스마트폰의 대중화와 금융서비스의 간편화에 따라 모바일 금융 서비스를 이용하는 비중이 늘어나고 있다. 하지만 기존의 금융 서비스를 위해 개발된 보안 키패드는 확률 분석 공격이 가능하며 보안 취약성을 지니고 있다. 이에 따라 본 논문에서는 이중 터치를 기반으로 한 보안 키패드 제안하며 이를 구현하였다. 이에 앞서 국내 모바일 금융 서비스의 모바일뱅킹과 모바일 간편 결제 서비스에서 사용되는 기존 보안키패드의 종류를 알아보고 취약점을 분석하였다. 더불어 본 연구에서 제안한 이중터치보안키패드와 기존의 보안키패드의 안전성을 기존의 키패드 공격(Brute Force Attack, Smudge Attack, 키로깅 공격, 어깨너머공격, Joseph Bonneau)의 인증 프레임워크를 활용하여 비교하였다. 분석된 결과에 따라 본 논문에서 제안하는 이중 터치를 통한 보안 키패드가 높은 안전성을 보여줌을 확인할 수 있다. 이중 터치를 통한 보안 키패드를 활용하면 보다 안전한 금융서비스를 이용할 수 있으며 그 외 모바일 환경에서 이뤄지는 서비스에 적용하여 안전성을 높일 수 있다.
스마트폰의 대중화와 금융서비스의 간편화에 따라 모바일 금융 서비스를 이용하는 비중이 늘어나고 있다. 하지만 기존의 금융 서비스를 위해 개발된 보안 키패드는 확률 분석 공격이 가능하며 보안 취약성을 지니고 있다. 이에 따라 본 논문에서는 이중 터치를 기반으로 한 보안 키패드 제안하며 이를 구현하였다. 이에 앞서 국내 모바일 금융 서비스의 모바일뱅킹과 모바일 간편 결제 서비스에서 사용되는 기존 보안키패드의 종류를 알아보고 취약점을 분석하였다. 더불어 본 연구에서 제안한 이중터치보안키패드와 기존의 보안키패드의 안전성을 기존의 키패드 공격(Brute Force Attack, Smudge Attack, 키로깅 공격, 어깨너머공격, Joseph Bonneau)의 인증 프레임워크를 활용하여 비교하였다. 분석된 결과에 따라 본 논문에서 제안하는 이중 터치를 통한 보안 키패드가 높은 안전성을 보여줌을 확인할 수 있다. 이중 터치를 통한 보안 키패드를 활용하면 보다 안전한 금융서비스를 이용할 수 있으며 그 외 모바일 환경에서 이뤄지는 서비스에 적용하여 안전성을 높일 수 있다.
Due to the popularity of smartphones and the simplification of financial services, the number of mobile financial services is increasing. However, the security keypads developed for existing financial services are susceptible to probability analysis attacks and have security vulnerabilities. In this...
Due to the popularity of smartphones and the simplification of financial services, the number of mobile financial services is increasing. However, the security keypads developed for existing financial services are susceptible to probability analysis attacks and have security vulnerabilities. In this paper, we propose and implement a security keypad based on dual touch. Prior to the proposal, we examined the existing types of security keypads used in the mobile banking and mobile payment systems of Korean mobile financial businesses and analyzed the vulnerabilities. In addition, we compared the security of the proposed dual touch keypad as well as existing keypads using the authentication framework and the existing keypad attack types (Brute Force Attack, Smudge Attack, Key Logging Attack, and Shoulder Surfing Attack, Joseph Bonneau). Based on the results, we can confirm that the proposed security keypad with dual touch presented in this paper shows a high level of security. The security keypad with dual touch can provide more secure financial services, and it can be applied to other mobile services to enhance their security.
