[논문]VR 상에서의 안전한 PIN 입력 방법 제안

김현준; 권혁동; 권용빈; 서화정

doi:10.6109/jkiice.2019.23.5.622

VR 상에서의 안전한 PIN 입력 방법 제안
Proposal of Safe PIN Input Method on VR 원문보기

한국정보통신학회논문지 = Journal of the Korea Institute of Information and Communication Engineering, v.23 no.5, 2019년, pp.622 - 629

김현준 (Department of IT Engineering, Hansung University) , 권혁동 (Department of IT Engineering, Hansung University) , 권용빈 (Department of IT Engineering, Hansung University) , 서화정 (Department of IT Engineering, Hansung University)

초록
AI-Helper

가상현실 속에서 실제와 같은 서비스를 제공하는 기술 VR(Virtual Reality)은 Head Mounted Display(HMD) 기기를 이용하여 실제와 유사한 체험을 제공한다. 최근 VR의 시장은 커졌으나 가상현실에서의 보안에 대한 연구는 다른 분야에 비해 미흡하다. 현재 VR을 활용한 많은 개인화된 서비스들이 진행되고 있는 만큼 안전한 사용자 인증이 중요하다. VR의 HMD 기기를 착용을 하면 주변 환경을 인식하지 못하기에 Personal Identification Number(PIN)입력 시에 Shoulder Surfing Attack (SSA)으로 사용자의 입력 패턴을 분석이 용이하다. 본 논문에서는 사용자의 편의성은 그대로 유지하면서 해커가 입력 패턴을 분석하더라도 사용자의 비밀 번호를 안전하게 보호할 수 있는 방법에 대해 제안한다. VR 특성에 맞게 기존 직사각형 모양에서 벗어난 새로운 형태의 가상 키패드와 사용자와 직관적인 상호작용을 위해 자물쇠 오브젝트를 최초로 구현 하였다. 또한 VR의 기존 입력 장치들과 동일한 센서를 사용하는 스마트 글러브와 이에 적합한 회전방식의 PIN입력 방식을 구현하였다. 따라서 총 세 가지의 VR 상에서의 안전한 PIN 입력 방법에 대하여 제안하며 실험을 통해 SSA에 대한 안전성을 검증하였다.

Abstract ▼ AI-Helper

VR(Virtual Reality), which provides realistic services in virtual reality, provides a similar experience using a Head Mounted Display(HMD) device. When the HMD device is worn, it can not recognize the surrounding environment and it is easy to analyze the input pattern of the user with the Shoulder Surfing Attack(SSA) when entering the Personal Identification Number(PIN). In this paper, we propose a method to safeguard the user's password even if the hacker analyzes the input pattern while maintaining the user's convenience. For the first time, we implemented a new type of virtual keypad that deviates from the existing rectangle shape according to the VR characteristics and implemented the lock object for intuitive interaction with the user. In addition, a smart glove using the same sensor as the existing input devices of the VR and a PIN input method suitable for the rotary type are implemented and the safety of the SSA is verified through experiments.

주제어

표/그림 (14)

그림 Fig. 1 Hacker doing shoulder surfing attack
그림 Fig. 2 Left) Traditional keypad Right) keypad to suggest
그림 Fig. 3 The location of the keypad and the locations of the numbers are switched when keypad input occurs
그림 Fig. 4 Left) When a password set by the user is entered, the phrase OK is displayed Right) If the password entered is incorrect, the phrase Wrong password is displayed
그림 Fig. 5 Implementation of lock object
그림 Fig. 6 If the password set by the user is correct, the lock will open
그림 Fig. 7 Smart gloves implemented using multiple sensors
그림 Fig. 8 Left) Initial Run Screen Right) When user authentication is completed
표 Table. 1 Smart gloves implemented using multiple sensors
표 Table. 2 Result of shoulder surfing attack on existing virtual keypads
표 Table. 3 Result of shoulder surfing attack on proposal virtual keypads
표 Table. 4 Average input time per keypad
표 Table. 5 Results of security survey of proposed methods
표 Table. 6 Results of convenience survey of proposed methods

