$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

인터넷 뱅킹 서비스에서의 보안위협 분류 및 분석
Analysis and Classification of Security Threats based on the Internet Banking Service 원문보기

정보화 정책 = Informatization policy, v.24 no.2 = no.91, 2017년, pp.20 - 42  

이경률 (순천향대학교) ,  이선영 (순천향대학교) ,  임강빈 (순천향대학교)

초록
AI-Helper 아이콘AI-Helper

본 논문은 인터넷 뱅킹 서비스의 안전성을 평가하기 위한 보안위협을 분류하고 보안 요구사항을 제안하는데 그 목적이 있다. 분류한 보안위협은 기존에 발생하였던, 그리고 발생이 가능한 보안위협을 기반으로 분석하였으며, 이를 통하여 보안 요구사항을 제안하기 위한 기반을 다질 것으로 사료된다. 보안위협 도출을 위하여 인터넷 뱅킹 서비스의 구조를 금융기관 구간과 네트워크 구간, 사용자 구간으로 분류하였으며, 각 구간에서 발생하는 보안위협을 도출하였다. 특히, 사용자 구간이 상대적으로 취약하기 때문에 전체 서비스의 안전성을 확보하기 어려운 상황이므로 이를 중점적으로 분석하였다. 분석한 보안위협을 토대로 안전한 인터넷 뱅킹 서비스를 구성할 수 있을 것으로 예상된다.

Abstract AI-Helper 아이콘AI-Helper

In this paper, we focus on classification of security threats and definitions of security requirements for Internet banking service. Threats are classified based on the past and potential incidents, based upon which we will be able to propose security requirements. In order to identify security thre...

주제어

#인터넷 뱅킹   #보안 위협   #보안 요구사항   #공격 기술  

질의응답

핵심어 질문 논문에서 추출한 답변
금융기관에서의 보안위협은 무엇으로 분류되는가? 금융기관에서의 보안위협은 내부 시스템에서의 보안위협, 내부망에서의 보안위협, 내부 이용자에서의 보안위협으로 분류된다.
스크립트 삽입에 의한 보안위협은 무엇 때문에 발생하는 문제점인가? 스크립트 삽입에 의한 보안위협은 웹 페이지가 자바 스크립트로 구성되었기 때문에 발생하는 문제점으로, 인터넷 뱅킹 서버에서 제공하는 웹 페이지는 금융정보를 입력하는 필드만을 부분적으로 암호화하므로 스크립트 코드를 추가할 수 있다. 이와 같은 문제점으로 인하여 공격자에게 전송하는 스크립트 코드를 삽입함으로써 인터넷 뱅킹 서버로 전송하는 비밀정보를 탈취하는 보안위협이다(이수미·성재모, 2011; 성재모, 2011).
인터넷 뱅킹 서비스에서의 해킹사건과 같은 사고가 발생하는 대부분의 원인은 무엇인가? 이에 금융기관에서는 외부로부터의 위협에 대응하기 위하여 사용자 구간과 네트워크 구간, 금융기관 구간에 다양한 보안기술을 적용하였지만, 악의적인 공격자에 의한 사고사례가 지속적으로 발생하는 실정이다(이태헌, 2016). 이러한 사고가 발생하는 원인은 각 구간에 보안기술을 적용하더라도 그 환경이 가지는 취약점으로 인하여 발생하는 문제점이 대부분이어서 일부 구간에 보안위협과 보안 요구사항을 정의함으로써 근본적으로 발생하는 문제점을 해결하고자 하였다(강성구·서정택, 2012; 이형찬 외, 2011; 김종기·전진환, 2006; 조강유 외, 2013; 홍석원 외, 2012). 하지만 이러한 지표들이 전 구간에 걸쳐 전반적으로 포괄하는 보안위협에 대하여 정의되지 않은 실정이므로 근본적인 문제점을 보완하기 위해서는 기술적인 조사가 선행되어야 하며, 그 결과를 기반으로 보안 요구사항을 정의함으로써 안전성을 확보하기 위한 연구가 필요하다.
질의응답 정보가 도움이 되었나요?

참고문헌 (54)

  1. 강병탁 (2016). MITM 공격을 이용한 OTP 적용환경의 취약점 연구. 고려대학교 정보보호대학원 석사학위논문. 

  2. 강성구.서정택 (2012). "전기자동차 충전 인프라에서의 보안위협 및 보안요구사항 분석." 한국정보보호학회 학회지, 22(5): 1027-1037. 

  3. 강신범.정현철 (2005). "인터넷 뱅킹 해킹 유형과 대응 기술." 한국정보보호학회 학회지, 15(4): 29-38. 

  4. 금융보안연구원 (2007a). 전자금융 이용자 보안가이드. 서울: 금융보안연구원. 