Due to the popularity of smartphones and the simplification of financial services, the number of mobile financial services is increasing. However, the security keypads developed for existing financial services are susceptible to probability analysis attacks and have security vulnerabilities. In this paper, we propose and implement a security keypad based on dual touch. Prior to the proposal, we examined the existing types of security keypads used in the mobile banking and mobile payment systems of Korean mobile financial businesses and analyzed the vulnerabilities. In addition, we compared the security of the proposed dual touch keypad as well as existing keypads using the authentication framework and the existing keypad attack types (Brute Force Attack, Smudge Attack, Key Logging Attack, and Shoulder Surfing Attack, Joseph Bonneau). Based on the results, we can confirm that the proposed security keypad with dual touch presented in this paper shows a high level of security. The security keypad with dual touch can provide more secure financial services, and it can be applied to other mobile services to enhance their security.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 모바일 금융 서비스에 사용되는 보안키패드들의 종류를 조사해보고 보안취약성을 분석하여 기존의 보안키패드를 보완할 수 있는 키패드를 제안한다. 그리고 기존의 키패드의 보안 취약점을 분석하고 분석한 내용을 근거로 기존의 키패드보다 개선된 내용을 증명한다.
본 실험은 모바일 금융 서비스에서 사용 중인 보안 키패드를 보완 할 수 있는 키패드를 개발하여 안전성을 분석하고 증명하기 위함이다. 실험 구현 환경은 Table 2와 같다.
본 절에서는 3절에서 제안한 키패드의 안전성을 분석할 것이다. 기존의 키패드에 대한 공격들에 대해서 제안한 키패드가 안전함을 보일 것이며 Joseph Bonneau가 제안한 인증 비교 프레임워크[9, 10]를 사용하여 편의성(Usability), 활용성(Deployability), 안전성(Security) 측면에서 기존 키패드와 비교 및 분석할 것이다.
이때 공격자는 터치 좌표가 <1, 3>, <2, 1>, <2, 1>, <1, 1>이며 (숏, 숏, 롱, 롱)임을 알 수 있다. 이 정보를 가지고 공격자가 비밀번호를 유추할 확률을 생각해보자. 먼저 P(A1)= 임을 알 수 있으며, P(A1∩A2)= 즉, 공격자가 사용자의 4자리 비밀번호를 유추할 수 있는 확률은 P(A1∩A2∩B3∩B4)= 이다.
가설 설정
이중 랜덤 배열이란 제안하는 키패드의 구조가 숏터치와 롱터치가 가능하여 하나의 버튼에서 두 개의 숫자 값을 입력할 수 있는 부분의 숏터치, 롱터치 부분 두 곳을 각각 랜덤 배열하게 설계하였기 때문이다. 이제, 구현된 제안하는 키패드에서 실제로 비밀번호를 가정하고 입력해본다.
공격자가 ‘5(S), 6(S), 7(L), 3(L)’을 비밀번호로 사용하고 제안한 키패드를 키패드로 사용하는 사용자의 비밀번호를 키로깅 공격을 통해서 유추한다고 가정하자.
하지만 제안한 키패드의 경우 사용자가 비밀번호를 입력할 때 Long Touch와 Short Touch로 나누어지므로 공격자가 사용자의 입력 과정을 엿본다 하더라도 공격자는 사용자의 비밀번호를 탈취할 수 없다. 사용자가 (1,1), (2,3)을 터치하고 공격자는 사용자의 터치 좌표를 어깨너머 공격을 통해 탈취했다 가정하자. 공격자는 사용자의 터치 좌표로부터 사용자가 (1, 1)에서는 1 또는 3을 터치했다는 것을 알 수 있고 (2,3)에서는 0 또는 2를 터치했음을 알 수 있다.
제안 방법
그리고 기존의 키패드의 보안 취약점을 분석하고 분석한 내용을 근거로 기존의 키패드보다 개선된 내용을 증명한다. 또한 제안하는 키패드의 안전성은 4가지 공격(Brute Force Attack, Smudge Attack, 키로깅 공격, 어깨너머공격(Shoulder Surfing Attack))에 대하여 비교분석하여 성능을 증명한다.
기존에 사용되고 있는 키패드는 Brute force attack, 키로깅 공격, 어깨너머공격, Smudge Attack에서 취약점을 보이고 있기 때문에 이를 보완할 수 있는 키패드를 제안한다. 본 논문에서 제안하는 키패드는 키패드 마다 각각 2개의 숫자로 이루어져 이중성을 가지고 있는 멀티터치 키패드이다.
