안규황
(Department of Information System Engineering, Han-Sung University)
,
권혁동
(Department of Information System Engineering, Han-Sung University)
,
김경호
(Department of Information System Engineering, Han-Sung University)
,
서화정
(Department of Information System Engineering, Han-Sung University)
스마트폰에 적용된 패턴 잠금 기법 같은 경우 많은 사람들이 편리하게 사용하는 잠금 기법이다. 그러나 많은 사람들이 사용하는데 비해 패턴 잠금 기법에 대한 안전성은 정말 낮다. 패턴 잠금 기법은 사용자가 입력하는 드래그 방식을 어깨의 움직임을 보고 유추할 수 있는 shoulder surfing attack에 취약하며, 핸드폰 패드에 남아있는 지문 드래그 자국에 의해 smudge attack 또한 취약하다. 따라서 본 논문에서는 해당 취약점을 보안하기 위해 패턴 잠금 기법에 쓰레드를 활용하여 눌리는 시간을 체크하는 새로운 보안 방식을 추가하고자 한다. 각 점에서의 누른 시간에 따라 short, middle, long click으로 나누어지고, 그 방법을 사용하여 드래그하면 보안 성능이 $3^n$배 향상된다. 따라서 같은 'ㄱ' 방식으로 드래그 하더라도 각 점마다 누르는 시간에 따라 완전히 다른 패턴이 된다.
스마트폰에 적용된 패턴 잠금 기법 같은 경우 많은 사람들이 편리하게 사용하는 잠금 기법이다. 그러나 많은 사람들이 사용하는데 비해 패턴 잠금 기법에 대한 안전성은 정말 낮다. 패턴 잠금 기법은 사용자가 입력하는 드래그 방식을 어깨의 움직임을 보고 유추할 수 있는 shoulder surfing attack에 취약하며, 핸드폰 패드에 남아있는 지문 드래그 자국에 의해 smudge attack 또한 취약하다. 따라서 본 논문에서는 해당 취약점을 보안하기 위해 패턴 잠금 기법에 쓰레드를 활용하여 눌리는 시간을 체크하는 새로운 보안 방식을 추가하고자 한다. 각 점에서의 누른 시간에 따라 short, middle, long click으로 나누어지고, 그 방법을 사용하여 드래그하면 보안 성능이 $3^n$배 향상된다. 따라서 같은 'ㄱ' 방식으로 드래그 하더라도 각 점마다 누르는 시간에 따라 완전히 다른 패턴이 된다.
The pattern locking technique applied to smart phones is a locking technique that many people use conveniently. However, the safety of pattern locking techniques is very low compared with other techniques. The pattern locking technique is vulnerable to a shoulder surfing attack, which is based on th...
The pattern locking technique applied to smart phones is a locking technique that many people use conveniently. However, the safety of pattern locking techniques is very low compared with other techniques. The pattern locking technique is vulnerable to a shoulder surfing attack, which is based on the user's input and can be interpreted by looking at the movement of the shoulder, and the smudge attack is also vulnerable due to fingerprint drag marks remaining on the mobile phone pad. Therefore, in this paper, we want to add a new security method to check the pressed time by using a thread in the pattern locking scheme to secure the vulnerability. It is divided into short, middle, and long click according to the pressing time at each point. When dragging using the technique, security performance enhances $3^n$ tiems. Therefore, even if dragging in the same 'ㄱ' manner, it becomes a completely different pattern depending on the pressing time at each point.
The pattern locking technique applied to smart phones is a locking technique that many people use conveniently. However, the safety of pattern locking techniques is very low compared with other techniques. The pattern locking technique is vulnerable to a shoulder surfing attack, which is based on the user's input and can be interpreted by looking at the movement of the shoulder, and the smudge attack is also vulnerable due to fingerprint drag marks remaining on the mobile phone pad. Therefore, in this paper, we want to add a new security method to check the pressed time by using a thread in the pattern locking scheme to secure the vulnerability. It is divided into short, middle, and long click according to the pressing time at each point. When dragging using the technique, security performance enhances $3^n$ tiems. Therefore, even if dragging in the same 'ㄱ' manner, it becomes a completely different pattern depending on the pressing time at each point.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
만약 드래그한 모습이 핸드폰 액정에 그대로 남아있다면 드래그를 시작한 지점과 끝마치는 지점을 각각 바꿔서 시도해보는 단 2번의 시도 만에 비밀번호를 유추할 수 있다. 따라서 본 논문에서는 기존 패턴 잠금의 드래그 방식에서 벗어나지 않고 각 점에서 인식하는 시간을 추가하여 3n 만큼의 보안 확률이 늘어나는 새로운 기법을 국내 최초로 제안한다.