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

현재 VR 상에서 제공하는 Personal Identification Number(PIN)를 사용하게 되면 VR의 특징상 HMD 기기를 착용을 하면 주변 환경을 인식하지 못하는 취약점으로 인해 해커는 사용자의 어깨너머로 훔쳐보는 공격인 Shoulder Surfing Attack (SSA)를 수행하여 사용자의 PIN 입력 패턴을 분석하게 되면 사용자의 PIN은 고스란히 노출이 된다. 따라서 본 논문에서는 립모션과 스마트 글러브를 활용하여 해커의 shoulder surfing attack을 통한 입력 패턴 분석을 방지하면서 사용자의 편의성을 보장하는 새로운 형태의 PIN 입력 방법을 제안한다.
본 장에서는 제안하고자 PIN 입력 패턴 방법 설명에 앞서 VR, 립모션, shoulder surfing attack에 대해 소개하고 관련 연구 동향에 대해서 알아보도록 한다.
본 장에서는 해커가 HMD를 착용하고 있는 사용자를 지켜봐도 사용자의 비밀번호를 알아낼 수 없으며 편의성을 유지하는 기법들에 대하여 소개하고자 한다. 또한 제안 기법에 대한 구현영상¹⁾을 Youtube에 올려놨으며, 해당 코드²⁾를 Github에 올려 Open Source화 하였다.
립모션을 사용한 첫 번째 방법으로는 키패드 형 PIN 입력 방법이다. 해당 방법에서는 그림 2와 같이 기존의 직사각형 모양의 키패드에서 벗어나 새로운 원 모양의 가상 키패드 입력 방법을 제안하고자 한다.

제안 방법

두 번째 제안하는 방법으로는 현실의 물체인 자물쇠를 구현하여 사용자와 상호작용하는 방법이다. Unity 3D에서 직접 자물쇠 모양의 오브젝트 그림 5와 같이 구현하였다.
이러한 취약점은 본 논문에서 진행한 성능평가에서도 나타났으며 취약점을 보완하기 위해 본 논문에서는 립모션과 Unity 3D를 활용하여 기존의 직사각형 모양에서 벗어난 VR 특성에 맞게 기존 직사각형 모양에서 벗어난 새로운 형태의 가상 키패드와 사용자와 직관적인 상호작용을 위해 자물쇠 오브젝트를 최초로 구현 하였다. 또한 VR의 기존 입력 장치들과 동일한 센서를 사용하는 스마트 글러브와 이에 적합한 회전방식의 PIN입력 방식을 구현하였다. 총 세 가지의 VR 상에서의 안전한 PIN 입력 방법에 대하여 제안하였다.
본 논문에서 사용하기 위해 자체적으로 스마트 글러브를 제작을 하였다. 스마트 글러브는 관성측정장치(Inertial Measurement Unit)와 가변저항방법의 구부림 센서를 사용하여 손 제스처 데이터를 전송하는 장갑형태의 입력장치이다.
본 장에서는 3장에서 제안한 립모션과 스마트 글러브를 활용한 PIN 입력 방법과 기존의 PIN 입력 방법에 대해 SSA에 대한 안전성을 비교하는 실험을 진행하고 기존 방법과 제안하는 방법에 대한 입력 시간을 측정하고 설문을 통하여서 사용자가 직접 느끼는 편의성을 비교 분석해보도록 한다.
본 논문에서 제시한 3가지 PIN 입력방법과 기존의 방법에 대한 대학생 20명의 집단을 구성하여 실험과 설문을 진행하였다. 실험은 HMD를 착용을 하면 그림 2와 그림 5의 오브젝트가 눈앞에 나와 PIN을 입력하게 되고, 마지막으로는 사용자가 스마트 글러브를 착용을 한 상태에서 PIN을 입력하는 것까지 각각 걸리는 시간을 측정하였으며 설문조사는 앞서 실험에서 사용한 제안된 세 가지의 방법들의 보안성과 편의성에 대하여 진행하였다. 측정한 시간의 평균값은 표 4를 통하여서 확인할 수 있다.
기존의 PIN 입력 방법들은 해커가 SSA을 통해 사용자의 패턴을 파악하면 비밀번호가 쉽게 노출된다는 취약점을 가지고 있었다. 이러한 취약점은 본 논문에서 진행한 성능평가에서도 나타났으며 취약점을 보완하기 위해 본 논문에서는 립모션과 Unity 3D를 활용하여 기존의 직사각형 모양에서 벗어난 VR 특성에 맞게 기존 직사각형 모양에서 벗어난 새로운 형태의 가상 키패드와 사용자와 직관적인 상호작용을 위해 자물쇠 오브젝트를 최초로 구현 하였다. 또한 VR의 기존 입력 장치들과 동일한 센서를 사용하는 스마트 글러브와 이에 적합한 회전방식의 PIN입력 방식을 구현하였다.
제안하는 키패드는 0부터 9까지의 숫자 버튼이 원 모양으로 순차적으로 구성 된다. 초기에 숫자의 배치는 무작위한 순서로 둔다.
또한 VR의 기존 입력 장치들과 동일한 센서를 사용하는 스마트 글러브와 이에 적합한 회전방식의 PIN입력 방식을 구현하였다. 총 세 가지의 VR 상에서의 안전한 PIN 입력 방법에 대하여 제안하였다. 제안한 방법들은 실험을 통해 SSA에 대한 안전함과 설문을 통해 기존 방식보다 보안성과 편의성이 뛰어남을 검증하였다.
해커는 사용자의 입력 패턴을 분석하여 비밀번호를 도출한다. 해당 실험에서 사용자가 입력하는 비밀번호는 임의로 설정한 비밀번호이며 앞서 설정한 동일한 비밀번호를 입력하는 횟수를 1회부터 5회까지 설정하여 해커가 어느 정도 이상의 횟수 관찰하였을 경우 유사한 비밀번호를 도출할 수 있는지와 도출하였을 경우에 어느 정도의 유사성을 지니는지에 대한 수치적인 평가를 중점으로 실험을 진행하였다. 정확한 내용들은 표 2를 통해 확인하도록 한다.

