$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

스마트폰 전자금융서비스에서의 인증과정에 관한 연구(앱카드를 중심으로)
A Study on Authentication Process in Smartphone Electronic Financial Services 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.28 no.3, 2018년, pp.579 - 590  

김한우 (고려대학교 정보보호대학원) ,  이근영 (고려대학교 정보보호대학원) ,  임종인 (고려대학교 정보보호대학원) ,  권헌영 (고려대학교 정보보호대학원)

초록
AI-Helper 아이콘AI-Helper

'14.5월 앱카드는 스미싱 기법과 전화번호 취득불가 취약점으로 명의도용사고를 당하였고, 그 후 카드사들은 해당 취약점을 보완하기 위해 인증수단을 추가 도입하는 등 보완하여 운영해 오고 있다. 하지만, 인증 적용환경, 목적 및 인증수단에 대한 분석이 부족하여 기존 사고에서 나타난 취약점 및 리스크수준을 낮추지 못하고 있다. 본 연구는 전자금융서비스 중 앱카드의 인증과정을 미(美)NIST의 인증가이드라인을 적용하여 분석하고, 문제점을 파악하여 개선 방향을 제안하고자 한다. 본 연구에서 분석한 방식은 앱카드외에도 인증수단의 분석에 전반적으로 적용할 수 있어 활용가치가 높을 것이다.

Abstract AI-Helper 아이콘AI-Helper

In May 2014, AppCard(Which is a smartphone application designed to register and use a credit card in a mobile phone by credit card company.) was attacked by smshing and a vulnerability which could not obtainable phone number. After that, credit card companies have supplemented and operated by introd...

주제어

#authentication   #appcard   #identity proofing   #electronic financial services  

AI 본문요약
AI-Helper 아이콘 AI-Helper

문제 정의

  • 본 논문은 모바일전자금융서비스를 위해서 사용되는 “인증”이슈에 대해 2014년 발생한 앱카드 도용사고의 원인 및 현실태 분석을 통하여 살펴보고 그에 따른 문제점 및 개선방안에 대해 논해보고자 한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
앱카드 명의 도용사고의 침투과정은? 구체적으로 앱카드등록절차에서 사고자는 ①스미싱(Smishing)문자를 통해 피해자가 악성앱을 설치 토록하여, 앱카드 등록에 필요한 정보5)를 유출하고 ② Fig. 1의 앱카드 등록절차에서 자신의 아이폰6)에 피해자의 전화번호를 도용하여 앱카드 등록신청 (1-1)을 한 후 ③앱카드 등록 시 시행되는 본인확인 과정(1-2~3)은 旣탈취한 공인인증서와 旣설치된 악성앱을 통해 SMS인증번호를 탈취하여 통신사 휴대폰명의자 확인을 통과하고, ④사고자가 피해자를 사칭해 앞으로 사용할 앱카드 비밀번호를 설정하였다.
앱카드란? 앱카드(’13.9월 출시)는 스마트폰에 등록해서 사용하는 신용카드다. 신용카드를 먼저 살펴보면, 신용카드란 “이를 제시함으로써 반복하여 신용카드가맹점에서 결제할 수 있는 증표로서 신용카드업자가 발행한 것[11]”이며, 모바일신용카드는 모바일상에서 신용카드를 사용할 수 있도록 구현된 것으로, 휴대폰의 유심칩에 신용카드를 내려 받는 유심방식과 신용카드 회사가 제공하는 특정앱(앱카드앱)에 신용카드를 등록하여 사용하는 앱방식(이하 ‘앱카드’)로 대별될 수있다.
신용카드 서비스는 어떤 단계로 나누어질 수 있는가? 신용카드 서비스는 “발급”, “사용”, “정산”의 3단계로 나누어볼 수 있다. “발급”은 카드발급절차2) [12]-카드배송-비밀번호설정 등 “사용”준비가 완료되는 단계, “사용”은 가맹점에서 재화나 용역의 댓가를 결제 하는 단계, “정산”은 카드가맹점은 카드사로부터 카드이용대금을 청구/수령하고, 카드사는 카드이용대금을 회원에게 청구하여 수령하는 단계를 뜻한다.
질의응답 정보가 도움이 되었나요?

