온라인 본인확인수단 동향 분석

  • 육형준 (순천향대학교 정보보호학과) ;
  • 임하빈 (순천향대학교 정보보호학과) ;
  • 이경률 (순천향대학교 보안안전융합기술사업화센터) ;
  • 임강빈 (순천향대학교 정보보호학과)
  • Published : 2015.12.31

Abstract

과거 인터넷 뱅킹 서비스에서 클라이언트와 서버 채널 사이에 암호기술을 활용하여 안전한 채널을 구성함으로서 인증, 무결성, 부인방지, 암호화 등의 보안요건을 만족하였지만, 현재의 인터넷 뱅킹 서비스에서 제3자인 공격자는 수학적으로 안전성이 보장된 네트워크상의 보안채널을 공격하는 것이 아니라, 채널의 끝부분인 사용자의 전자적 장치나 금융기관의 웹 서버, 데이터베이스 서버, 어플리케이션 서버 등을 포함하는 인터넷 뱅킹 서버나 내부자에 의하여 내부 호스트에 대한 공격을 시도하는 추세이다. 따라서 이러한 위협에 대응하기 위하여 최근 금융기관에서는 접근 매체를 활용하여 거래를 요청하는 주체가 사용자 본인임을 확인하기 위한 다양한 수단을 도입하고 있으며, 이에 대하여 조사한 결과를 서술한다.