현재 우리가 사용하는 패턴 잠금은 각 포인트마다 어디서부터 드래그가 시작되었고 어느 방향으로 나가는지 혹은 끝마치는지에 대한 정보밖에 담고 있지 않아 서론에서도 언급했듯이 보안에 매우 취약한 모델이다. 따라서 이를 해결하고자 각 포인트마다 눌리는 시간을 인식하는 모델을 제안한다.
본 논문의 2장에서는 패턴 잠금을 기반의 키패드 보안에 관련된 2가지 연구 논문에 대하여 알아보며, 패턴 잠금 이외에 도어락에 적용된 보안 기법에 대하여 알아보겠다.
본 장에서는 보안 키패드에서 비밀번호를 탈취하기 위해 흔히 사용되는 공격인 shoulder surfing attack, smudge attack, key logging attack에 대하여 얼마나 안전한 보안 성능을 가지고 있는지 평가해보겠다.
제안 방법
1) 이라는 좌표 값을 탈취하여 어떤 키를 눌렀는지 유추하는 공격이다. 그러나 본 논문에서 제안하는 기법은 좌표 값을 중간에 탈취 당한다고 할지라도 하나의 포인트에는 3가지 경우의 수가 존재하여 이 역시 각 포인트 마다 3n배만큼 복잡도를 갖게 된다.
본 기법을 제안하는데 있어 쓰레드(thread)를 활용하였다. 쓰레드란 하나의 프로그램에서 동시에 여러 가지 일을 처리하게 해주는 기법으로 그림 3을 보면 쓰레드를 사용하지 않는 프로세스(process)의 경우 func1이 종료가 되어야지 func2가 불리게 된다.
따라서 2*3n만큼 경우의 수가 증가하여 brute force attack[7]을 활용하는 전체 경우의 수를 입력해보지 않는 이상 비밀번호를 탈취하는 것은 불가능하다. 본 제안 기법에서는 brute force attack역시 방지하기 위해 5번 이상 틀리면 1분간 아무것도 할 수 없는 lock 상태가 되며 그 이상으로 시도할 경우 5n분만큼 lock을 하게 만들어 brute force attack도 막을 수 있게 설계하였다.
키패드 보안은 과거에서부터 각종 연구[8]가 수행되고 있으며, 본 논문에서는 실생활에서 많이 사용하는 패턴 잠금 기법에 보안 문제점을 발견하고 이를 해결하기 위해 각 포인트에 입력하는 시간을 활용하여 동일한 모양의 패턴이라고 할지라도 3n배 만큼의 경우 수를 늘리는 기법을 제안하였다. 사용자가 평소에 사용하던 패턴 잠금 방식에서 크게 다르지 않아 한번 정도 사용해보면 바로 어떻게 사용해야할지 익히게 되고 원래 사용했던 것과 비슷하여 보안적 측면은 크게 증가하면서도 편리함은 그대로이다.
대상 데이터
본 제안 기법은 안드로이드 스마트폰 상에서 실제로 구현 및 테스트가 진행되었으며 구현 영상을 녹화하여 youtube상에 올려두었고, 구현 코드는 본 논문의 저자의 github 사이트에 올려두었다. 또한 기존 패턴 잠금 기법과 본 논문에서 제안하는 기법의 성능 테스트를 실제로 진행하면서 기존 기법에 비해 3n배 만큼의 보안 성능이 향상되었음을 확인할 수 있었다.
이론/모형
본 논문에서 제안하는 기법에 쓰레드를 사용한 목적은 시간이 경과함을 체크해주기 위함이다. 그림 4를 보면 쓰레드를 이용하여 시간을 체크하는 방식을 슈도코드(pseudocode)를 활용하여 작성하였다.
