한다. 이 과정을 통해 우리는 공격자로부터 비밀키를 안전하게 보호할 수 있다.
우리는 디지털 인감과 스캔 보조대를 이용하여 사용자들이 편리하게 사용할 수 있는지에 대한 실험을 진행하였다. 실험은 3명의 피험자에게 디지털 인감과 스캔 보조대를 이용하여 연속으로 10번씩 스캔하게 하였으며, 우리는 스캔 성공률과 스캔하는 시간을 측정하여 사용자 편의성을 검토하였다.
이 논문에서 제안하는 디지털 인감은 우선 데이터를 바코드화 하여 종이로 출력하고, 디지털 인감으로 출력된 바코드를 스캔하면 바코드 데이터와 그에 대한 해시 기반 메시지 인증 코드(HMAC, Hash-based Message Authentication Code)의 태그(Tag)가 출력되는 도구이다. 우리는 이 디지털 인감을 온라인 뱅킹에 적용하여 사용자 본인인증 및 안전한 온라인 뱅킹 서비스를 구현할 수 있음을 보인다.
이 논문에서 제안하는 디지털 인감은 적은 비용으로 제작 가능한 소형의 장치로, 온·오프라인에서 인감의 역할을 대신할 수 있는 인증도구이다.
는 금융기관 중 하나인 은행에서 제공하는 온라인 뱅킹으로 계좌 이체를 하는 과정에 대한보다 구체적인 사용 예시이다. 이 논문은 디지털 인감의 아이디어와 프로토타입 제작을 통한 실현 가능성 검토에 중점을 두므로, 프로토타입 디지털 인감의 크기에서 비롯되는 한계를 고려하여 메시지의 길이와 그 과정을 축약하여 설명한다.
이때, 사물이 검은색이라면 적외선을 거의 반사하지 못하고, 사물이 흰색이라면 적외선을 잘 반사하는데, 이 차이를 이용하여 검은색과 흰색을 구별한다. 이 연구에서는 종이에 출력된 바코드를 스캔하기 위하여 디지털 인감에 TCRT5000 센서를 부착하였다.

대상 데이터

36×35 픽셀의 크기를 갖는 흰색 또는 검은색 셀을 가로 8개, 세로 27개로 출력하여 하나의 의미 있는 데이터를 구성한다.
사용자는 온라인 뱅킹 계좌 이체 페이지에서 본인의 이름(영문 네 자리), 수신자의 계좌번호(숫자 네 자리), 금액(숫자 아홉 자리), 날짜(숫자 여섯 자리)를 입력하고 바코드를 출력한다. 그리고 디지털 인감을 이용하여 바코드를 스캔함으로써 총 영문 4자리, 숫자 19자리의 데이터와 HMAC의 태그를 디지털 인감의 디스플레이 장치를 통하여 확인한다.

성능/효과

5초였다. 우리는 이러한 실험을 통해서 평균 성공률 90%, 평균 스캔 시간 2.8초라는 결과를 얻을 수 있었고, 그로인해 사용자들이 사용하는데 그리 큰 불편함이 있지 않은 것을 확인할 수 있었다. 그렇지만 평균 성공률 90%라는 것은 10%의 확률로 오류가 발생할 수도 있으며, 사용자들이 사용하는데 어느 정도의 불편함이 존재한다는 의미이다.
이 논문에서 제안하는 디지털 인감은 사용자가 바코드를 정확하게 스캔해야지만, 올바른 바코드의 데이터와 HMAC의 태그가 출력된다. 우리는 디지털 인감과 스캔 보조대를 이용하여 사용자들이 편리하게 사용할 수 있는지에 대한 실험을 진행하였다.
는 실험 결과이다. 피험자 1은 10번 중 9번을 제대로 스캔하였으며 스캔을 하는데 걸린 평균 시간은 2.3초였고, 피험자 2는 10번 모두 제대로 스캔하였으며 스캔 평균 시간은 2.5초 그리고 피험자 3은 10번 중 8번을 올바르게 스캔하였고 스캔 평균 시간은 3.5초였다. 우리는 이러한 실험을 통해서 평균 성공률 90%, 평균 스캔 시간 2.