참고문헌 (34)

  1. Yong-Jae and Young-Mee Shin, "A Historical Examination and Implication of Mobile Payment Servies for the Korean Mobile Transaction Market," The Review of Bussiness History, 31(2), pp. 59, Jun. 2016 

  2. TTA, Information and communication terminology dictionary, http://word.tta.or.kr, Apr. 2018 

  3. TTA, Framework for Cerificate Policy and Certification Practice Statement, TTAS.IF-RFC3267, pp. 6, Dec. 2004 

  4. $\S$ 2.6, Digital Signature Act, Act No. 14839, Jul. 2017 

  5. US. Rule 901. Requirement for Authentication or Identification (b)(9), Dec. 2011 

  6. TTA, Suitable Framework for Entity Authentication Assurance in The Local Environment, TTAK.KO-2.0248, pp. 11, Dec. 2014 

  7. OECD, OECD Guidance for Electronic Authenticaion, pp. 7, Jun. 2007 

  8. ITU-T, Entity authentication assurance framework, X.1254, pp. 1, Sep. 2012 

  9. NIST, Digital Identity Guidelines, SP800-63-3. pp. 47, Jun. 2017 

  10. NIST, Digital Identity Guidelines, SP800-63-3. pp. 8, Jun. 2017 

  11. $\S$ 2.3, Specialized Credit Finance Business Act, Act No.15615, Apr. 2018 

  12. FSS, "We will inform you of the credit card issuance criteria and issuance procedures," Jul. 2014 

  13. Act On Real Name Financial Transactions And Confidentiality, Act No. 14242, May. 2016 

  14. Enforcement Decree Of Act On Real Name Financial Transactions And Confidentiality, Presidential Decree No. 28218, Jul. 2017 

  15. Act On Reporting And Using Specified Financial Transaction Information, Act No. 14839, Jul 2017 

  16. Enforcement Decree Of The Act On Reporting And Use Of Certain Financial Transaction Information, Presidential Decree No. 28687, Feb. 2018 

  17. Electronic Financial Transactions Act, Act No. 14828, Apr. 2017 

  18. Regulation On Supervision Of Electronic Financial Transactions, FSC Public Notice No. 2016-37, Oct. 2016 

  19. Specialiezed Credit Finance Business Act, Act No. 15615 Apr. 2018 

  20. Enforcement Decree Of Specialiezed Credit Finance Business Act, Presidential Decree No. 28389, Oct. 2017 

  21. Regulation On Supervison Of Specialiezed Credit Finance Business Act, FSC Public Notice No. 2018-2, Jan. 2018 

  22. Credit Information Use And Protection Act, Act No. 14823 Apr. 2017 

  23. Enforcement Decree Of Credit Information Use And Protection Act, Presidential Decree No. 28387, Oct. 2017 

  24. Digital Signature Act, Act No. 14839, Mar. 2017 

  25. Enforcement Rules Of Digital Signature Act, Amended By Ordinance Of The Prime Minister No. 996, Oct. 2012 

  26. NIST, Digital Identity Guidelines, SP800-63-3, pp. 16, Jun. 2017 

  27. IMSAC, Guidance Document: Electronic Authenticaiton, pp. 10, Dec. 2016 

  28. NIST, Digital Identity Guidelines Enrollment and Identity Proofing, SP800-63A, pp. 5-6, Jun. 2017 

  29. Apple, Swift Developer Documentation "CTCarrier API", https://developer.apple.com/documentation/coretelephony/ctcarrier, Apr. 2018 

  30. Apple, Swift Developer Documentation "DeviceCheck API", https://developer.apple.com/documentation/devicecheck, Apr. 2018 

  31. TTA, Requirements for E-authenticaion Method of Assurance Level, TTAK.KO-12.0247, pp. 6-11, Dec. 2014 

  32. TTA, Suitable Framework for Entity Authentication Assurance in The Local Environment, TTAK.KO-12.0248, pp. 13-25, Dec. 2014 

  33. TTA, Authentication Service Guideline for The Layered Risk Level in Online Transaction, TTAK.KO-12.0244, pp. 3-14, Dec. 2014 

  34. TTA, Guideline on Identity Proofing Management, TTAK.KO-12.0292, pp. 5-10 Jul. 2016 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로