[논문]USIM 정보를 이용한 사용자 인증 방안 설계 및 구현

이진우; 김선주; 조인준

doi:10.5392/jkca.2017.17.07.571

USIM 정보를 이용한 사용자 인증 방안 설계 및 구현
Design and Implementation of User Authentication System Using USIM Information 원문보기

한국콘텐츠학회논문지 = The Journal of the Korea Contents Association, v.17 no.7, 2017년, pp.571 - 578

이진우 (배재대학교 사이버보안학과) , 김선주 (한국정보통신기술협회) , 조인준 (배재대학교 사이버보안학과)

초록
AI-Helper

사용자가 스마트 기기 및 개인 PC를 통해 정보 시스템에 접근하기 위해서는 사용자 인증을 통한 정당한 사용자임을 증명해야한다. 이때 사용되는 사용자 인증 기술에는 ID/PW 기반 인증기술, OTP(One-Time-Password), 인증서, 보안카드, 지문인식 등 다양하다. 그 중에서 ID/PW 기반 인증기술은 사용자에게 익숙하지만 무작위 대입공격, 키로깅, 사전공격 등의 패스워드 공격에 취약하며 이러한 공격에 대응하기 위해 사용자는 복잡한 패스워드 조합 규정에 따라 주기적으로 패스워드를 변경해야한다. 본 논문에서는 기존 ID/PW 기반 인증 기술보다 보안성을 높이면서 패스워드를 사용하지 않고 스마트폰의 USIM 정보를 이용한 사용자 인증 시스템을 설계 및 구현하였다.

Abstract ▼ AI-Helper

In order to approach information system through smart device and pc, user has to authenticate him or herself via user authentication. At that time when user tries reaching the system, well-used user authentication technologies are ID/PW base, OTP, certificate, security card, fingerprint, etc. The ID/PWbased method is familiar to users, however, it is vulnerable to brute force cracking, keylogging, dictionary attack. so as to protect these attacks, user has to change the passwords periodically as per password combination instructions. In this paper, we designed and implemented a user authentication system using smartphone's USIM without using password while enhancing security than existing ID / PW based authentication technology.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

USIM ID 기반 어플리케이션 인증 방식은 기존의 S/N인증 기법의 온라인 환경이 보장되어야 한다는 단점과 공격자의 침입으로 인해 어플리케이션의 인증번호가 노출되거나 어플리케이션이 인증번호를 저장한 채로 불법 복제가 되어 배포가 될 수 있는 문제점을 해결하기 위해 제안되었다. 하지만 USIM ID가 노출이 되기 쉽고 최초 인증번호 발급하여 서버에 전송하기 전에 암호화 과정이 없어 전송 중 공격자의 중간자 공격에 의해 다른 ID가 들어오면 정상적인 인증을 할 수 없게 된다[10].
본 논문에서는 기존 ID/PW기반의 인증방식의 패스워드 노출 위험성과 불편한 패스워드 관리문제에 대한 해결방안을 제시하였다. 제안 시스템은 ID/PW 기반 인증방식의 패스워드를 스마트폰의 USIM 정보를 활용하여 매 세션마다 인증정보가 갱신되게 함으로써, 패스워드 노출 및 복잡한 패스워드 관리 등에 대한 문제점을 해결하였다.
본 논문에서는 스마트폰의 USIM 정보를 이용한 사용자 인증 시스템을 통해 사용자 인증 기능을 구현한 다양한 시스템에 저비용으로 높은 보안성을 제공할 수 있게 되었다. 이에 따라 기존의 사용자 인증 기술과 제안시스템과의 비교분석을 통하여 보안성과 효율성을 분석할 필요가 있다.
본 논문은 ID/PW 방식의 패스워드 노출 그리고 까다로운 패스워드 설정의 번거로움의 문제점을 보완한 사용자 인증 시스템을 설계 및 구현하였다.

