현재 사용자가 조직 내 다중의 응용시스템들에 접근하기 위해서 사용되는 사용자인증기술은 ID/PW 기반의 SSO기술이 적용되고 있다. 이러한 사용자 인증방안은 ID/PW와 SSO의 근본적인 단점을 그대로 지니고 있다. 즉, ID/PW의 보안 취약점 때문에 PW의 주기적 변경 및 잘못된 PW입력 횟수 제한 등을 들 수 있고, SSO는 중앙 집중적으로 인증정보를 저장하는 SSO서버가 추가되기 때문에 고비용, 가용성 확보, 해킹 타겟 명확화 등의 문제를 지닌다. 또한 SSO로 포탈 응용화면에 접근 후 자리를 비웠을 때, 다른 사람이 자유롭게 타인의 응용시스템을 사용할 수 있는 근본적인 취약성이 있다. 본 논문에서는 기존에 사용되고 있는 ID/PW기반의 SSO 사용자 인증기술이 지닌 문제점들을 근본적으로 제거하기 위해 앱 기반 2-채널 인증방안을 제안하였다. 이를 위해 SSO서버에 저장되는 중앙 집중적인 사용자 인증정보를 각 개인의 스마트폰으로 분산시켰다. 그리고 사용자가 특정 응용시스템을 접근할 경우 항상 자신의 스마트폰 앱을 경유하여 인증되도록 하였다.
현재 사용자가 조직 내 다중의 응용시스템들에 접근하기 위해서 사용되는 사용자인증기술은 ID/PW 기반의 SSO기술이 적용되고 있다. 이러한 사용자 인증방안은 ID/PW와 SSO의 근본적인 단점을 그대로 지니고 있다. 즉, ID/PW의 보안 취약점 때문에 PW의 주기적 변경 및 잘못된 PW입력 횟수 제한 등을 들 수 있고, SSO는 중앙 집중적으로 인증정보를 저장하는 SSO서버가 추가되기 때문에 고비용, 가용성 확보, 해킹 타겟 명확화 등의 문제를 지닌다. 또한 SSO로 포탈 응용화면에 접근 후 자리를 비웠을 때, 다른 사람이 자유롭게 타인의 응용시스템을 사용할 수 있는 근본적인 취약성이 있다. 본 논문에서는 기존에 사용되고 있는 ID/PW기반의 SSO 사용자 인증기술이 지닌 문제점들을 근본적으로 제거하기 위해 앱 기반 2-채널 인증방안을 제안하였다. 이를 위해 SSO서버에 저장되는 중앙 집중적인 사용자 인증정보를 각 개인의 스마트폰으로 분산시켰다. 그리고 사용자가 특정 응용시스템을 접근할 경우 항상 자신의 스마트폰 앱을 경유하여 인증되도록 하였다.
Currently, the user authentication technology used by users to access multiple applications within an organization is being applied with ID/PW-based SSO technology. These user authentication methods have the fundamental disadvantages of ID/PW and SSO. This means that security vulnerabilities in ID/P...
Currently, the user authentication technology used by users to access multiple applications within an organization is being applied with ID/PW-based SSO technology. These user authentication methods have the fundamental disadvantages of ID/PW and SSO. This means that security vulnerabilities in ID/PW can lead to periodic changes in PWs and limits on the number of incorrect PW inputs, and SSO adds high cost of the SSO server, which centrally stores the authentication information, etc. There is also a fundamental vulnerability that allows others to freely use other people's applications when they leave the portal application screen with SSO. In this paper, we proposed an app-based 2-channel authentication scheme to fundamentally eliminate problems with existing ID/PW-based SSO user authentication technologies. To this end, it distributed centralized user authentication information that is stored on SSO server to each individual's smartphone. In addition, when users access a particular application, they are required to be authenticated through their own smartphone apps.