성능/효과
그림 5의 왼쪽과 같이 현재 우리가 사용하는 키패드의 패턴 잠금 기법의 경우 하나의 패턴에는 하나의 경우의 수 밖에 존재하지 않아 만약 다른 사용자가 악의적 목적으로 드래깅 하는 모습을 엿보고 해당 드래깅을 기억해 핸드폰에 담겨 있는 정보를 탈취하고자 한다면 속수무책으로 당하게 된다. 그러나 본 논문에서 제안하는 시스템의 경우 기존의 키패드와 동일하게 드래깅을 해도 하나의 포인트에는 3가지 정보(짧게, 중간 길게) 중 하나가 담기기 때문에 3n만큼의 경우의 수가 증가하게 된다. 그림 5의 오른쪽을 기준으로 35개의 경우의 수가 생기게 된다.
따라서 최종적으로 기본 패턴 잠금 기법과 본 논문에서 제안하는 기법에 대한 3가지 공격법(shoulder surfing attack, smudge attack, key logging attack)을 비교해 본다면 표 2와 같은 결과가 나오게 되며, 기존에 제안된 패턴 잠금 기술보다 약 3n배 향상된 보안 성능을 나타낸다.
본 제안 기법은 안드로이드 스마트폰 상에서 실제로 구현 및 테스트가 진행되었으며 구현 영상을 녹화하여 youtube상에 올려두었고, 구현 코드는 본 논문의 저자의 github 사이트에 올려두었다. 또한 기존 패턴 잠금 기법과 본 논문에서 제안하는 기법의 성능 테스트를 실제로 진행하면서 기존 기법에 비해 3n배 만큼의 보안 성능이 향상되었음을 확인할 수 있었다.
따라서 shoulder surfing attack을 활용하여 패턴 모양을 유추하였다고 할지라도, 각 좌표가 갖고 있는 입력 시간에 대한 정보는 알 수 없기 때문에 비밀번호 탈취가 불가능하게 된다. 본 논문에서 제시하는 기법은 좌표의 수가 많아질수록 경우의 수는 배로 증가하게 되어 기존의 단 하나의 경우의 수밖에 존재하지 않는 기법보다 3n배 만큼의 성능 향상을 보여준다.
본 논문에서 제안하는 입력시간을 측정하는 쓰레드를 활용한 키패드의 경우 보안 성능은 향상 되지만, 기존 키패드보다 불편함을 초래한다. 그러나 그것이 많은 것을 요구하는 정도는 아니기 때문에 실제로 사용한 사용자들은 이 정도의 불편함은 감수할 수 있다고 말하였다.
질의응답
핵심어
질문
논문에서 추출한 답변
shoulder surfing attack은 무엇인가?
현재 패턴인식에는 shoulder surfing attack[1]이 가능하다. shoulder surfing attack이란 어깨나 손의 움직임을 이용하여 비밀번호를 유추하는 방식으로 해당 패턴 잠금 방식에서는 멀리서도 손가락의 움직임을 유추하여 비밀번호 획득이 가능하다. Smudge attack[2] 또한 가능하다.
스마트폰용 삼중 요소 기반 패턴 락 인증 기법에서 잠금을 해제하기 위해 사용하는 것은 무엇인가?
스마트폰용 삼중 요소 기반 패턴 락 인증 기법에서는 잠금을 해제하기 위한 요소로 패턴, 압력, 지문 3가지의 정보를 동시에 사용한다. 패턴은 기존의 패턴 락 잠금 기법과 같은 것으로 사용자가 지정한 패턴과 동일하게 입력하면 잠금이 해제되는 방식이다.
스크린에 가해지는 압력을 이용한 기법은?
압력은 스크린에 패턴을 입력하는 중 스크린에 가해지는 압력을 측정하는 것으로 일정 구간별 또는 단위 시간마다 전체 구간에서 측정되는 압력 값을 인증에 사용한다. 이는 패턴을 입력할 때 사용자의 버릇이나 악력에 따라 동일 패턴이라도 서로 다른 압력 값이 나오며 만일 동일 사용자의 경우에는 비슷한 압력 값이 나올 것이라는 점에 기반한 기법이다. 마지막으로 지문은 스크린 자체에 지문 내장을 포함하여 패턴 입력 중 시작 점, 끝 점 또는 중간의 특정 점을 설정하여 패턴 입력 도중 지문까지 동시에 스캔하는 방법이다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.