제안 방법

본 논문에서 제안하는 시스템은 사용자가 웹 브라우저를 통해 접근 요청을 하면 스마트폰 어플리케이션을통해 본인 인증을 할 수 있도록 만들어졌다. 휴대가 편리한 스마트 폰을 통해서 언제 어디서든 사용자가 원할 때 본 시스템을 이용하여 원하는 정보 시스템에 접근할 수 있도록 구현하였다.
본 논문에서 제안하는 인증 시스템 해쉬 알고리즘을 통해 세션키 암호화키를 생성하고 있으며 사용자 인증과정에서 USIM의 정보 또는 난수가 위변조 될시 해시값 비교를 통해 무결성을 판별한다.
본 논문에서 제안한 시스템은 사용자가 웹 브라우저를 통해 정보시스템에 접근하여 사용자 인증요청 시, 안드로이드 스마트폰을 통해 사용자 인증을 받아 정보시스템에 접근할 수 있도록 구현하였다.
본 장에서는 ID/PW 방식, 인증서 방식, USIM ID 기반 방식 등과 비교하였다[7]. 기존 인증방법과 제안 시스템을 비교분석한 결과는 다음 [표 3]와 같다.
본 논문에서는 기존 ID/PW기반의 인증방식의 패스워드 노출 위험성과 불편한 패스워드 관리문제에 대한 해결방안을 제시하였다. 제안 시스템은 ID/PW 기반 인증방식의 패스워드를 스마트폰의 USIM 정보를 활용하여 매 세션마다 인증정보가 갱신되게 함으로써, 패스워드 노출 및 복잡한 패스워드 관리 등에 대한 문제점을 해결하였다. 또한 인증정보가 외부에 노출되더라도 공격자는 사용자의 스마트폰에 대한 USIM 정보를 알 수가 없으며, 만약 공격자가 USIM 정보를 획득했다고 하더라도 인증정보 구성 방식 및 난수 값을 알 수 없어서 인증정보를 새로 구성할 수 없다.
제안 시스템은 인증정보 생성모듈, 사용자 인증모듈, 인증정보 재구성 모듈로 구성된다.
최근에도 가장 널리 사용되는 ID/PW 기반의 사용자인증 시스템은 다양한 해킹공격에 대응하기 위해 복잡한 패스워드 조합규칙에 따라 생성된 사용하도록 강제하고, 주기적으로 패스워드 변경을 요구한다[9]. 제안시스템은 안드로이드 USIM 정보를 활용하여 패스워드를 복잡하게 설정하거나 주기적으로 변경할 필요가 없도록 하였다. 즉, 스마트폰의 USIM카드의 정보를 이용하여 생성된 인증정보가 사용자의 패스워드를 대체하고, 인증정보를 매 세션마다 갱신하도록 설계 및 구현하였다.
제안시스템은 안드로이드 USIM 정보를 활용하여 패스워드를 복잡하게 설정하거나 주기적으로 변경할 필요가 없도록 하였다. 즉, 스마트폰의 USIM카드의 정보를 이용하여 생성된 인증정보가 사용자의 패스워드를 대체하고, 인증정보를 매 세션마다 갱신하도록 설계 및 구현하였다. 제안된 방안을 통해 기존의 패스워드 해킹 공격에 대응이 가능하다.
본 논문에서 제안하는 시스템은 사용자가 웹 브라우저를 통해 접근 요청을 하면 스마트폰 어플리케이션을통해 본인 인증을 할 수 있도록 만들어졌다. 휴대가 편리한 스마트 폰을 통해서 언제 어디서든 사용자가 원할 때 본 시스템을 이용하여 원하는 정보 시스템에 접근할 수 있도록 구현하였다.

성능/효과

[표 3]와 같이 다른 시스템과 비교하여 보면 매번 패스워드를 변경할 필요가 없으며 또한 세션마다 재구성되는 인증정보를 통해 인증정보가 유출 되어도 재사용이 불가능하다. 그리고 사용되는 인증정보가 사용자 지식기반정보와 스마트폰 USIM 정보를 이용한 2-factor 인증으로 보안성이 더 높고, 본 시스템의 인증정보 암호화 과정과 인증 과정에서 인증정보가 위변조 되었는지 해시 알고리즘을 통해 판별하기에 기존 기술에 비해 기밀성 및 무결성이 뛰어나며, 그리고 언제든지 스마트폰을 통해 시스템에 접근할 수 있어 가용성 또한 높은 편이다.
본 논문에서 제안하는 시스템의 사용자 인증정보는 USIM 정보와 TimeStamp 그리고 공격자가 유추할 수없는 랜덤 한 숫자 값을 조합하여 만들어진 정보(Un(Usim S/N + TimeStamp + N₂))를 암호화하기 때문에 사용자가 스마트폰 혹은 USIM 카드를 분실 또는 탈취를 당하여도 세션 키를 알지 못하기 때문에 복호화에 실패하여 인가된 사용자만 접근 가능하다.
즉, 스마트폰의 USIM카드의 정보를 이용하여 생성된 인증정보가 사용자의 패스워드를 대체하고, 인증정보를 매 세션마다 갱신하도록 설계 및 구현하였다. 제안된 방안을 통해 기존의 패스워드 해킹 공격에 대응이 가능하다.

후속연구

따라서, 제안한 시스템을 통해 기업의 업무 시스템 및 학교 전산 시스템, 개인 웹 사이트 등 사용자 인증이 필요한 시스템의 보안성과 편의성을 크게 향상 시킬 것으로 기대된다. 하지만, 스마트폰을 분실 시 저장되어있는 인증정보의 폐기 및 복구 방안 그리고 제안한 방법보다 더 안전하게 인증정보를 저장 할 수 있는 방안대해서 향후에 연구가 되어야 하며 또한, 제안 시스템의 성능에 대한 검증이 이루어져야 한다.
따라서, 제안한 시스템을 통해 기업의 업무 시스템 및 학교 전산 시스템, 개인 웹 사이트 등 사용자 인증이 필요한 시스템의 보안성과 편의성을 크게 향상 시킬 것으로 기대된다. 하지만, 스마트폰을 분실 시 저장되어있는 인증정보의 폐기 및 복구 방안 그리고 제안한 방법보다 더 안전하게 인증정보를 저장 할 수 있는 방안대해서 향후에 연구가 되어야 하며 또한, 제안 시스템의 성능에 대한 검증이 이루어져야 한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	사용자 인증이란 무엇인가?	사용자 인증은 정보시스템에 접근하는 사용자가 정당한 사용자임을 확인하는 절차로, 사용자만 알고 있거나 해당 사용자만 소유하고 있는 것 등을 활용한다. 이러한 인증기술은 지식기반, 소유기반, 생체기반, 행위기반 등으로 구분할 수 있다[2].
	인증기술은 어떻게 구분지을 수 있는가?	사용자 인증은 정보시스템에 접근하는 사용자가 정당한 사용자임을 확인하는 절차로, 사용자만 알고 있거나 해당 사용자만 소유하고 있는 것 등을 활용한다. 이러한 인증기술은 지식기반, 소유기반, 생체기반, 행위기반 등으로 구분할 수 있다[2]. 지식기반 인증기술은 ID/PW, PIN번호 등의 사용자만 알고 있는 정보를 이용하는 사용자 인증 기술이다.
	USIM ID 기반 어플리케이션 인증 방식의 단점은 무엇인가?	USIM ID 기반 어플리케이션 인증 방식은 기존의 S/N인증 기법의 온라인 환경이 보장되어야 한다는 단점과 공격자의 침입으로 인해 어플리케이션의 인증번호가 노출되거나 어플리케이션이 인증번호를 저장한 채로 불법 복제가 되어 배포가 될 수 있는 문제점을 해결하기 위해 제안되었다. 하지만 USIM ID가 노출이 되기 쉽고 최초 인증번호 발급하여 서버에 전송하기 전에 암호화 과정이 없어 전송 중 공격자의 중간자 공격에 의해 다른 ID가 들어오면 정상적인 인증을 할 수 없게 된다[10].

참고문헌 (13)

N. Haller, C. Metz, P. Nesser, and M. Staraw, "A One-Time Password System," RFC 2289, IETF, 1998.
이상민, "최근 인증기술 관련 현황," 한국IT서비스산업협회, 2012(33).
조동욱, 신승수, "얼굴 생체 특징을 이용한 인증 시스템의 제안과 구현," 한국콘텐츠학회논문지, Vol.3, No.2, pp.24-30, 2003.

원문보기 상세보기
조상래, 조영섭, 김수형, "FIDO 2.0 범용인증기술 소개," 정보보호학회지, Vol.26, No.2, pp.14-19, 2016.

원문보기 상세보기
위유경, 곽진, "USIM을 활용한 스마트워크 사용자 및 디바이스 인증 기술 연구," 멀티미디어학회논문, Vol.16, No.3, pp.309-317, 2013(3).
나준채, "차세대 USIM 기술," TTA Journal No.116, pp.80-85, 2008(3).
인선준, "SIM, UIM과 USIM," TTA Journal No.83, pp.89-101, 2002(3).
김영수, 나중찬, 손승원, "패스워드 인증 프로토콜 동향," 전자통신동향분석, 제16권, 제6호, 2001(12).

원문보기 상세보기
김성제, 조용환, 이태우, "모바일 환경에서 USIM ID를 이용한 어플리케이션 인증 기법," 한국엔터테인먼트산업학회 학술대회 논문집, Vol.2, pp.99-106, 2011(11).
한진희, "스마트카드 플랫폼 기술," TTA Journal, No.90, pp.75-90, 2003(8).
ISO/IEC 7816-1 (1998): "Identification cards - Integrated circuit(s) cards with contacts, part1 : Physical characteristics."
최종석, 신승수, "스마트 카드를 이용한 원격 사용자 인증 구조," 한국콘텐츠학회논문지, Vol.9, No.2, pp.36-42, 2009.
문종식, 한승완, 이임영, "모바일 클라우드 컴퓨팅 환경의 스마트 디바이스용 일회용 인증서 기반 권한 관리 기술," 한국정보처리학회 춘계학술대회 논문집, 제18권, 제1호, pp.832-835, 2011.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증