[논문]FIDO 2.0 기반의 웹 브라우저 안전 저장소를 이용하는 군 정보체계 사용자 인증 시스템 설계 및 구현

박재연; 이재영; 이형석; 강지원; 권혁진; 신동일; 신동규

doi:10.33778/kcsa.2019.19.4.043

[국내논문] FIDO 2.0 기반의 웹 브라우저 안전 저장소를 이용하는 군 정보체계 사용자 인증 시스템 설계 및 구현
Design of Military Information System User Authentication System Using FIDO 2.0-based Web Browser Secure Storage 원문보기

융합보안논문지 = Convergence security journal, v.19 no.4, 2019년, pp.43 - 53

박재연 (세종대학교 컴퓨터공학과) , 이재영 ((주)아이리플) , 이형석 ((주)아이리플) , 강지원 (세종대학교 정보보호학과) , 권혁진 (국방부) , 신동일 (세종대학교 컴퓨터공학과) , 신동규 (세종대학교 컴퓨터공학과)

초록
AI-Helper

최근 북한 소행으로 의심되는 군 인트라넷 침투 정황이 다수 발견되고 있다. 기존의 군 정보체계에 접근할 수 있는 사용자 인증 데이터 변조가 가능하여 취약점이 발생할 수 있다는 문제점이 존재했다. 본 논문에서는 FIDO(Fast IDentity Online) 표준을 따르는 웹 브라우저에서 인증 취약점을 해결하기 위하여 상호 검증 기법과 API(Application Programming Interface) 위/변조 차단 및 난독화를 적용하였다. 또한 별도의 프로그램 설치를 요구하지 않는 No-Plugin을 구현함으로써 사용자의 편의성도 향상된다. 성능 테스트 결과 RSA 키 생성 속도 기준으로 대부분의 브라우저에서 약 0.1ms의 성능을 보인다. 또한 서버의 전자서명 검증 속도에서도 0.1초 이하의 성능을 보여 상용화에 사용할 수 있음을 검증하였다. 해당 서비스는 안전한 웹 저장소를 구축하여 브라우저 인증이라는 대체방안으로서 군 정보체계 보안 향상에 유용하게 사용될 것으로 예상한다.

Abstract ▼ AI-Helper

Recently, a number of military intranet infiltrations suspected of North Korea have been discovered. There was a problem that a vulnerability could occur due to the modification of user authentication data that can access existing military information systems. In this paper, we applied mutual verification technique and API (Application Programming Interface) forgery / forgery blocking and obfuscation to solve the authentication weakness in web browsers that comply with FIDO (Fast IDentity Online) standard. In addition, user convenience is improved by implementing No-Plugin that does not require separate program installation. Performance tests show that most browsers perform about 0.1ms based on the RSA key generation rate. In addition, it proved that it can be used for commercialization by showing performance of less than 0.1 second even in the digital signature verification speed of the server. The service is expected to be useful for improving military information system security as an alternative to browser authentication by building a web secure storage.

Keyword

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 인증시스템에 적용할 수 있는 FIDO 기반의 웹 브라우저 안전 저장소를 개발하기 위하여 WebCrypto를 적용하였으며 No-Plugin을 구현하여 편의성을 확보한다. 또한 자체 개발한 상호 인증 무결성 검증과 위/변조 차단 및 난독화를 적용함으로써 데이터의 탈취를 방어한다.
본 연구에서는 안전한 웹 저장소를 활용하여 FIDO기반의 웹 표준 인증 시스템을 구현하였다. 클라이언트에서는 Javascript 언어 자체의 특성을 보완하기 위하여 위/변조 차단 기능과 상호 검증 기능을 구현하여 인증 정보 탈취를 예방하였다.
본 논문에서는 FIDO 기술 기반의 웹 브라우저 안전 저장소를 구축하여 사용자 인증을 수행하는 시스템 연구를 진행하였다. 기존의 설치프로그램 형태를 벗어나기 위하여 Javascript를 기반으로 하였다.

제안 방법

본 논문에서는 인증시스템에 적용할 수 있는 FIDO 기반의 웹 브라우저 안전 저장소를 개발하기 위하여 WebCrypto를 적용하였으며 No-Plugin을 구현하여 편의성을 확보한다. 또한 자체 개발한 상호 인증 무결성 검증과 위/변조 차단 및 난독화를 적용함으로써 데이터의 탈취를 방어한다.
해당 이슈를 해결하기 위하여 FIDO 기술에 더불어 클라이언트와 서버 간 데이터를 분할하여 저장하는 형태가 등장하며 클라이언트에 정보를 안전하게 저장 및 보관하는 방법이 연구되고 있다[3]. 이를 위하여 W3C에서 웹 표준화 작업을 진행중이며 키 쌍 생성시 추출 불가능한 개인키를 생성하는 방법을 제공한다. 또한 대부분의 브라우저에서 Webcrypto를 이용하여 전자서명, 암복호화, 해시 등을 지원하여 안전하게 자료를 저장할 수 있는 기술적 기반이 제공되고 있다[4].
해당 API는 2014년 12월 W3C에서 최종 권고안을 만들었다. 암호 관련 기술을 표준화함으로써 기존 비표준 방식으로 개발된 기능들을 웹에서 별도 설치 없이 처리하는 것을 지향한다. WebCrypto는 실제 키에 대한 접근 요청을 제외한 전자서명 생성, 검증, 해시, 암호화, 복호화, 키 생성, 키 유도, 키 불러오기, 키 내보내기, 키 탐색 등을 수행할 수 있는 인터페이스의 집합으로 구성되어 있다[7][8].
클라이언트에서는 Javascript 언어 자체의 특성을 보완하기 위하여 위/변조 차단 기능과 상호 검증 기능을 구현하여 인증 정보 탈취를 예방하였다. 또한 인증 정보 자체에 대한 보안 강화를 위하여 Pin인증에 사용하는 정보를 자체 개발한 인코딩 알고리즘을 적용하여 난독화를 진행하였다. 서버에서는 브라우저로부터 전송받은 데이터에 대한 서명 검증 절차를 거쳐 서비스를 제공한다.
Pin인증의 패스워드는 비밀키를 사용하여 암호화된 ID를 복호화하여 ID를 추출하고 복호화에 성공했을 경우 미리 생성된 개인키로 전자서명 되어 서버로 전송된다. 전송된 데이터는 서버에 저장된 공개키로 서명 검증을 진행하고 등록된 정보가 정상적인 것임을 확인한 후 로그인 절차를 진행한다. 간편 로그인의 Pin 등록은 간단한 id/pwd검증을 거쳐 등록 절차로 이동하나 실제로는 보안 강도를 높이기 위하여 본인 인증 등을 추가로 하여 등록 절차를 실행한다.
전송된 데이터는 서버에 저장된 공개키로 서명 검증을 진행하고 등록된 정보가 정상적인 것임을 확인한 후 로그인 절차를 진행한다. 간편 로그인의 Pin 등록은 간단한 id/pwd검증을 거쳐 등록 절차로 이동하나 실제로는 보안 강도를 높이기 위하여 본인 인증 등을 추가로 하여 등록 절차를 실행한다. Pin 패스워드가 틀렸을 경우 암호화된 가변데이터(retry count)가 안전저장소의 데이터 값으로 안전하게 저장된다.
자체 개발한 한글 인코딩 알고리즘을 사용하여 저장소에 저당되는 name, value를 쉽게 접근할 수 없도록 적용한다. (그림 6)는 난독화 예이다.
공개키가 저장된 사용자는 Pin 인증 시 제공되는 전자서명 값을 통해 사용자를 추출하고 전자서명 값과 공개키 값, 원문을 비교하여 전자서명의 유효성을 검증한다. 검증 요청시 ID와 안전저장소에서 개인키를 추출하여 ID를 전자서명 한다.
두 번째로 API 상호검증 기능 검증을 위하여 비인가된 함수에서 시료함수를 호출하는 실험을 진행하였다. (그림 11)은 일반 함수와 자체 제작한 검증기능이 적용된 함수를 각각 호출할 수 있도록 구성한 웹 페이지이다.
(그림 14)과 (그림 15)는 Chrome과 IE11에서 각각 실험을 진행한 결과이다. WebCrypto로 개발된 RSA 키 생성 속도를 측정 하였으며 양호한 키 생성 속도를 확인하였다. IE11를 제외한 모든 브라우저에서 Chrome과 비슷한 키 생성 속도 0.
키 생성 후 Pin 인증 시 전자서명을 서버에서 검증하는 속도를 측정하였다. 클라이언트에서 ID값을 전자서명한 서명 값은 서버로 전송되고 서버에서는 전자서명 값을 검증할 수 있는 공개키를 DB로부터 가져와서 서명을 검증한다.
본 논문에서는 FIDO 기술 기반의 웹 브라우저 안전 저장소를 구축하여 사용자 인증을 수행하는 시스템 연구를 진행하였다. 기존의 설치프로그램 형태를 벗어나기 위하여 Javascript를 기반으로 하였다. Javascript의 특성인 접근 제어 문제를 자체적으로 해결하여 취약점을 해결할 수 있을 뿐만 아니라 사용자 편의성도 확보 하였다.
기존의 설치프로그램 형태를 벗어나기 위하여 Javascript를 기반으로 하였다. Javascript의 특성인 접근 제어 문제를 자체적으로 해결하여 취약점을 해결할 수 있을 뿐만 아니라 사용자 편의성도 확보 하였다. 또한 난독화와 동적 Hash를 통하여 유출된 정보에 대한 해석을 불가능하게 함으로써 OWASP Top 10에서 지속적으로 언급되었던 유출 정보 재사용 문제의 해결을 돕는다.
자체적으로 개발한 Javascript 위/변조 차단 및 상호검증 기능과 난독화를 검증 실험을 진행하기 위하여 Javascript의 특징을 악용하는 모의 변조를 진행하였다. 첫 번째로 언어 특성상 소스코드의 노출로 쉽게 위/변조가 가능한 것을 차단하기 위하여 (그림 10)는 방지코드를 적용하여 공격자의 시도를 차단하는 실험이다.

이론/모형

국내의 PKI(Public Key Infrastructure)구조에서 전자서명에 사용되는 비밀키는 국내 암호알고리즘인 SEED를 사용하며 패스워드기반의 키 유도 알고리즘은 PBKDF를 사용한다. 전자서명 알고리즘은 RSA를 사용하며 보안강도는 현재 2048 비트의 보안강도를 지원하고 있다.
PKCS8[11]는 암호화된 개인키를 저장하는 방법을 정의한다. 공개키와 인증서를 전달할 때 사용하는 공개 형식인 X.509를 사용하여 인코딩을 진행하며 개인키는 PKCS#8로 인코딩을 진행한다. PKCS #7 또는 P7B 형식[12]은 Base64 ASC II 형식으로 저장되며, P7B 파일에는 개인키가 아닌 인증서와 체인 인증서 (중개 CA) 만 포함한다.

성능/효과

FIDO란 Fast Identity Online의 줄임말로서 비밀번호 방식뿐만 아니라 지문, 홍재, 얼굴 인식 등의 생체 정보를 활용하여 인증시스템으로 사용하는 기술표준이다. 시스템 특징으로는 인증 프로토콜과 인증 수단을 분리함으로써 보안과 편리성을 확보한다. 일반적으로 인증 프로토콜은 2가지로 제안되었다[6].
Javascript는 언어의 특징상 소스코드가 노출되는 것이 외에도 위/변조가 가능하다. 이를 방지하기 위하여 난독화를 적용하여 소스코드를 보호하는 것에 추가로 무결성 검증을 진행하여 소스코드가 임의로 변조되지 않았음을 확인한다. 자체적으로 고안한 위/변조 방지 코드를 삽입함으로써 function에 대한 임의변경을 방지하였다.
WebCrypto로 개발된 RSA 키 생성 속도를 측정 하였으며 양호한 키 생성 속도를 확인하였다. IE11를 제외한 모든 브라우저에서 Chrome과 비슷한 키 생성 속도 0.1 ms를 보였으며 IE11에서는 상대적으로 키 생성속도가 늦는 것을 확인 하였다. 그러나 이 또한 약 1초 미만의 속도를 나타내어 실제 적용의 가능 범위에 들어가는 적정한 수준을 유지하였다.

