[논문]간편 결제 우회공격 기법 및 대응방안에 관한 연구

고준영; 강보선; 이근호

간편 결제 우회공격 기법 및 대응방안에 관한 연구
A Study of Easy Payment Evasion Techniques and Countermeasures 원문보기

고준영 (백석대학교) , 강보선 (백석대학교) , 이근호 (백석대학교)

ActiveX가 법규제로 인해 없어지고 새로운 간편 절제 시스템이 출시되고 있다. 새롭게 도입되는 간편 결제 시스템의 경우 사용자가 한 번 내려 받으면 인터넷 익스플로러뿐만 아니라 사파리나 크롬 등 다른 브라우저를 사용 시 따로 보안프로그램을 내려 받지 않아도 된다고 한다. ActiveX대신 새로운 결제 시스템의 'exe'방식의 프로그램은 한 번 내려 받아 영구 사용할 수 있으며, 이러한 'exe' 프로그램은 인증우회가 가능하여 해커가 제3자의 금융정보를 가지게 된다면 간단한 우회를 통한 공격이 가능할 것으로 예측된다. 본 논문에서는 이러한 인증우회 공격에 관한 시나리오 및 'exe'프로그램 내부의 보안프로그램에서의 이상 징후 조기 탐지를 이용한 사전 예방기법을 제안한다.

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

이와같이 액티브X가 사라지고 보안에 취약한 'exe' 프로그램이 배포되어 발생할수 있는 취약점에 관한 시나리오를 분석하여 그 대응책을 제안하고자 한다.

제안 방법

공격자가 OllyDbg 프로그램을 사용하여 파일 자체 내의 hex값이나 레지스트리 값을 변경하여 인증을 우회하여간 편 결제 시스템을 통과할 때 효율적으로 대응하기 위해서 빅데이터를 활용한 이상 징후 패턴 분석 기법을 제안하고자 한다.
이때 공격자가 인증을 우회하여 사용자의 정보 유출 및 결제를 시도 하는 순간 생겨난 패킷 및 로그를 빅데이터 플랫폼의 플럼, 카프카를 활용하여 결제 시인증 파일에 대한 패턴을 추출한다. 그다음 맵리듀스의 빠른 속도를 이용하여 데이터 마트를 구성하여 기존에 저장해둔 파일과 비교를 한다. 그다음 일반적인 행동 패턴 데이터베이스와 이상 징후 패턴 데이터베이스를 구분하여 이상 징후 패턴 데이터베이스와 일치하는 공격일 경우 인증 파일을 다시 인증을 받도록 잠금 장치를 걸어버리면 인증 우회에 대한 대응 방안이 된다, 또한 간편 결제 시스템이 증가하는 시점 다양한 공격 시나리오들을 계속하여 저장하여 다양한 패턴의 공격까지 빅데이터를 활용하여 대비 할 수 있도록 한다.
본 논문에서는 비교적 간단한 방법으로 'exe'파일을 만들어 인증우회를 시연하였고, 실제 출시 될 간편결제 'exe' 파일은 본 논문에서 크랙하여 인증을 우회한 exe 파일보다 암호화 기법이 몇 겹 있을 것이라 예상이 된다. 하지만, 기존의 암호화 기법과 이미 인증 우회에 성공된 암호화 방법으로 출시가 되면 본 논문에서 보여준 방법과 더불어 쉽게 인증 우회를 할 수 있을 것이라 생각되지만, 오랜기간 사용하던 방법에서 새로운 방법이 출시되는 만큼 보안성이 뛰어난 간편결제 'exe' 파일이길 기대해 본다.
인증우회공격 시나리오를 분석하기 위하여 실제 해커 입장이 되어 테이블1의 환경으로 인증우회를 시도해 보았다.
존재 한다. 하둡은 대용량의 데이터를 처리하기 위해서 하둡분산파일시스템 (HDFS, Hadoop Distributed File System) 과 맵리듀스 (MapReduce) 를 이용하여 데이터를 처리한다[3]. 하둡파일분산시스템은 여러 형태의 대용량 데이터를 보다 안정적이고 빠르게 저장한다.

성능/효과

후에 call과 jnz가 어셈블리 코드에 나타나고, jnz에서 실행이 되면 암호와 불일치했을 경우 실행될 화면이 표시가 된다. 그리고 call 안에서 실행이 되어 암호와 다를 경우에도 암호를 맞췄을 경우와 같은 다음실행이 될 수 있게 할 수 있다는 것을 알 수 있을 것이다.

후속연구

맵리듀스는 대용량 데이터를 보다 안정적이고 빠르게 병렬처리 한다. 이러한 구성을 하둡 생태계라고도 부르는데, 간편 결제 시스템에 대한 공격자들의 이상 징후를 데이터베이스화 하여 저장하고, 하둡 생태계를 잘 활용한다면 예전에는 보이지 않았던 사고패턴을 발견할 뿐 아니라 전자상거래에도 안전한 빅데이터 분석 플랫폼을 구축할 수 있을 것이다 [4].
예상이 된다. 하지만, 기존의 암호화 기법과 이미 인증 우회에 성공된 암호화 방법으로 출시가 되면 본 논문에서 보여준 방법과 더불어 쉽게 인증 우회를 할 수 있을 것이라 생각되지만, 오랜기간 사용하던 방법에서 새로운 방법이 출시되는 만큼 보안성이 뛰어난 간편결제 'exe' 파일이길 기대해 본다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

간편 결제 우회공격 기법 및 대응방안에 관한 연구
A Study of Easy Payment Evasion Techniques and Countermeasures 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper

문제 정의

제안 방법

성능/효과

후속연구

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

간편 결제 우회공격 기법 및 대응방안에 관한 연구 A Study of Easy Payment Evasion Techniques and Countermeasures 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

성능/효과

후속연구

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

간편 결제 우회공격 기법 및 대응방안에 관한 연구
A Study of Easy Payment Evasion Techniques and Countermeasures 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper