[논문]일회용 세션을 활용한 인증정보 기반의 사용자 인증 방안

박영수; 이병엽

doi:10.5392/jkca.2019.19.07.421

일회용 세션을 활용한 인증정보 기반의 사용자 인증 방안
User Authentication Mechanism based on Authentication Information using One-time Sessions 원문보기

한국콘텐츠학회논문지 = The Journal of the Korea Contents Association, v.19 no.7, 2019년, pp.421 - 426

박영수 (배재대학교 사이버보안학과) , 이병엽 (배재대학교 사이버보안학과)

초록
AI-Helper

현재 사용자 인증에는 지식기반(ID/PW 등)인증과 생체기반(홍채/지문/정맥 인식 등)인증, 소유기반(OTP, 보안카드 등)인증 등 다양한 종류의 기술을 사용하고 있다. 지식기반 인증인 ID/PW인증 기술은 구현 및 유지 보수 비용이 적게 들며, 사용자에게 익숙한 방식이라는 장점에도 불구하고 해킹 공격에 취약하다는 단점을 가지고 있다. 다른 인증 방식들은 ID/PW인증기술에서의 취약점을 해결하였지만, 초기 구축비용과 유지보수시 비용이 많이 발생한다는 점과 재발급 시 번거로운 문제점을 가지고 있다. 본 논문에서는 기존의 ID/PW기반 인증 기술보다 보안성과 편리성을 증진시키고, 인증에 사용되는 기기에 제약이 없는 사용자 인증을 안전하게 할 수 있는 방안을 제안한다.

Abstract ▼ AI-Helper

Nowadays, various type of technologies are used for user authentication, such as knowledge based(ID/PW, etc.) authentication, biometric based(Iris/fingerprint/vein recognition) authentication, ownership based(OTP, security card, etc.) authentication. ID/PW authentication technology, a knowledge based authentication, despite the advantages of low in implementation and maintenance costs and being familiar to users, there are disadvantages of vulnerable to hacking attacks, Other authentication methods solve the vulnerability in ID/PW authentication technology, but they have high initial investment cost and maintenance cost and troublesome problem of reissuance. In this paper, we proposed to improve security and convenience over existing ID/PW based authentication technology, and to secure user authentication without restriction on the devices used for authentication.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 스마트폰이나 전용 PC 어플리케이션을 이용해 초기 등록을 하면 1회용 세션을 기반으로 비밀번호를 새로 생성해 주기적으로 비밀번호를 변경하지 않아도 보안성을 보장할 수 있는 사용자 인증 방안을 제안하였다. 사용자는 스마트폰 또는 전용 PC어플리케이션을 이용해 인증을 진행할 수 있다.
본 논문은 사용자에게 친숙하며 범용적으로 쓰이는 ID/PW기반 인증 방식의 인증기술의 취약점과 스마트폰을 활용한 사용자 인증 방식에 초점을 두었다.
이에 본 논문에서는 기존의 ID/PW기반의 인증 방식에서 발생 가능한 PW탈취의 위험성과 스마트폰을 활용한 인증방식에서의 인증정보를 스마트폰 내부에 저장하는 방식 및 스마트폰을 사용하지 못하는 장소 제약성에 따른 문제 해결 방안으로 클라우드를 활용한ID/PW기반 사용자 인증 강화 방안을 제안하였다. 즉, 인증정보를 클라우드 서버에 저장하고, 필요시 스마트폰 어플리케이션 또는 전용 PC 어플리케이션을 사용하여 MAC주소 인증절차를 인증을 진행할 수 있도록 설계하였다.

제안 방법

사용자는 스마트폰 또는 전용 PC어플리케이션을 이용해 인증을 진행할 수 있다. 또한 기존의 스마트폰 전용 어플리케이션을 이용한 인증 방안[14]의 문제점인 스마트폰이 반입 및 사용이 가능한 곳에서 밖에 사용할 수 없는 장소 제약성 문제와 인증정보를 기기에 가지고 보유하고 있어 기기의 도난이나 해킹으로 인해 인증정보가 탈취되는 문제점을 해결하기 위해 클라우드 서버를 사용하려고 한다. 등록 및 인증정보 재구성 과정에서 인증정보를 스마트폰이나 PC에남기지 않고 클라우드 서버에 암호화하여 저장되어 기기의 분실 등으로 인해 발생하는 인증정보가 탈취 될수 있는 문제를 해결하였다.
또한 사용자의 기기나 장소에 제약이 없이 데이터에 접근할수 있도록 도움을 주는 서비스인 클라우드[5-8]을 활용하여 생성된 인증정보를 클라우드 서버에 암호화하여 저장해 사용자의 기기에는 인증정보가 남지 않아 스마트폰 도난 또는 분실로 인한 PW탈취의 위험 또한 방지할 수 있도록 설계 하였다. 또한 보안 정책이나 분실 등으로 인해 스마트폰을 사용하지 못하는 환경에서도 사용할 수 있도록 지정 PC전용 어플리케이션을 이용해 필요 시 즉각적으로 사용할 수 있도록 하였다. 이를 통해 ID/PW 기반의 사용자 인증 기술보다 편의성을 향상시키고 보안성을 증진시킬 수 있을 것으로 기대된다.
본 논문에서는 기존의 사용되는 ID/PW 인증 기술보다 보안성과 편의성을 증진시키고, 사용자가 ID를 지정하면 스마트폰 전용 어플리케이션에서 1회용 세션을 기반으로 PW를 로그인시 마다 매번 자동으로 갱신하여 PW기억 부담과 주기적 변경 부담을 없앴다. 또한 사용자의 기기나 장소에 제약이 없이 데이터에 접근할수 있도록 도움을 주는 서비스인 클라우드[5-8]을 활용하여 생성된 인증정보를 클라우드 서버에 암호화하여 저장해 사용자의 기기에는 인증정보가 남지 않아 스마트폰 도난 또는 분실로 인한 PW탈취의 위험 또한 방지할 수 있도록 설계 하였다. 또한 보안 정책이나 분실 등으로 인해 스마트폰을 사용하지 못하는 환경에서도 사용할 수 있도록 지정 PC전용 어플리케이션을 이용해 필요 시 즉각적으로 사용할 수 있도록 하였다.
본 논문에서는 기존의 사용되는 ID/PW 인증 기술보다 보안성과 편의성을 증진시키고, 사용자가 ID를 지정하면 스마트폰 전용 어플리케이션에서 1회용 세션을 기반으로 PW를 로그인시 마다 매번 자동으로 갱신하여 PW기억 부담과 주기적 변경 부담을 없앴다. 또한 사용자의 기기나 장소에 제약이 없이 데이터에 접근할수 있도록 도움을 주는 서비스인 클라우드[5-8]을 활용하여 생성된 인증정보를 클라우드 서버에 암호화하여 저장해 사용자의 기기에는 인증정보가 남지 않아 스마트폰 도난 또는 분실로 인한 PW탈취의 위험 또한 방지할 수 있도록 설계 하였다.
본 장에서는 ID/PW사용자 인증 방식, 지문 인증 방식, OTP인증 방식, 인증서 방식, 스마트폰 인증 방식, 제안방식과 비교 분석 하였으며, 내용은 [표 1]과 같다.
인증서버에서 수신한 암호화된 인증정보를 서버의개인키로 복호화한 뒤, 인증서버의 DB에 저장된 인증정보와 비교 후 인증 절차를 수행하며, 해당 결과를 전용 앱으로 송신한다.
이에 본 논문에서는 기존의 ID/PW기반의 인증 방식에서 발생 가능한 PW탈취의 위험성과 스마트폰을 활용한 인증방식에서의 인증정보를 스마트폰 내부에 저장하는 방식 및 스마트폰을 사용하지 못하는 장소 제약성에 따른 문제 해결 방안으로 클라우드를 활용한ID/PW기반 사용자 인증 강화 방안을 제안하였다. 즉, 인증정보를 클라우드 서버에 저장하고, 필요시 스마트폰 어플리케이션 또는 전용 PC 어플리케이션을 사용하여 MAC주소 인증절차를 인증을 진행할 수 있도록 설계하였다.