후속연구

해당 시스템을 군 정보체계에 접목시킨다면 사용자의 인증정보를 클라이언트에 안전하게 보관하여 사용자 편의성을 확보할 뿐만 아니라 다양한 기법을 적용하여 정보 재사용도 방지할 수 있기에 군 인트라넷 보안 향상에 기여할 것으로 기대한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	FIDO란?	이에 따라 해당 인증정보에 대한 새로운 보안 정책 역시 중요성이 높아지고 있다. FIDO란 Fast Identity Online의 줄임말로서 비밀번호 방식뿐만 아니라 지문, 홍재, 얼굴 인식 등의 생체 정보를 활용하여 인증시스템으로 사용하는 기술표준이다. 시스템 특징으로는 인증 프로토콜과 인증 수단을 분리함으로써 보안과 편리성을 확보한다.
	클라이언트는 어떻게 나눌 수 있는가?	클라이언트는 크게 indexedDB에 저장/추출 하는 부분과 브라우저 저장소 부분으로 나뉠 수 있다. indexedDB에 데이터를 저장하거나 안전저장소로부터 데이터를 추출할 때 지정된 API를 이용해야만 수행할 수 있다.
	인증 프로토콜 중 UAF는 무엇이며, 어떤 영역에서 사용하는가?	첫 번째 모델은 UAF로 Universal Authentication Framework의 줄임말이다. 사용자의 기기에서 제공하는 인증방법을 기반으로 온라인 서비스와 연동하여 권한을 인증하는 기술이다. 대표적으로 지문인식을 통하여 결제 서비스를 진행하는 예시가 있다. (그림 1)에서는 UAF 프로토콜의 상세한 작동 모델이다.

참고문헌 (18)

국방일보, 국방부, "국방망 해킹, 北해커조직 추정세력 소행", 2017.
중앙일보, "군 작전 정보체계도 바이러스 감염...핵심 군사기밀 북한에 유출됐는데도 여전히 허술한 군 보안", 2017.
김두한, "군보안상 해킹대응방안에 관한 연구", 융합보안논문지, 17.5호, pp.133-142, 2017.

원문보기 상세보기
Halpin, Harry. "The W3C web cryptography API: motivation and overview." Proceedings of the 23rd International Conference on World Wide Web. ACM, 2014.
M. Jemel and A. Serhrouchni, "Security assurance of local data stored by HTML5 web application," in 2014 10th International Conference on Information Assurance and Security, 2014.
Hwa-Gun. Cho, and Hae-Sool. Yang, "FIDO 생체 기술과 안전영역을 연계한 공인인증서 효율화 방법," 디지털융복합연구, vol. 15, no. 8, pp. 183-193, Aug. 2017.

원문보기 상세보기
Ryan Sleevi and Mark Watson. 2014. Web cryptography API.W3C candidaterecommendation, W3C, Dec(2014).
Cairns, Kelsey, Harry Halpin, and Graham Steel. "Security analysis of the W3C web cryptography API." International Conference on Research in Security Standardisation. Springer, Cham, 2016.
우희철, 김용훈, 정석균. "미래 정보전에 대비한 육군전술지휘정보체계 (C4I) 정보보호대책 연구." 디지털융복합연구, 제10권, 제9호, pp. 1-13, 2012.
Datanet.co.kr, "PKI는 공인인증서가 아니다." 2016.
B. Kaliski, "Public-Key Cryptography Standards (PKCS) #8: Private-Key Information Syntax Specification Version 1.2," RFC Editor, May 2008.
B. Kaliski, "PKCS #7: Cryptographic Message Syntax Version 1.5," RFC Editor, Mar. 1998.
M. Nystrom, S. Parkinson, A. Rusch, and M. Scott, "PKCS #12: Personal Information Exchange Syntax v1.1," RFC Editor, Jul. 2014.
R. Housley, "Cryptographic Message Syntax," RFC Editor, Jun. 1999.
R. Housley, "Cryptographic Message Syntax (CMS) Authenticated-Enveloped-Data Content Type," RFC Editor, Nov. 2007.
B. Kaliski, "PKCS #5: Password-Based Cryptography Specification Version 2.0," RFC Editor, Sep. 2000.
Kimak, Stefan, Jeremy Ellman, and Christopher Laing. "Some potential issues with the security of HTML5 indexedDB." (2014): 2-2.
Kimak, Stefan, and Jeremy Ellman. "HTML5 IndexedDB Encryption: Prevention against Potential Attacks." International Journal of Intelligent Computing Research 6.4 (2015):621-630.

저자의 다른 논문 :

LOADING...

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증