후속연구

그리고 오프라인 차용증에 적용하면 일반 인감보다 위조당하기 어렵다는 것도 검토하였다. 디지털 인감에 대한 사용자 편의성을 높이는 방법, 바코드를 종이로 프린트 하지 않고 모니터에서 바코드 스캔하기 등은 추후 연구 주제로 남기며, 사물인터넷(IoT, Internet of Things) 등의 다양한 분야에서 활용될 것으로 기대된다. 조밀한 구성을 통하여 더 많은 데이터를 담게 되면 이 논문의 예시보다 더 긴 메시지에 대한 인증을 수행할 수 있을 것으로 기대하나, 스캔의 정확도를 높이기 위한 연구도 추가적으로 수행되어야 할 것이다.
디지털 인감에서 생성하는 HMAC의 태그는 거래 내용에 기반을 두므로 비대면 거래 내용에 대한 인증이 가능하며 데이터의 무결성도 보장된다. 디지털 인감의 비밀키는 대칭키이므로 디지털 인감 자체로는 부인방지의 기능을 제공하기 어려우나, 공인인증서를 이용하여 거래 내용과 HMAC 태그를 확인하고, 이에 대해 전자서명을 함으로써 부인방지의 기능을 수행할 수 있을 것으로 기대한다.
이를 통해 비대면 거래의 내용 확인 및 인증 코드를 작성한 뒤 확인된 내용에 대하여 현재의 공인인증서 전자서명 시스템으로 전자 서명한다면 부인방지의 기능까지 제공할 수 있을 것으로 기대된다. 또한 다채널 인증 과정인 ARS, SMS 인증 과정을 대체할 수 있을 것으로 기대된다.
그렇지만 평균 성공률 90%라는 것은 10%의 확률로 오류가 발생할 수도 있으며, 사용자들이 사용하는데 어느 정도의 불편함이 존재한다는 의미이다. 우리는 이러한 불편함을 해소하기 위하여, 성공률 향상과 스캔 시간 단축에 대한 연구는 추후 연구로 남긴다.
36×35 픽셀의 크기를 갖는 흰색 또는 검은색 셀을 가로 8개, 세로 27개로 출력하여 하나의 의미 있는 데이터를 구성한다. 이는 8개의 TCRT5000 센서를 이용할 때 A4용지 한 장으로 스캔할 수 있는 최대 크기의 바코드 데이터로, 센서의 크기가 작아진다면 동일한 공간에 더 많은 데이터를 담을 수 있을 것으로 기대된다.
이 논문에서 제작한 디지털 인감은 프로토타입이며, 약 4만원의 비용으로 제작되었고 유지비용으로는 배터리 교체 비용만 요구된다. 이러한 비용은 제품화되어 대량생산 시스템이 갖추어졌을 시 상당히 저렴해질 것으로 예상되며, 각종 보안사고와 보안에 대한 중요성이 대두되는 사회분위기상 보안을 위해 충분히 투자할 수 있는 금액이 될 것이라 기대된다.
이를 통해 비대면 거래의 내용 확인 및 인증 코드를 작성한 뒤 확인된 내용에 대하여 현재의 공인인증서 전자서명 시스템으로 전자 서명한다면 부인방지의 기능까지 제공할 수 있을 것으로 기대된다. 또한 다채널 인증 과정인 ARS, SMS 인증 과정을 대체할 수 있을 것으로 기대된다.
디지털 인감에 대한 사용자 편의성을 높이는 방법, 바코드를 종이로 프린트 하지 않고 모니터에서 바코드 스캔하기 등은 추후 연구 주제로 남기며, 사물인터넷(IoT, Internet of Things) 등의 다양한 분야에서 활용될 것으로 기대된다. 조밀한 구성을 통하여 더 많은 데이터를 담게 되면 이 논문의 예시보다 더 긴 메시지에 대한 인증을 수행할 수 있을 것으로 기대하나, 스캔의 정확도를 높이기 위한 연구도 추가적으로 수행되어야 할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	전자 금융이란 무엇인가?	전자 금융이란 각종 금융 서비스에 정보통신기술을 적용시킨 것으로서, 온라인 뱅킹, 텔레뱅킹, ATM 거래 등을 의미한다. 전자 금융 시스템을 이용할 경우, 은행에 직접 가지 않아도 된다는 점과 은행 영업시간이 종료되어도 은행 서비스를 이용할 수있다는 점 등 다양한 장점이 있다.
	전자 금융 시스템의 장점은 무엇인가?	전자 금융이란 각종 금융 서비스에 정보통신기술을 적용시킨 것으로서, 온라인 뱅킹, 텔레뱅킹, ATM 거래 등을 의미한다. 전자 금융 시스템을 이용할 경우, 은행에 직접 가지 않아도 된다는 점과 은행 영업시간이 종료되어도 은행 서비스를 이용할 수있다는 점 등 다양한 장점이 있다. 이러한 장점으로 온라인 뱅킹 중 특히 인터넷 뱅킹의 이용률은 점점 증가하고 있는 추세이다.
	보안카드와 비교하여 일회용 비밀번호의 장점과 단점은 무엇인가?	일회용 비밀번호(OTP, One Time Password) 는 일정 주기마다 일회성의 비밀번호를 생성하여 인증을 하는 보안 수단으로, 동일한 비밀번호의 반복적 사용으로 인한 보안 취약점을 해결할 수 있는 인증 수단이다. OTP는 보안카드보다 높은 수준의 비대면 인증 도구이지만 제작비용이 보안카드보다 높아 사용자가 유료로 구입해야한다. 일회용 비밀번호를 사용 하기 위해서는 은행에서 직접 Fig.