  5. 금융보안연구원 (2007b). 종단간(End-to-End) 암호화적용 가이드. 서울: 금융보안연구원. 

  6. 금융보안연구원 (2009). FLEX 기반 전자금융서비스 보안기술 분석 보고서. 서울: 금융보안연구원. 

  7. 금융보안연구원 (2010a). 금융부문 스마트폰 보안 가이드. 서울: 금융보안연구원. 

  8. 금융보안연구원 (2010b). 정보유출 위협 및 대응방안 연구보고서. 서울: 금융보안연구원. 

  9. 금융보안연구원 (2011). 국내 피싱사이트 주요특징 및 대응방안. 2011(20). 서울: 금융보안연구원. 

  10. 금융보안연구원 (2012). 피싱사이트의 진화와 탐지. 2012(6). 서울: 금융보안연구원. 

  11. 금융보안연구원 (2014). 전자금융환경의 거래서명 인증기술 동향 및 도입 시 고려사항. 2014(2). 서울: 금융보안연구원. 

  12. 김영환.김성진.이영록.노봉남 (2006). "인터넷뱅킹 클라이언트 보안 강화를 위한 새로운 마우스 이용 비밀번호 입력 기술." 한국정보과학회 학술발표논문집, 33(2C): 606-611. 

  13. 김종기.전진환 (2006). "컴퓨터 바이러스 통제를 위한 보안행위의도 모형." 정보화정책, 13(3): 174-196. 

    상세보기

  14. 김창균.박일환 (2008). "금융IC카드에 대한 부채널분석공격 취약성 분석." 한국정보보호학회 논문지, 18(1): 31-39. 

  15. 맹영재.신동오.김성호.양대헌.이문규 (2010). "국내 인터넷뱅킹 계좌이체에 대한 MITB 취약점 분석." Internet and Information Security, 1(2): 101-108. 

  16. 박성용.문종섭 (2009). "보안 인증을 통한 ActiveX Control 보안 관리 모델에 관한 연구.", 한국정보보호학회 논문지, 19(6): 113-119. 

  17. 박재철 (2008). "인터넷 뱅킹 보안을 위한 웹 공격의 탐지 및 분류." 한국정보보호학회 학회지, 18(5): 62-72. 

  18. 백명한 (1998). 인터넷 뱅킹 구축을 위한 보안 기술에 관한 연구. 한양대학교 산업대학원 석사학위논문. 

  19. 성재모 (2011). 국내외 전자금융 보안정책 분석을 통한 효과적인 전자금융 보안 대응체계. 전남대학교 대학원 박사학위논문. 

  20. 신동휘.최윤성.박상준.김승주.원동호 (2007). "네이트온 메신저의 사용자 인증 메커니즘에 대한 취약점 분석." 한국정보보호학회 논문지, 17(2): 67-80. 

  21. 심희원 (2011). 온라인뱅킹의 확장된 상호인증 및 부인방지를 위한 거래서명 인증기술. 전남대학교 대학원 박사학위논문. 

  22. 유한나.이재식.김정재.박재표.전문석 (2011). "인터넷 뱅킹 환경에서 사용자 인증 보안을 위한 Two-Channel 인증 방식." 한국통신학회 논문지, 36(8): 939-946. 

  23. 이상진.황소연.김경곤.여성구 (2007). "인터넷 뱅킹 서비스 취약점 분석 및 보안대책." 정보.보안논문지, 7(2): 119-128. 

    원문보기 상세보기

  24. 이수미.성재모 (2011). "국내 전자금융 현황 및 보안위협 분류." 한국정보보보학회 학회지, 21(7): 53-61. 

  25. 이영실 (2010). 2차원 바코드와 스트림 암호 기반의 모바일 OTP를 활용한 온라인 뱅킹용 인증 시스템. 동서대학교 디자인 & IT 전문대학원 석사학위논문. 

  26. 이원철.이석래.이재일.김인석 (2005). "전자금융거래시스템 취약점 분석 및 안전성 강화방안 연구." 한국정보보호학회 학회지, 15(4): 43-48. 

  27. 이재식 (2013). 안전한 인터넷 뱅킹 서비스 제공 모델 및 인증 기법 설계. 숭실대학교 대학원 박사학위 논문. 

  28. 이재익 (2008). 전자금융거래 보안강화를 위한 종단간 암호화와 고려사항. 성균관대학교 정보통신대학원 석사학위논문. 

  29. 이정호 (2008). "전자금융 침해사고 예방 및 대응 강화 방안." 한국정보보호학회 학회지, 18(5): 1-20. 

  30. 이태헌 (2016). "텍스트 마이닝을 이용한 정보보호인식 분석 및 강화 방안 모색." 정보화정책, 23(4): 76-94. 

    원문보기 상세보기

  31. 이한욱.신휴근 (2013). "메모리 해킹 공격에 강건한 사용자 인증수단 고찰." 한국정보보호학회 학회지, 23(6): 67-75. 

