[논문]인터넷 뱅킹 서비스 보안기술의 현황과 미래

이경률; 임강빈; 서정택

doi:10.7472/jksii.2017.18.2.31

인터넷 뱅킹 서비스 보안기술의 현황과 미래
Status and Future of Security Techniques in the Internet Banking Service 원문보기

Journal of Internet Computing and Services = 인터넷정보학회논문지, v.18 no.2, 2017년, pp.31 - 42

이경률 (R&BD Center for Security and Safety Industries (SSI), Soonchunhyang University) , 임강빈 (Dept. of Information Security Engineering, Soonchunhyang University) , 서정택 (Dept. of Information Security Engineering, Soonchunhyang University)

초록
AI-Helper

인터넷 뱅킹 서비스가 보편화되면서 많은 사용자들이 온라인을 통한 재화의 교환이 가능하였다. 하지만 이러한 이점에도 불구하고 인터넷 뱅킹 서비스에서 존재하는 보안위협에 의하여 사고사례가 지속적으로 발생하는 실정이다. 이러한 문제점을 보완하기 위하여 인터넷 뱅킹 서비스의 전 구간에 걸쳐 다양한 보안기술이 적용되었으며, 본 논문에서는 금융기관 구간과 네트워크 구간에 적용된 보안기술에 대한 조사 결과를 서술한다. 본 논문의 결과를 통하여 내부자에 의하여 발생하는 피해사례와 구현과정에서의 취약점으로 인하여 발생하는 위협에 대응하기 위한 참고 자료로써 활용 가치가 있을 것으로 사료된다.

Abstract ▼ AI-Helper

As Internet banking service became popular, many users can exchange goods by online. Even though this advantage, there are incident cases in the Internet banking service due to security threats. In order to counteract this problem, various security techniques have been applied over whole area in the Internet banking service. Therefore, we described that analyzed results of security techniques applied in the financial institutions area and network communication area in this paper. We consider that this paper will be useful as a reference to protect security threats occurred by insiders and vulnerabilities in implementation.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

이에 인터넷 뱅킹 서비스에서 활용하는 온라인 본인확인수단의 안전성을 제공하기 위하여 다양한 보안기술이 연구되었다. 따라서 본 논문에서는 인터넷 뱅킹 서비스의 안전성을 확보하고자 연구된 보안기술을 네트워크 영역, 금융기관 영역으로 분류하고 각 기술에 대하여 조사한 결과를 상세히 서술하고자 한다.
본 논문에서는 인터넷 뱅킹 서비스에서 발생하는 보안 위협에 대응하기 위하여 인터넷 뱅킹 전 구간에 적용된 보안기술 중 금융기관 구간과 네트워크 구간에 적용된 보안기술을 조사하고 분류한 결과를 서술하였다. 금융기 관 구간과 네트워크 구간은 보안이 매우 강화된 구조를 이루고 있어 공격자에게는 주요한 공격대상은 아니지만, 내부자에 의하여 발생하는 피해사례와 구현과정에서의 취약점으로 인하여 발생하는 피해사례가 존재하므로 이 러한 위협에 대응하기 위한 참고 자료로써 활용 가치가 있을 것으로 기대된다.

제안 방법

2005년 5월, 인터넷 뱅킹 서비스에서의 해킹사건이 발생됨으로 인하여 기밀성, 무결성, 가용성, 부인방지와 같이 외부로부터의 침입에 대응하기 위하여 본 논문에서 분석한 다양한 보안기술을 적용하였다. 이러한 보안기술은 암호화 기반의 기술을 토대로 검증된 수학적 도구를 활용함으로써 사용자 인증 및 전달되는 데이터의 안전성을 제공하며, 그 효용성이 충분히 입증되었다.
사용자 구간에서의 보안기술은 키보드 보안 프로그램,PKI 응용 프로그램, 종단 간 암호화, 해킹 방지 프로그램,개인 방화벽, 이동식 매체 보안, 역공학 방지기술로 분류된다. 금융기관과 네트워크 구간에서는 공개되지 않은 환경과 암호학적으로 안전하게 구성되어 공격자가 공격을 시도하기 위해서는 많은 시간과 노력이 필요하여 의욕을 상실하거나 공격 자체가 불가능하므로 공격대상을 보통 사용자 구간으로 선택하는 경우가 많아 이를 대응하기 위한 많은 기술이 연구되었다.
그리고 통신 과정에서 발생한 오류들은 alert 프로토콜을 통하여 처리된다. 이 프로토콜에서는 클라이언트와 서버가 상호인증을 수행하고, 암호 알고리즘과 암호키,MAC 알고리즘 등의 파라미터를 설정한다. Handshake 프로토콜은 full handshake 프로토콜과 abbreviated handshake 프로토콜로 구성되며, full handshake에 대한 동작과정을(그림 3)에 나타내었다[15].
인터넷 뱅킹 서비스에서 사용자가 입력하는 거래정보를 인터넷 뱅킹 서버로 전송하기 위하여 HTML 문서를 암호화하여 전송한다. 따라서 전송되는 HTML 문서에는 거래와 관련된 정보가 포함되므로 기밀성이 보장되어야 한다.