대상 데이터

본 논문에서 제시한 3가지 PIN 입력방법과 기존의 방법에 대한 대학생 20명의 집단을 구성하여 실험과 설문을 진행하였다. 실험은 HMD를 착용을 하면 그림 2와 그림 5의 오브젝트가 눈앞에 나와 PIN을 입력하게 되고, 마지막으로는 사용자가 스마트 글러브를 착용을 한 상태에서 PIN을 입력하는 것까지 각각 걸리는 시간을 측정하였으며 설문조사는 앞서 실험에서 사용한 제안된 세 가지의 방법들의 보안성과 편의성에 대하여 진행하였다.

성능/효과

표 2를 통하여 기존의 키패드의 경우에는 1회, 2회 관찰을 통해 사용자의 입력 패턴을 분석하여 비밀번호를 도출하였을 경우에 75%라는 유사성을 보였고 3회 관찰을 통해서는 도출한 비밀번호에서는 50%의 유사성을 나타내었다. 또 4회 이상 관찰을 진행하였을 경우에는 도출한 비밀번호에서는 모두 100%의 유사성을 보이는 결과가 나타났다. 이처럼 보안이 적용되지 않은 기존의 키패드의 경우 사용자가 입력한 비밀번호를 유추 할 수 있다.
37초로 비슷한 시간이 걸리는 것을 확인할 수 있었다. 또 세 번째로는 기존의 키패드가 21.08초가 걸렸으며 마지막으로 자물쇠 오브젝트는 38.98초가 소요되었음을 확인할 수 있다. 해당 실험의 결과를 통하여 기존의 제안되었던 세 가지의 입력 방법 중 원 모양 키패드와 스마트 글러브를 사용한 입력 방식은 기존의 키패드와 비교했을 때 훨씬 더 빠른 입력 속도를 보였다.
또한 기존의 방식과 비교하였을 때 제안된 방식이 기존의 방법과 비교하였을 때 편리한지에 대한 질문에서 ‘그렇다’라는 의견은 80%를 차지하였고 ‘아니다’라는 의견은 20%를 차지하였다.
자물쇠 오브젝트 방식은 다른 방식에 비하여 낮은 입력 속도를 통해 편의성이 떨어짐을 보였지만 자물쇠 오브젝트는 시각적인 자극에 민감한 어린 아이들에게 직접 상호작용할 수 있는 교육용 자료로 사용한다면 효과적인 교육을 진행할 수 있을 것이라는 평가가 있었다. 또한 다수의 평가자들로부터 제안한 방법들이 재미있는 놀이 같다는 평가를 받았다.
숫자의 틀이 동적으로 움직이기 때문에 손의 움직임 정도로는 해커는 숫자를 얼마나 증가 감소시키는지 알 수 없다. 비밀번호와 일치하지 않을 경우 자물쇠는 잠금 상태가 유지되며 비밀번호가 일치할 경우에는 자물쇠의 잠금상태가 해제되어 그림 6과 같이 사용자는 자신이 입력한 비밀번호가 일치하며 인증이 완료되었음을 확인할 수 있다.