Currently, the user authentication technology used by users to access multiple applications within an organization is being applied with ID/PW-based SSO technology. These user authentication methods have the fundamental disadvantages of ID/PW and SSO. This means that security vulnerabilities in ID/PW can lead to periodic changes in PWs and limits on the number of incorrect PW inputs, and SSO adds high cost of the SSO server, which centrally stores the authentication information, etc. There is also a fundamental vulnerability that allows others to freely use other people's applications when they leave the portal application screen with SSO. In this paper, we proposed an app-based 2-channel authentication scheme to fundamentally eliminate problems with existing ID/PW-based SSO user authentication technologies. To this end, it distributed centralized user authentication information that is stored on SSO server to each individual's smartphone. In addition, when users access a particular application, they are required to be authenticated through their own smartphone apps.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문은 사용자가 조직 내에서 다수 응용시스템들을 사용할 경우 필수적으로 거치는 사용자 인증기술의 개선에 관한 내용이다. 본 논문에서 제안방안이 기존의 순수한 ID/PW인증기술에 내제된 문제점들이 해결됨을 보였고, 또한 ID/PW기반 SSO인증기술에 내제된 문제점들을 근본적으로 해결됨을 보였다.
제안 방법
본 논문에서 제안하는 “다중시스템용 앱기반 2-채널인증방안”은 첫째, SSO서버에 저장된 중앙집중적인 사용자인증정보를 각자의 사용자 스마트폰 앱 저장소로 분산 저장하여 SSO 서버를 제거하였다. 둘째, 사용자가 특정 응용시스템에 접근 시 접근하고자 하는 응용시스템을 경유하는 채널과 접근하고자 하는 응용시스템과 사용자의 스마트폰 앱을 경유하는 또 하나의 채널을 통한 2채널 인증기법을 사용하였다. 첫 번째 조치를 통해서 모든 인증정보를 중앙 집중적으로 저장하는 SSO서버가 제거되기 때문에 이로 인한 상기의 문제점들을 해결할 수 있다.
본 논문에서 제안하고자 하는 사용자 인증시스템은 조직 내 다수의 응용시스템들을 대상으로 첫째, 사용자는 응용시스템별 ID만을 제시하고 각 응용시스템에 대응되는 1회용 세션에서만 사용이 가능한 PW를 자동생성하여 PW를 사용자가 일일이 변경하는 번거로움을 제거하고 하였고, 둘째, SSO에서 SSO서버에 집중되는 모든 사용자인증정보를 각 사용자 개인의 스마트폰 앱 저장소로 분산시켜 인증 시 사용자 단말과 응용시스템 채널 그리고 응용시스템과 자신의 스마트폰 앱 채널을 경유하여 인증되는 2채널 기반의 새로운 인증시스템을 제안하여 상기에서 제시한 SSO의 문제점들을 제거하였다.
본 논문에서 제안하는 “다중시스템용 앱기반 2-채널인증방안”은 첫째, SSO서버에 저장된 중앙집중적인 사용자인증정보를 각자의 사용자 스마트폰 앱 저장소로 분산 저장하여 SSO 서버를 제거하였다.
우선 OTP를 비롯한 기존 2-채널 인증방안들은 ID/PW 시스템 자체에 추가적인 보안을 위해 사용하는 방식이다. 본 논문에서 제안하는 앱 기반 2-채널 인증방안은 앞선 내용들에서 설명 했듯이 보안성뿐만 아니라 사용자의 편의성 구축비용의 효율성 등을 함께 고려한 것이다. 나아가 스마트폰의 자체기술인 지문인식과 홍채인식 등과 같은 보안 솔루션들과 병합해 사용하면 뛰어난 보안성을 제공할 것이다.
본 절에서는 2.2.절의 인증이 성공되면 보안 강화를 위해 기존세션에서 사용된 인증정보를 모두 재구성하는 절차를 실행하게 된다. 다음 [그림 4]는 인증정보 재구성 모듈을 설명한 것이다.
이 장에서는 본 논문에서 제안한 스마트폰 앱기반 2-채널 인증방안을 기존의 ID/PW 인증방안 그리고 ID/PW기반 SSO 인증방안과 상호 비교하여 제안방안의 우수성을 도출하였다. 제안 방안의 비교에 있어서 전제는 특정조직내의 응용시스템들이 SSO시스템이 도입되지 않고 순수하게 각 응용시스템별 ID/PW기반으로 인증이 이루어진 경우, 그리고 사용자가 응용시스템에 접근할 때 마다 매번 ID/PW를 번거롭게 입력하는 것을 없애기 위해 SSO를 도입한 경우를 비교대상으로 하였다.