성능/효과

2005년 5월, 인터넷 뱅킹 서비스에서의 해킹사건이 발생됨으로 인하여 기밀성, 무결성, 가용성, 부인방지와 같이 외부로부터의 침입에 대응하기 위하여 본 논문에서 분석한 다양한 보안기술을 적용하였다. 이러한 보안기술은 암호화 기반의 기술을 토대로 검증된 수학적 도구를 활용함으로써 사용자 인증 및 전달되는 데이터의 안전성을 제공하며, 그 효용성이 충분히 입증되었다. 하지만 암호화 기반의 기술이 아닌 이를 활용하는 과정 및 환경에서 발생하는 문제점이 드러나고 있어, 이를 대응하기 위한 추가적인 기술이 도입되는 추세이다.

후속연구

본 논문에서는 인터넷 뱅킹 서비스에서 발생하는 보안 위협에 대응하기 위하여 인터넷 뱅킹 전 구간에 적용된 보안기술 중 금융기관 구간과 네트워크 구간에 적용된 보안기술을 조사하고 분류한 결과를 서술하였다. 금융기 관 구간과 네트워크 구간은 보안이 매우 강화된 구조를 이루고 있어 공격자에게는 주요한 공격대상은 아니지만, 내부자에 의하여 발생하는 피해사례와 구현과정에서의 취약점으로 인하여 발생하는 피해사례가 존재하므로 이 러한 위협에 대응하기 위한 참고 자료로써 활용 가치가 있을 것으로 기대된다.
또한 많은 다양한 기술이 지나치게 복합적으로 구성됨으로써 이로 인하여 발생하는 문제점 및 취약점, 그리고 성능 저하 등으로 이어지며, 사용자가 사용하기 어렵거나 불편하도록 구성됨으로써 비효율적인 측면이 존재한다. 따라서 현재의 다양한 기술적인 요소들을 제공하면서도 보다 단순화된 구조를 가지는 통합 프레임워크 및 응용 등을 지원하기 위한 설계가 필요할 것으로 사료된다.
향후 연구로는 본 논문에서 분류한 보안기술이 적용되 어 있음에도 불구하고 발생이 가능한 추가적인 보안위협, 그리고 내부자에 의하여 발생하는 위협에 대응하기 위한 연구가 필요할 것으로 사료된다.

질의응답

핵심어	질문	논문에서 추출한 답변
	CCTV란 무엇인가?	CCTV는 고정된 장소에 설치되어 촬영하는 카메라로써 직접적으로 통제에 관여하지는 않지만, 사고를 예방하거나 증거를 확보하여 신속히 대처하는데 기여한다. 과거에는 특정 장소를 촬영하는 기능만을 제공하였지만, 현재는 지능화된 기술과 융합되어 통제된 구역에 침입할 경우 경고를 발생하거나 선택된 사람에 대한 추적기능 등을 제공함으로써 더욱 신속한 대처가 가능하다.
	금융기관 구간에서의 보안기술은 어떻게 분류되는가?	금융기관 구간에서의 보안기술은 물리 보안기술,DDoS 공격 대응기술, 침입 탐지/차단 시스템, 웹 공격 탐지 및 대응기술, 데이터베이스 보안기술, 이상거래 탐지기술, 업무 연속성 계획(BCP, Business Continuity Planning),로그 모니터링 기술로 분류된다. 금융기관 구간은 보안이 매우 강화된 구조를 이루고 있어 공격자에게는 주요한 공격대상은 아니지만, 내부자에 의한 피해 사례가 존재한다.
	CCTV가 제공하는 기능은 어떻게 변화하였는가?	CCTV는 고정된 장소에 설치되어 촬영하는 카메라로써 직접적으로 통제에 관여하지는 않지만, 사고를 예방하거나 증거를 확보하여 신속히 대처하는데 기여한다. 과거에는 특정 장소를 촬영하는 기능만을 제공하였지만, 현재는 지능화된 기술과 융합되어 통제된 구역에 침입할 경우 경고를 발생하거나 선택된 사람에 대한 추적기능 등을 제공함으로써 더욱 신속한 대처가 가능하다. 이러한 CCTV는 사각지역이 없도록 설치되어야 하고, 알람시스템과 연동시켜 알람이 작동할 경우 특정 장소를 집중적으로 녹화하거나 영상의 화질을 높이는 등의 기능을 제공할 수 있도록 한다[2].