설문과 통하여서 사용자들에게 제안된 기법이 보안성과 편의성에서 기존 방식에 비하여 안전하고 편리하다는 평가를 받았다. 자물쇠 오브젝트 방식은 다른 방식에 비하여 낮은 입력 속도를 통해 편의성이 떨어짐을 보였지만 자물쇠 오브젝트는 시각적인 자극에 민감한 어린 아이들에게 직접 상호작용할 수 있는 교육용 자료로 사용한다면 효과적인 교육을 진행할 수 있을 것이라는 평가가 있었다.
설문조사의 의견 중 제안한 방법들이 재미있는 놀이같다는 평가가 있었다. 아직 비밀번호에 대한 중요성을 인지하지 못하는 어린 초등학생들은 개인 정보 노출의 위험이 높은 만큼 본 논문에서 제안한 방법들을 교육적인 용도로 활용한다면 어린 아이들의 비밀번호 인식 개선에 크게 도움이 될 것이라고 생각한다.
앞서 언급하였던 대학생 집단에게 진행한 설문조사의 결과는 표 5와 표 6을 통해 확인할 수 있으며 제안된 방식이 기존의 방식과 비교하여 안전하다고 생각하는지에 대한 질문에서 ‘매우 그렇다’라고 대답한 의견은 60%로 매우 높게 나타났으며 ‘그렇다’라는 의견은 40%로 나타난 것을 통해 보안성의 측면에서도 사용자들에게 긍정적인 평가를 받았음을 알 수 있다.
총 세 가지의 VR 상에서의 안전한 PIN 입력 방법에 대하여 제안하였다. 제안한 방법들은 실험을 통해 SSA에 대한 안전함과 설문을 통해 기존 방식보다 보안성과 편의성이 뛰어남을 검증하였다.
표 2를 통하여 기존의 키패드의 경우에는 1회, 2회 관찰을 통해 사용자의 입력 패턴을 분석하여 비밀번호를 도출하였을 경우에 75%라는 유사성을 보였고 3회 관찰을 통해서는 도출한 비밀번호에서는 50%의 유사성을 나타내었다. 또 4회 이상 관찰을 진행하였을 경우에는 도출한 비밀번호에서는 모두 100%의 유사성을 보이는 결과가 나타났다.
표 4를 통해 입력하는데 걸리는 시간들을 확인해보면 원 모양 키패드가 14.21초로 가장 빠른 입력 시간을 보였으며 그 뒤를 이어 스마트 글러브를 통한 입력 속도가 16.37초로 비슷한 시간이 걸리는 것을 확인할 수 있었다. 또 세 번째로는 기존의 키패드가 21.
98초가 소요되었음을 확인할 수 있다. 해당 실험의 결과를 통하여 기존의 제안되었던 세 가지의 입력 방법 중 원 모양 키패드와 스마트 글러브를 사용한 입력 방식은 기존의 키패드와 비교했을 때 훨씬 더 빠른 입력 속도를 보였다. 하지만 자물쇠 오브젝트의 경우 기존의 키패드와 비교하였을 때 다소 느린 입력 속도를 보여주었다.