성능/효과

[표 1]에서 비교분석한 내용과 같이 스마트폰을 활용한 인증 방법에 비해 휴대성이 더 좋으며 장소제약 또한 덜 받고, 일회용 세션을 기반으로 인증정보를 구성해 노출되어도 재사용이 불가능하며, 암호화되어 위변조와 해킹 가능성이 낮아 보안강도가 뛰어남을 알 수있다.
제안 방식은 일회용 세션기반 사용자 인증을 위해 사용되는 인증정보를 서버 사이드가 아닌 클라이언트 사이드에서 생성해서 사용자의 기기만의 고유한 값을 활용해 사용자 기기가 아닌 타 기기에서 사용자 전용 인증정보를 재구성하기 힘들다는 점에서 ID/PW방식과 비교하여 해킹 가능성이 낮다고 할 수 있으며, 정적으로 인증정보를 생성하는 특징을 가진 ID/PW, 지문, 인증서 방식과 달리 제안 방식은 인증정보를 일회용 세션기반으로 생성하는 특성을 가져 인증정보의 재사용을 방지한다. 또한 사용자의 기기(PC, 스마트폰)에 인증정보를 저장하지 않고 클라우드 서버에 암호화하여 저장한다는 점에서 위변조 가능성이 적고 기기에 인증정보를 저장하는 스마트폰 방식[12]와 달리 클라우드에 인증정보를 저장하여 사용자의 기기가 탈취되더라도 기기에 인증정보가 남아있지 않아 휴대성이 높고 장소제약을 받지 않은 장점이 있다.

후속연구

이러한 문제를 해결하기 위해서는 예비용 클라우드 서버의 추가적인 도입을 통해 가용성을 확보하는 방식이 있다. 각 클라우드 서버 간 데이터를 동기화할 때 데이터의 무결성 및 최신 데이터 유지를 위한 방안에 대해 추가적인 연구를 진행하고, 향후제안방식을 구현하여 실효성 및 성능에 대한 검증을 수행하고 구현하면서 논문에서 언급한 공격이 아닌 추가적으로 발생 가능한 공격들을 고려하여 대비가 가능할 수 있는 더욱 안전한 인증방식에 대한 연구가 필요하다.
또한 보안 정책이나 분실 등으로 인해 스마트폰을 사용하지 못하는 환경에서도 사용할 수 있도록 지정 PC전용 어플리케이션을 이용해 필요 시 즉각적으로 사용할 수 있도록 하였다. 이를 통해 ID/PW 기반의 사용자 인증 기술보다 편의성을 향상시키고 보안성을 증진시킬 수 있을 것으로 기대된다.

질의응답

핵심어	질문	논문에서 추출한 답변
	사용자 인증 기술의 종류는?	)를 이용해 정보 시스템에 접근하기 위해서는 사용자 인증을 통해 정당한 사용자인 사실을 증명해야한다. “사용자 인증” 기술에는 지식 기반(ID/PW)인증과생체기반(홍채/지문/정맥인식)인증, 소유기반(OTP,보안카드)인증 등 다양한 종류의 인증기술들이 있다[1].ID/PW인증 기술은 타인과 사용자가 중복되지 않은 유일한 사용자임을 식별하기 위해 ID를 입력한 후, PW를 입력함으로써 해당 ID의 정당한 사용자인지 확인하는 것으로 이 기술의 장점은 구현 및 유지보수 비용이적게 들며, 사용자에게 익숙한 방식이다.
	이동저장매체(USB)를 활용한 사용자 인증 방식의 장단점은 무엇인가?	해당 방식은 PC에 인증정보가 남지 않으며, 전용 어플리케이션을 이용해 인증 정보를 재구성해 사용자가 비밀번호를 주기적으로 변경하지 않는다는 장점이 있지만, 이동저장매체가 분실 또는 도난 되지 않도록 관리를 해야 한다는 번거로움과 이동저장매체가 없는 경우 인증을 진행 할 수 없어 상시적으로 소지해야 한다는 문제점을 가지고 있다.
	ID/PW인증 기술이란?	“사용자 인증” 기술에는 지식 기반(ID/PW)인증과생체기반(홍채/지문/정맥인식)인증, 소유기반(OTP,보안카드)인증 등 다양한 종류의 인증기술들이 있다[1].ID/PW인증 기술은 타인과 사용자가 중복되지 않은 유일한 사용자임을 식별하기 위해 ID를 입력한 후, PW를 입력함으로써 해당 ID의 정당한 사용자인지 확인하는 것으로 이 기술의 장점은 구현 및 유지보수 비용이적게 들며, 사용자에게 익숙한 방식이다. 이와 같이 편리성과 장점에도 불구하고 ID/Pw인증 방식은 브루트포스, 키로깅, 스니핑 등의 공격[2][3]에 취약하며 이러한 악의적인 공격에 대응하기 위해서는 사용자가 복잡한 패스워드 조합 규칙에 따라 주기적으로 비밀번호를변경하고 공인 인증서나 OTP, 홍채/지문 인식 같은 추가적인 인증 방식을 활용해야 한다.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증