기존에 사용되고 있는 키패드는 Brute force attack, 키로깅 공격, 어깨너머공격, Smudge Attack에서 취약점을 보이고 있기 때문에 이를 보완할 수 있는 키패드를 제안한다. 본 논문에서 제안하는 키패드는 키패드 마다 각각 2개의 숫자로 이루어져 이중성을 가지고 있는 멀티터치 키패드이다.
키패드의 레이아웃을 각각 num_btn1~num_btn10 까지로 구성했다. 구성된 레이아웃에 각각 롱터치 모션을 주기 위해 롱클릭 리스너를 지정하는 메서드인 setOnLong ClickListener를 선언하고 롱클릭 이벤트 핸들러인 onLong Click이 발생되면 해당 이벤트가 발생되게 하여 롱터치모션을 구현할 수 있도록 코드를 구성하였다. Fig.
8은 제안하는 키패드가 구현된 형태이다. 사용자의 편의를 위해 유저 인터페이스형식은 기존의 키패드와 유사한 형태지만 각각의 버튼마다 두 개의 크고 작은 숫자로 구분시켜 구성했다. 큰 숫자는 롱터치, 작은 숫자는 숏터치이며, 구분된 숫자가 랜덤으로 구성되는 이중성을 가지고 있는 형태로 멀티 터치가 가능하다는 장점을 가지고 있다.
본 절에서는 3절에서 제안한 키패드의 안전성을 분석할 것이다. 기존의 키패드에 대한 공격들에 대해서 제안한 키패드가 안전함을 보일 것이며 Joseph Bonneau가 제안한 인증 비교 프레임워크[9, 10]를 사용하여 편의성(Usability), 활용성(Deployability), 안전성(Security) 측면에서 기존 키패드와 비교 및 분석할 것이다.
본 절에서는 앞서 살펴본 키패드를 사용한 인증 기법들을 Joseph Bonneau[9]가 제안한 인증 비교 프레임워크를 이용하여 안전성 측면에서 비교 분석한다. 분석에 앞서 Joseph Bonneau에서 안전성을 분석하기 위해 제안하는 속성들은 물리 관찰 저항성, 사용자 위조 저항성, 추측 공격 저항성, 내부 관찰자 저항성, 정보 노출 저항성, 피싱 공격 저항성, 도난 저항성, 인증기관 부재, 명확한 사용자 동의, 비연결성이 있다.
본 절에서는 기존의 키패드와 제안하는 키패드의 편의성 측면을 분석한다. 전체적으로 분석해보았을 때 제안하는 키패드의 경우 사용자가 비밀번호를 기억해야하는 측면에서는 기존의 키패드들과 큰 차이가 없으며 비밀번호를 입력할 시에 조금의 절차가 추가될 뿐 기존과 큰 차이가 없다.
성능/효과
본 논문에서는 모바일 금융 서비스에 사용되는 보안키패드들의 종류를 조사해보고 보안취약성을 분석하여 기존의 보안키패드를 보완할 수 있는 키패드를 제안한다. 그리고 기존의 키패드의 보안 취약점을 분석하고 분석한 내용을 근거로 기존의 키패드보다 개선된 내용을 증명한다. 또한 제안하는 키패드의 안전성은 4가지 공격(Brute Force Attack, Smudge Attack, 키로깅 공격, 어깨너머공격(Shoulder Surfing Attack))에 대하여 비교분석하여 성능을 증명한다.
한 자리에 들어갈 수 있는 키 번호의 수는 |Key|= 20가지가 된다. 제안한 키패드에서 4자리 비밀번호를 만들 수 있는 경우의 수는 204 = 160,000으로 기존보다 가능한 비밀번호의 집합이 24 = 16배 증가한다. 만약 비밀번호의 길이를 n이라 한다면 제안한 키패드의 가능한 비밀번호 집합은 기존의 키패드 보다 2n배 증가하므로 비밀번호가 길어질 수 록 전수조사공격에 상대적으로 강력해진다.
본 논문에서 제안한 키패드는 패턴 인식 키패드뿐만 아니라 공백 키패드와 랜덤 키패드 보다 Smudge Attack에 상대적으로 안전하다. 예를 들어 사용자가 ‘1234’를 비밀번호로 사용한다 하자.