후속연구

설문조사의 의견 중 제안한 방법들이 재미있는 놀이같다는 평가가 있었다. 아직 비밀번호에 대한 중요성을 인지하지 못하는 어린 초등학생들은 개인 정보 노출의 위험이 높은 만큼 본 논문에서 제안한 방법들을 교육적인 용도로 활용한다면 어린 아이들의 비밀번호 인식 개선에 크게 도움이 될 것이라고 생각한다. 앞으로 VR 상에서의 보안에 대한 연구가 활발히 진행되기를 기대한다.
아직 비밀번호에 대한 중요성을 인지하지 못하는 어린 초등학생들은 개인 정보 노출의 위험이 높은 만큼 본 논문에서 제안한 방법들을 교육적인 용도로 활용한다면 어린 아이들의 비밀번호 인식 개선에 크게 도움이 될 것이라고 생각한다. 앞으로 VR 상에서의 보안에 대한 연구가 활발히 진행되기를 기대한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	SSA란 무엇을 말하는가?	Shoulder Surfing Attack(SSA)이란 어떤 사용자가 사무실이나 사람이 공항, 커피숍과 같은 장소에서 사용하고 있는 기기에 대하여 사용자의 인식이 없는 상태에서 로그인이나 민감한 정보를 볼 때 사용자 주변에서 몰래 엿보는 것을 말한다. 이처럼 어깨너머공격은 사용자의 패스워드를 평문 그대로 볼 수 있기 때문에 원시적이면서 효과적인 공격 수단으로써 강력한 공격방법이다[10].
	가상현실이란 무엇인가?	이에 IT기업들이 주목하는 기술이 가상현실이다. 가상현실이란 컴퓨터 등을 사용한 인공적인 기술로 만들어낸 실제와 유사하지만 실제가 아닌 어떤 특정한 환경이나 기술 그 자체를 의미한다[1]. 사용자가 Head Mounted Display(HMD) 기기를 이용한다면 HMD 기기는 가상현실 속에서 음성과 영상을 제공하기 때문에 여러 컨텐츠 서비스를 이용할 때 더욱 몰입감 있게 체험할 수 있다.
	교육용 V-Factory 시스템의 배경은?	교육 분야에서는 VR을 사용하여 다양한 교육용 시뮬레이션이 제안되고 있다. 소방안전과 같이 사실적 체험이 필요한 경우 VR을 사용하면 가상의 사고 현장에서 능동적인 학습자가 될 수 있다[2]. 현재 다양한 산업현장에서 Programmable Logic Controller(PLC) 기반으로 생산자동화 시스템을 제어하여 제품 양산이 이루어지고 있기 때문에 산업현장에서는 PLC를 능숙하게 사용할 수 있는 전문 인력과 교육 플랫폼이 필요하다. 그렇기 때문에 가상현실을 접목하여 교육용 V-Factory 시스템이 제안되었다[3].

참고문헌 (11)

E. J. Song, "A Study on Training System for Fire Prevention based on Virtual Reality," Digital Contents Society, vol. 17, no. 3, pp. 189-195, Jun. 2016.

원문보기 상세보기
Y. K. Chung, "Development of VR Fire-extinguishing Experience Education Contents Using UX Design Methodology," The Korea contents society, vol. 17, no. 3, pp. 222-230, Mar. 2017.

원문보기 상세보기
K. J. Seo, J. H. Yun, K. S. Nam, and S. G. Kim, "Development of the Educational V-Factory system combining Virtual Reality," The Korea Academia-Industrial cooperation Society, vol. 19, no. 4, pp. 617-622, Apr. 2018.
Y. M. Lee, J. A. Park, S. H. Lee, S. J. Kim, and J. K. Lee, "Development of Anxiety Measuring App and VR System for Panic Disorder Exposure Training," KIISE Transactions on Computing Practices, vol. 24, no. 5, pp. 227-233, May. 2018.

상세보기
N. Y. Yang, H. S. Park, T. H. Yoon, and J. H. Moon, "Effectiveness of Motion-Based Virtual Reality Training (Joystim) on Cognitive Function and Activities of Daily Living in Patients with Stroke," Rehabilitation Engineering And Assistive Technology Society of Korea, vol. 12, no. 1, pp. 10-19, Feb. 2018.
T. U. Kang, and H. K. Kim, "VR Threat Analysis for Information Assurance of VR Device and Game System," Korea Institute of Information Security & Cryptology, vol. 28, no. 2, pp. 437-447, Apr. 2018.
Y. H. Kong, and W. C. Lee, "Motion Control System for a Robotic Manipulator Using Leap Motion," Korean Institute of Information Technology, vol. 14, no. 12, pp. 1-6, Dec. 2016.
B. H. Kang, J. S. Kim, and H. W. Kim, "Study for Operation Teaching Machine Using 3D Virtual Reality System," Digital Contents Society, vol. 17, no. 4, pp. 287-293, Aug. 2016.

원문보기 상세보기
M. J. Kim, J. M. Heo, J. H. Kim, S. Y. Park, and J. H. Chang, "Development and Evaluation of Leapmotion-based Game interface considering Intuitive Hand Gestures," The Korean Society for Computer Game, vol. 27, no. 4, pp.69-75, Dec. 2014.
S. H. Kim, M. S. Park, and S. J. Kim, "Shoulder Surfing Attack Modeling and Security Analysis on Commercial Keypad Schemes," The Korea Institute of Information Security & Cryptology, vol. 24, no. 6, pp. 1159-1174, Dec. 2014.

원문보기 상세보기
H. J. Seo, and H. W. Kim, "Design of Security Keypad Against Key Stroke Inference Attack," The Korean Institute of Information Security & Cryptology, vol. 26, no. 1, pp. 41-47, Feb. 2016.

원문보기 상세보기

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증