대상 데이터
이 장에서는 본 논문에서 제안한 스마트폰 앱기반 2-채널 인증방안을 기존의 ID/PW 인증방안 그리고 ID/PW기반 SSO 인증방안과 상호 비교하여 제안방안의 우수성을 도출하였다. 제안 방안의 비교에 있어서 전제는 특정조직내의 응용시스템들이 SSO시스템이 도입되지 않고 순수하게 각 응용시스템별 ID/PW기반으로 인증이 이루어진 경우, 그리고 사용자가 응용시스템에 접근할 때 마다 매번 ID/PW를 번거롭게 입력하는 것을 없애기 위해 SSO를 도입한 경우를 비교대상으로 하였다.
성능/효과
상기에서 제시한 기존의 인증방안과 본 논문에서 제안 인증방안의 상대적인 비교결과를 [표 2]에 정리하였다. [표 2]에서 본바와 같이 본 논문에서 제안한 스마트폰 앱에 기반한 2-채널 인증방안이 여러 비교요소들에서 우수성을 보이고 있다. 이는 ID/PW인증방안의 가장 큰 문제점인 PW의 입력부담 및 주기적 변경을 제거하기 위해 스마트폰 앱에서 세션 단위로 사용자의 인증정보를 자동으로 생성 및 갱신이 가능하도록 한 결과이다.
넷째, 해당 응용시스템 서버는 스마트폰 앱으로부터 인증허용 유·무신호가 도착할 때까지 일정시간 인증대기 모드상태로 유지한다.
넷째, 해당 응용시스템 서버는 스마트폰 앱으로부터 인증허용 유·무신호가 도착할 때까지 일정시간 인증대기 모드상태로 유지한다. 다섯째, 인증요구를 받은 스마트폰 앱은 자신이 저장하고 있는 해당 응용시스템의 인증정보와 해당 응용시스템서버가 저장하고 있는 인증정보를 비교하여 동일하면 인증을 허용한다는 신호를 해당 응용시스템 서버에 보낸다. 그리고 다음세션에서 사용할 인증정보를 재구성하여 스마트폰 인증정보와 해당 응용시스템의 인증정보를 모두 갱신한다.
본 논문은 사용자가 조직 내에서 다수 응용시스템들을 사용할 경우 필수적으로 거치는 사용자 인증기술의 개선에 관한 내용이다. 본 논문에서 제안방안이 기존의 순수한 ID/PW인증기술에 내제된 문제점들이 해결됨을 보였고, 또한 ID/PW기반 SSO인증기술에 내제된 문제점들을 근본적으로 해결됨을 보였다. 물론 사용자인증이 항상 자신의 스마트폰에 설치된 앱에 연동되기 때문에 항상 스마트폰을 지녀야하는 부담이 존재할 수 있다.
본 논문에서 제안한 앱기반 2-채널 인증방안은 기존 OTP와 같은 2-채널 인증방안과 비교했을 때도 많은 장점을 확일할 수 있다. 우선 OTP를 비롯한 기존 2-채널 인증방안들은 ID/PW 시스템 자체에 추가적인 보안을 위해 사용하는 방식이다.
둘쩨, 자신의 단말에 나타난 응용시스템 이름 목록들 중에서 사용하고자 하는 응용시스템 이름을 선택하여 인증을 요구한다. 셋째, 사용자 단말로부터 인증을 요구 받은 해당 응용시스템 서버와 사용자가 소지하고 있는 스마트폰 앱으로 인증요구가 도착한다. 넷째, 해당 응용시스템 서버는 스마트폰 앱으로부터 인증허용 유·무신호가 도착할 때까지 일정시간 인증대기 모드상태로 유지한다.