01984%의 낮은 확률로 비밀번호를 유추할 수 있다. 하지만 본 논문에서 제안한 키패드의 경우 전면 키패드와 후면 키패드가 랜덤하게 재배열되므로 Smudge Attack에 안전하며 랜덤 키패드보다 낮은 확률로 공격자가 비밀번호를 유추할 수 있다. 랜덤 키패드의 경우 각 자리의 숫자만을 유추하면 되지만 제안한 키패드의 경우 숫자와 터치 시간 또한 유추를 해야 한다.
랜덤 키패드의 경우 각 자리의 숫자만을 유추하면 되지만 제안한 키패드의 경우 숫자와 터치 시간 또한 유추를 해야 한다. 제안한 키패드는 비밀번호의 길이가 n이라 할 때, 랜덤 키패드보다 Smudge Attack에 2n배 안전성을 가진다 할 수 있다.
만약 비밀번호의 자리가 6자리인 경우 랜덤 키패드에서 공격자가 사용자의 비밀번호를 유추할 확률은 최대 0.00066%이며 제안한 키패드에서 공격자가 6자리의 비밀번호를 유추할 확률은 최대0.00019%로 확률이 약 배 감소한다.
00019%로 확률이 약 배 감소한다. 이는 제안한 키패드가 공백 키패드와 패턴 인식 키패드보다 키로깅 공격에 강력하며 랜덤 키패드보다 높은 안전성을 가지고 있음을 알 수 있다.
제안하는 키패드를 제외한 다른 키패드의 경우 사용자 인증 시 물리 관철에 의한 공격에 취약하다. 제안하는 키패드를 이용한 인증의 경우 물리 관찰 저항성을 만족한다.
본 절에서는 기존의 키패드와 제안하는 키패드의 편의성 측면을 분석한다. 전체적으로 분석해보았을 때 제안하는 키패드의 경우 사용자가 비밀번호를 기억해야하는 측면에서는 기존의 키패드들과 큰 차이가 없으며 비밀번호를 입력할 시에 조금의 절차가 추가될 뿐 기존과 큰 차이가 없다.
현재까지의 보안키패드는 디바이스의 터치센서를 통해 터치 좌표 값을 탈취할 수 있는 키로깅이 구현된다면 이를 통해 여러 차례 수집한 비밀번호 인증 정보를 이용하여 확률 분석 공격이 가능하며 사용자의 비밀번호가 탈취될 수 있는 보안취약성을 가지고 있다. 하지만 제안하는 키패드는 이중터치를 추가함으로써 추측공격 확률을 기존보다 낮출 수 있는 장점이 있다. 즉, 안전성 분석을 통해서 알 수 있듯이 제안된 키패드는 기존의 키패드 보다 안전하다.
하지만 제안하는 키패드는 이중터치를 추가함으로써 추측공격 확률을 기존보다 낮출 수 있는 장점이 있다. 즉, 안전성 분석을 통해서 알 수 있듯이 제안된 키패드는 기존의 키패드 보다 안전하다. 또한, 제안하는 키패드는 기존의 키패드와 비교한때 Smudge Attack과 키로깅 공격에서 매우 안전하다.
즉, 안전성 분석을 통해서 알 수 있듯이 제안된 키패드는 기존의 키패드 보다 안전하다. 또한, 제안하는 키패드는 기존의 키패드와 비교한때 Smudge Attack과 키로깅 공격에서 매우 안전하다. 이 연구를 통해 제안한 키패드는 안전하게 모바일 금융 서비스를 이용할 수 있는 환경을 제공한다는 점에서 가치가 있다.
또한, 제안하는 키패드는 기존의 키패드와 비교한때 Smudge Attack과 키로깅 공격에서 매우 안전하다. 이 연구를 통해 제안한 키패드는 안전하게 모바일 금융 서비스를 이용할 수 있는 환경을 제공한다는 점에서 가치가 있다.
결론적으로 첫 번째 자리인 3이 하나의 버튼에서 선택될 경우의 수는 2가지이며 나머지 비밀번호‘9, 5, 7’도 각각 2가지의 경우의 수가 되며 이 경우 종속사건으로 24이다.