참고문헌 (21)

Jaemo Seung, "Effective Electronic Financial Security Response System by Analyzing Domestic and International Electronic Financial Security Policies", Interdisciplinary Program of Information Security Graduate School of Chonnam National University, PH.D. thesis, Feb. 2011. http://www.riss.kr/search/detail/DetailView.do?p_mat_typebe54d9b8bc7cdb09&control_no4cf156faf6a619d7ffe0bdc3ef48d419#redirect
Financial Security Agency(FSA), "Technical report of information leakage threats and countermeasures", research report, 2010(13), Dec. 2010.
National law information center, "Guidelines for the protection of integrated information and communication facilities", Retrieved Feb., 15, 2017, from http://www.law.go.kr/LSW/admRulInfoP.do?admRulSeq2000000070960
Financial Security Agency(FSA), "DoS/DDoS attack countermeasure guidelines", research report, 2007(01), Oct. 2007.
Hyung-Ik Lee, "A Study on Real-time IP Blocking System about prevent of Internet Banking Fraud", Master's Thesis, Graduate School of Engineering & Technology, Korea University, Aug. 2010. http://www.riss.kr/link?idT12167198
K. Lee, J. Byun, M. Park, and K. Yim, "A Search-Mask Technique on Privacy-Severe Web Contents", Proceedings of the 2nd International Conference on Internet(ICONI), pp.809-810, Dec. 2010.
Jae-Chul Park, "Detection and classification of web-based attack for security of internet banking", Review of the Korea Institute of Information Security and Cryptology(KIISC), 18(5), pp.62-72, Oct. 2008. http://www.dbpia.co.kr/Journal/ArticleDetail/NODE01075878
D. E. Denning, "An Intrusion-Detection Model", Journal of the IEEE Transactions on Software Engineering, SE-13(2), pp.222-232, Feb. 1987. https://doi.org/10.1109/TSE.1987.232894

상세보기
C. Kruegel and G. Vigna, "Anomaly detection of web-based attacks", Proceedings of the 10th ACM Conference on Computer and Communications Security(ACM CCS), pp.251-261, Oct. 2003. https://doi.org/10.1145/948109.948144
M. Roesch, "Snort: Lightweight Intrusion Detection for Networks", Proceedings of the 13th USENIX Conference on System Administration, pp.229-238, Nov. 1999. http://static.usenix.org/publications/library/proceedings/lisa99/full_papers/roesch/roesch.pdf
Financial Security Agency(FSA), "DB encryption trend and security technology", research report, 2012(3), Sep. 2012.
Financial Security Agency(FSA), "E-finance new authentication technology", research report, Mar. 2011.
Financial Security Agency(FSA), "Comparison and analysis of BCP(Business Continuity Planning) of financial sector in major countries", research report, 2013(2), Jul. 2013.
Kyungroul Lee, Kangbin Yim, et al., "Implementation of large-capacity secure storage system for backing up confidential information based on USB 3.0", Small and Medium Business Administration, research report, May. 2012.
Jinwoo Lee, Junghyun Nam, Seungjoo Kim, and Dongho Won, "Present and Future of SSL/TLS, and WTLS", Review of Korea Institute of Information Security and Cryptology(KIISC), 14(4), pp.27-36, Aug. 2004. http://www.dbpia.co.kr/Journal/ArticleDetail/NODE00897965
Telecommunications Technology Association(TTA), "Security Threats Analysis and Management Methods in Electronic Financial Services", Technical report TTAR-12.0008, Dec. 2011. http://www.tta.or.kr/data/ttas_view.jsp?rn1&pk_numTTAR-12.0008
Financial Security Agency(FSA), "Application guide for end-to-end encryption", Security guide, 2007(2), Oct. 2007.
Jeong-Hoon Jeo, "A study on the classification systems of domestic security fields", Journal of the Korea Society of Computer and Information, 20(3), pp.81-88, Mar. 2015. https://doi.org/10.9708/jksci.2015.20.3.081

원문보기 상세보기
Jeong-hoon Jeon, Chnag Hoon Ahn, and Sang-Choon Kim, "Study on the physical vulnerability factors in the convergence IT environment", Journal of the Korea Convergence Security Association, 16(1), pp.59-68, Feb. 2016. https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiIdART002087087
Han-na You, Jae-Sik Lee, Jung-Jae Kim, Jae-Pio Park, Moon-Seog Jun, "A Study on the Two-channel Authentication Method which Provides Two-way Authentication using Mobile Certificate in the Internet Banking Environment", Journal of the Korean Institute of Communications and Information Sciences (KICS), 36(8), pp.939-946, Aug. 2011. https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiIdART001585271

원문보기 상세보기
Sang-ho Lee, Sung-ho Kim, Jeon-il Kang, Je-sung Byun, Dea-hun Nyang, Kyung-hee Lee, "A Method of Enhancing Security of Internet Banking Service using Contents-Based CAPTCHA", Journal of the Korea Institute of Information Security & Cryptology (KIISC), 23(4), pp.571-583, Aug. 2013. https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiIdART001795943

원문보기 상세보기

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증