  32. 이형익 (2010). 부정이체 방지를 위한 실시간 IP 차단 시스템에 관한 연구. 고려대학교 공학대학원 석사학위논문. 

  33. 이형찬.이정현.손기욱 (2011). "스마트워크 보안 위협과 대책." 한국정보보호학회 학회지, 21(3): 12-21. 

  34. 장상수 (2015). "정보보호총론." 정보보호 위험관리(Information Security Risk Management, 403-437. 파주: 생능출판사. 

  35. 장우석.이광우.최동현.정학.이병희.최윤성.김승주.원동호 (2005). "인터넷 뱅킹 보안." 대한전자공학회 학회지, 32(11): 37-50. 

  36. 장윤근 (2009). 인터넷뱅킹 사용자 입력정보의 안전성 강화를 위한 대체방안에 대한 연구. 동국대학교 국제정보대학원 석사학위논문. 

  37. 조강유.민상식.성재모 (2013). "전자금융 보안위협 관련 대응기술 연구 추진 방안." 한국정보보호학회 학회지, 23(6): 49-53. 

  38. 조혜숙.김승주.원동호 (2010). "인터넷 뱅킹 시스템 관련 표준 분석 및 보호프로파일 개발에 관한 연구." 한국정보처리학회 논문지, 17-C(3): 223-232. 

  39. 조창현 (2010). 보안성이 강화된 인터넷 뱅킹 환경을 위한 이동통신 이중채널 인증 기법에 관한 연구. 숭실대학교 대학원 박사학위논문. 

  40. 정순채 (2012). 전자금융사기 등 정보통신망 이용 금융사기 대응방안 고찰. 경희대학교 국제법무대학원 석사학위논문. 

  41. 한국정보통신기술협회 (2011). 전자금융서비스 위협 분석 및 관리 방안, 기술보고서 TTAR-12.0008. 경기도 성남시: 한국정보통신기술협회. 

  42. 홍석원.이명호.이철환 (2012). "한국형 스마트 그리드에서의 보안 위협 및 보안 요구사항." 정보과학학회 학회지, 30(1): 66-74. 

  43. 황소연 (2008). 인터넷 뱅킹 서비스 취약점 분석 및 보안대책. 고려대학교 정보경영공학전문대학원 석사학위논문. 

  44. Asokan, N., Niemi, V. & Nyberg, K. (2005). "Man-in-the-Middle in Tunnelled Authentication Protocols." LNCS 3364: 28-41. 

  45. Callegati, F., Cerroni, W. & Ramilli, M. (2009). "Man-in-the-Middle Attack to the HTTP Protocol." Journal of the IEEE Security & Privacy, 7(1): 78-81. 

  46. Dolev, D. & Yao, A. C. (1981). "On the Security of Public Key Protocols." Proceeding of the IEEE Ann. Sym. Foundations of Computer Science, 350-357. 

  47. Hiltgen, A., Kramp, T. & Weigold, T. (2006). "Secure Internet Banking Authentication." Journal of the IEEE Security & Privacy, 4(2): 21-29. 

    상세보기 crossref

  48. Hole, K. J., Moen, V. & Tjostheim, T. (2006). "Case study: online banking security." IEEE Security & Privacy, 4(2): 14-20. 

    상세보기

  49. Hole, K. J., Klingsheim, A. N., Netland, L. H., Espelid, Y., Tjostheim, T. & Moen, V. (2009). "Risk Assessment of a National Security Infrastructure." IEEE Security & Privacy, 7(1): 34-41. 

    상세보기 crossref

  50. Kalige, E. & Burkey, D. (2012). "A Case Study of Eurograbber: How 36 Million Euros was Stolen via Malware." http://www.naavi.org/cl_editorial_12/Eurograbber_White_Paper.pdf. (Retrieved on Apr. 6, 2017). 

  51. Knight, W. (2005). "Caught in the net [Internet and e-mail security issues]." IEEE Review, 51(7): 26-30. 

  52. Larcom, G. & Elbirt, A. J. (2006). "Gone phishing." IEEE Technology and Society Magazine, 25(3): 52-55. 

    상세보기 crossref

  53. Opplinger, R., Rytz, R. & Holderegger, T. (2009). "Internet Banking: Client-Side Attacks and Protection Mechanism." Journal of the IEEE Computer, 42(6): 27-33. 

  54. Schneier, B. & Kelsey, J. (1998). "Cryptographic Support for Secure Logs on Untrusted Machines." Proceedings of the USENIX Security Symposium: 53-62. 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

BRONZE

출판사/학술단체 등이 한시적으로 특별한 프로모션 또는 일정기간 경과 후 접근을 허용하여, 출판사/학술단체 등의 사이트에서 이용 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로