참고문헌 (12)

Payment & Settlement Systems Departm ent, "Payment & Settlement Newsletter," http://www.bok.or.kr/contents/total/ko/boardView.action?menuNaviId109&boardBean.brdid119573&boardBean.menuid109, The Bank of Korea, Vol. 2015, No. 8, Aug. 2015.
H. Seo and H. Kim, "Design and Implementation of Physical Secure Card for Financial Security," Journal of the Korea Institute of Information and Communication Engineering, Vol. 19, No. 4, pp. 855-863, Apr. 2015.

원문보기 상세보기
H. Lee, "Press Releases," http://www.ofthepeople.kr/bbs/board.php?bo_tableb_0203&wr_id188, Republic of Korea Nat ional Assembly, Sep. 2015.
M. Wu, S. Garfinkel and R. Miller, "Secure Web Authentication with Mobile Phones," DIMACS Workshop on Usable Privacy and Security Software, 2014.
Y. Maeng, D. Shin, S. Kim, D. Nyang and M. Lee, "A Vulnerability Analysis of MITB in Online Banking Transactions in Korea," Internet and Information Security, Vol. 1, No. 2, pp. 101-118, Nov. 2010.
Electronic Finance Division, "Press Releases," http://www.fsc.go.kr/info/ntc_news_view.jsp?bbsidBBS0030&page1&sch1&sword&r_url&menu7210100&chk29613&no29612, Financial Services Commission, Jan. 2014.
M. Bellare, J. Kilian and P. Rogaway, "The Security of the Cipher Block Chaining Message Authentication Code," Journal of Computer and System Sciences, Vol. 61, Issue 3, pp. 362-399, Dec. 2000.

상세보기
M. Bellare, R. Canetti and H. Krawczyk, "Keying Hash Functions for Message Authentication," Lecture Notes in Computer Science, Vol. 1109, pp. 1-15, July. 2001.
Arduino UNO, http://www.arduino.cc/en/Main/ArduinoBoardUno
TCRT5000, http://www.vishay.com/docs/83760/tcrt5000.pdf
T. Kim, J. Lee and D. Lee, "Study on Mobile OTP(One Time Password) Mechanism based PKI for Preventing Phishing Attacks and Improving Availability," Korea Institute of Information Security and Cryptology, Vol. 21, No. 1, pp. 15-26, Feb. 2011.
B. Kang and H. Kim, "A study on the vulnerability of OTP implementation by using MITM attack and reverse engineering," Korea Institute of Information Security and Cryptology, Vol. 21. No. 6, pp. 83-99, Dec. 2011.

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증