질의응답
핵심어
질문
논문에서 추출한 답변
어깨너머공격은 무엇인가?
즉, Smudge Attack을 사용하여 패턴 인식 기반의 보안 키패드를 사용하는 모바일 뱅킹 사용자의 비밀 키를 유추해 낼 수 있다. 어깨너머공격은 어떤 사용자가 사무실이나 사람이 붐비는 장소에서 개인 기기를 사용하고 있는 경우, 사용자 주변에서 로그인이나 민감한 정보를 몰래 엿보는 것을 말한다[7]. 랜덤 키패드는 10개의 숫자 키를 랜덤하게 배열하여 키로깅 공격에 안전하지만 어깨너머공격에는 대응할 수 없으며 공격자가 사용자의 정보를 얻어 갈 수 있다[8].
공백 키패드와 랜덤 키패드가 전수 조사 공격에 의해 비밀번호를 쉽게 유추할 수 있음을 알 수 있는 이유는 무엇인가?
공백 키패드, 랜덤 키패드, 패턴 인식 키패드는 Brute Force Attack에 취약하다. 공백 키패드와 랜덤 키패드가 4자리의 비밀번호를 사용한다고 가정하면 각 자리에 들어갈 수 있는 경우의 수는 10가지이다. 즉, 4자리의 가능한 비밀번호의 총 경우의 수는 총 104 = 10,000개이다. 이는 전수 조사 공격에 의해 비밀번호를 쉽게 유추할 수 있음을 말한다.
공백 키패드의 특징은 무엇인가?
1의 (a), (b), (c)는 공백 키패드를 기반으로 한 보안 키패드이다. 공백 키패드의 특징은 일반 키패드와 숫자 배열은 같지만 중간에 랜덤으로 공백 두 개가 삽입되는 구조로 설계되어 있다. Fig 1의 (d)는 하나은행 어플리케이션에서 사용되고 있는 랜덤 키패드의 인터페이스이다.
참고문헌 (10)
The Bank of Korea, "Domestic Internet banking service usage in 2016," 2017.
TrendForce, "Total Revenue of Global Mobile Payment Market," 2016.
Y. H. Lee, "An Analysis on the Vulnerability of Secure Keypads for Mobile Devices," The Journal of Internet Computing and Services, Vol.14, No.3, pp.15-21, 2013.
J. S. Song, M. W. Chung, S. H. Seo, and S. H. Lee, "Security vulnerability analysis of Simple Mobile Payments Services," The Korea Information Processing Society Fall Conference, Vol.22, No.2, pp.817-820, 2015.
I. Kim, "Keypad against brute force attacks on smartphones," IET Information Security, Vol.6, No.2, pp.71-76, 2012.
A. J. Aviv, K. L. Gibson, E. Mossop, M. Blaze, and J. M. Smith, "Smudge Attacks on Smartphone Touch Screens," Proceedings of the 4th USENIX Conference on Offensive Technologies, Washington, DC, pp.1-7, August 09, 2010.
J. Long, J. Wiles, S. Pinzon, and K. D. Mitnick, "No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing," Rockland, MA: Syngress, pp.27-60, 2008.
S. H. Kim, M. S. Park, and S. J. Kim, "Shoulder Surfing Attack Modeling and Security Analysis on Commercial Keypad Schemes," Journal of the Korea Institute of Information Security and Cryptology, Vol.24, No.6, pp.1159-1174, 2014.
J. Bonneau, C. Herley, P. C. Van Oorschot, and F. Stajano, "The quest to replace passwords: A framework for comparative evaluation of web authentication schemes," In Security and Privacy (SP), 2012 IEEE Symposium on (pp. 553-567). IEEE, 2012.
H. J. Shin and J. B. Hur, "Pattern-Based User Authentication System Research Trend and Comparison," Journal of the Korea Institute of Information Security and Cryptology, Vol.25, No.3, pp.36-43, 2015.
이 논문을 인용한 문헌
저자의 다른 논문 :
연구과제 타임라인
LOADING...
LOADING...
LOADING...
LOADING...
LOADING...
활용도 분석정보
상세보기
다운로드
내보내기
활용도 Top5 논문
해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다. 더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.