후속연구
본 논문에서 제안하는 앱 기반 2-채널 인증방안은 앞선 내용들에서 설명 했듯이 보안성뿐만 아니라 사용자의 편의성 구축비용의 효율성 등을 함께 고려한 것이다. 나아가 스마트폰의 자체기술인 지문인식과 홍채인식 등과 같은 보안 솔루션들과 병합해 사용하면 뛰어난 보안성을 제공할 것이다. 또한 본 논문에서 제안한 스마트폰 앱기반 2-채널 인증방안을 사용하는 시스템은 OTP와 같은 2-채널 인증방안들과 마찬가지로 분실이나 도난 시 계정 잠금과 복구 방안을 제공해야 한다
새롭게 제안한 본 인증기술이 제품화되어 거의 대부분의 조직에서 활용 중인 기존의 SSO인증기술을 대체할 수 있는 대안기술로 자리매김 되길 기대한다.
질의응답
핵심어
질문
논문에서 추출한 답변
현재 특정기관이 개발하여 운영 중인 다수의 응용시스템들에 적용된 사용자 인증기술은 어떻게 분류할 수 있는가?
현재 특정기관이 개발하여 운영 중인 다수의 응용시스템들에 적용된 사용자 인증기술은 각 응용시스템별 ID/PW(IDentifier/PassWord)기술과 각 응용에 접근의 수월성을 제공하는 SSO(Single Sign On)기술로 분류할 수 있다. 전자의 ID/PW기술은 ID에 대응하는 PW를 일일이 기억해야하는 부담뿐만 아니라 그 자체가 지니는 보안상 취약점 때문에 주기적으로 PW를 변경해야 하는 번거로움이 상존한다.
각 응용시스템별 ID/PW(IDentifier/PassWord)기술의 단점은 무엇인가?
현재 특정기관이 개발하여 운영 중인 다수의 응용시스템들에 적용된 사용자 인증기술은 각 응용시스템별 ID/PW(IDentifier/PassWord)기술과 각 응용에 접근의 수월성을 제공하는 SSO(Single Sign On)기술로 분류할 수 있다. 전자의 ID/PW기술은 ID에 대응하는 PW를 일일이 기억해야하는 부담뿐만 아니라 그 자체가 지니는 보안상 취약점 때문에 주기적으로 PW를 변경해야 하는 번거로움이 상존한다. 후자의 SSO기술은 전자의 ID/PW인증기술이 적용될 경우에 다수개의 PW를 기억하여 입력해야 하는 부담을 줄이기 위해 조직 내의 응용시스템들을 대상으로 한번 ID/PW를 입력하면 등록된 모든 응용시스템에 ID/PW추가 입력 없이 접근이 가능하도록 만든 기술이다.
SSO인증기술은 어떠한 문제점이 있는가?
후자의 SSO기술은 전자의 ID/PW인증기술이 적용될 경우에 다수개의 PW를 기억하여 입력해야 하는 부담을 줄이기 위해 조직 내의 응용시스템들을 대상으로 한번 ID/PW를 입력하면 등록된 모든 응용시스템에 ID/PW추가 입력 없이 접근이 가능하도록 만든 기술이다. 하지만 후자의 SSO인증기술 또한 SSO서버에 모든 사용자 인증정보가 집중되기 때문에 해킹의 타겟이 될 뿐만 아니라 SSO서버의 가용성 확보문제, 고비용 구축문제, 그리고 마지막으로 SSO로 포털로 접근한 후, 자리를 비웠을 때, 다른 사람이 포털에 등록된 응용시스템들에 자유롭게 접근하는 문제점을 들 수 있다. 따라서 ID/PW에서 번거롭게 PW를 주기적으로 변경하는 문제점과 상기의 SSO에 내제된 문제들을 해결할 수 있는 새로운 대체 사용자 인증기술이 필요한 것 또한 사실이다[1].
참고문헌 (11)
N. Haller, C. Metz, P. Nesser, and M. Staraw, "A One-Time Password System" RFC 2289, IETF, 1998.
S. Gastellier-Prevost and M. Laurent, "Defeating pharming attacks at the client-side," 2011 5th International Conference on Network and System security, IEEE. pp.33-40, Sept. 2011.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.