Keywords

References

  1. D. Dolev and A. C. Yao, "On the Security of Public Key Protocols", Proc. IEEE 22nd Ann. Sym. Foundations of Computer Science, IEEE CS Press, pp.350-357, 1981.
  2. 황부연, "MITB 공격에 안전한 투채널 기반 인터넷 뱅킹 시스템", 고려대학교 정보보호대학원, 석사학위논문, 2012년 6월.
  3. 심희원, "온라인뱅킹의 확장된 상호인증 및 부인방지를 위한 거래서명 인증기술", 전남대학교 대학원, 박사학위논문, 2011년 8월.
  4. A. Hiltgen, T. Kramp, and T. Weigold, "Secure Internet Banking Authentication", J. IEEE Security & Privacy, 4(2), pp.21-29, 2006. https://doi.org/10.1109/MSP.2006.50
  5. R. Oppliger, R. Rytz, and T. Holderegger, "Internet Banking: Client-Side Attacks and Protection Mechanisms", Computer, 42(6), pp.27-33, 2009. https://doi.org/10.1109/MC.2009.194
  6. 송지훈, "내부정보유출 방지 솔루션 보안성 평가", 대진대학교 대학원, 석사학위논문, 2009년 1월.
  7. 최옥현, "내부자에 의한 정보 유출 위협과 대응방안 수립에 관한 연구", 한남대학교 경영산업대학원, 석사학위논문, 2009년 2월.
  8. 엄정호, 박선호, 정태명, "내부자의 불법적 정보유출 차단을 위한 접근통제 모델 설계", 한국정보보호학회 논문지, 20(5), pp.59-67, 2010년 10월.
  9. 차인환, "내부 정보보호를 위한 인원보안 관리방안 연구", 한국전자통식학회 논문지, 3(4), pp.221-232, 2008년 12월.
  10. 송지훈, 이시진, 장항배, "내부정보유출 방지를 위한 데이터베이스 보안 솔루션 보안성 평가", 한국정보기술학회 논문지, 7(3), pp.179-187, 2009년 6월.
  11. G. Silowash, D. Cappelli, A. Moore, R. Trzeciak, T. J. Shimeall, and L. Flynn, "Common Sense Guide to Mitigating Insider Threats (4th ed.)", CERT Program, Software Engineering Institute, and Carnegie Mellon University, Dec. 2012.
  12. D. Cappelli, A. Moore, R. Trzeciak, and T. J. Shimeall, "Common Sense Guide to Prevention and Detection of Insider Threats (3rd ed.)", CERT Program, Software Engineering Institute, and Carnegie Mellon University, Jan. 2009.
  13. 이성운, 김현성, 유기영, "패스워드 기반의 효율적인 키 교환 프로토콜", 한국정보과학회 논문지, 31(4), pp.347-352, 2004년 8월.
  14. 최은정, 김찬오, 송주석, "공개키 암호 기법을 이용한 패스워드 기반의 원거리 사용자 인증 프로토콜", 한국정보과학회 논문지, 30(1), pp.75-80, 2003년 2월.
  15. 금융보안연구원, "전자금융 新인증기술 연구보고서", 2011년 3월.
  16. CA. corp., "Managing String Authentication: A Guide to Creating an Effective Management Syste", 2007.
  17. J. Brainard, A. Juels, R. L. Rivest, M. Szydlo, and M. Yung, "Forth-Factor Authentication: Somebody You Know", Proc. 13th ACM Conference on Computer and Communications Security, pp.167-178, Oct. 2006.
  18. 임형진, 심희원, 서승현, 강우진, "전자 금융 거래 환경의 인증 기술 동향 분석", 한국정보보호학회학회지, 9(6), pp.73-79, 2008년 12월.
  19. P. Hanacek, K. Malinka, and J. Schafer, "e-Banking security - A comparative study", IEEE Aerospace and Electronic Systems Magazine, 25(1), pp.29-34, Jan. 2010. https://doi.org/10.1109/MAES.2010.5442151
  20. 이형우, "안전한 로그인을 위한 소프트 보안카드 기반 다중 인증 시스템", 한국콘텐츠학회 논문지, 9(3), pp.28-38, 2009년 3월.
  21. B. A. Forouzan, "Cryptography and Network Security", Mc Graw Hill Higher Education, 2008.
  22. 맹영재, 신동오, 김성호, 양대헌, "전자금융거래에서의 문서변조 취약점 분석 및 대응방법 고찰", 한국정보보호학회 논문지, 20(6), pp.17-27, 2010년 12월.
  23. 정태영, 이경률, 임강빈, "키보드해킹에 대비한 새로운 영상기반 패스워드", 한국정보보호학회 학회지, 18(3), pp.41-47, 2008년 6월.
  24. Click Studios Blog, "PS5 Updata - ScramblePad Authentication", http://clickstudios.wordpress.com/2011/01/24/ps5-update-scramblepad-authentication, Jan. 2011.
  25. 에너지관리공단, "그린홈", http://greenhome.kemco.or.kr/index.do
  26. R. Oppliger and S. Gajek, "Effective Protection Against Phising and Web Spooping", LNCS 3677, pp.32-41, 2005.
  27. K. Plossl, H. Federrath, and T. Nowey, "Protection Mechanisms Against Phising Attacks", LNCS 3592, pp.20-29, 2005.
  28. B. Schneier and J. Kelsey, "Cryptographic Support for Secure Logs on Untrusted Machines", Proc. the 7th USENIX Sec urity Symposium, pp.53-62, Jan. 1998.
  29. C. Wuest, ""Phising In The Middle Of The Stream"-Today's Threats To Online Banking", Proc. 8th Association of anti Virus Asia Researchers Conference", 200(6), Mar. 2005.
  30. A. Herzberg and A. Jbara, "Security and Identification Indicators for Browsers against Spoofing and Phishing Attacks", J. ACM Transactions on Internet Technology, 8(4), Article No.16, Sep. 2008.
  31. 이원철, 이석래, 이재일, 김인석, "전자금융거래시스템 취약점 분석 및 안전성 강화방안 연구", 한국정보보호학회 학회지, 15(4), pp.43-48, 2005년 8월.
  32. 금융감독원, "전자거래 안전성 강화 종합대책", 2005년 9월.
  33. S. Al-Riyami and K. Paterson, "Certificateless public key cryptography", Proc. of Asiacrypt, LNCS 2894, pp.452-473, 2003.
  34. T. Elgamal, "A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms", J. IEEE Transactions on Information Theory, IT-31(4), pp.469-472, 1985. https://doi.org/10.1109/TIT.1985.1057074
  35. 정상각, "전자금융거래에서의 QR CODE 기반 투-채널 인증기법의 제안", 고려대학교 정보경영공학전문대학원, 석사학위논문, 2010년 12월.
  36. "전자서명법", 법률 제10008호, 2010년 2월.
  37. ITU-T, "ITU-T Recommendation X.509: Information technology - Open Systems Interconnection - The Directory: Public-key and attribution certificate frameworks", Oct. 2012.
  38. 금융결제원, "전자금융거래시 공인인증서 의무사용 규제완화 관련 주요이슈 및 현황", 2010년 7월.
  39. 이용재, "이중채널을 이용한 안전한 사용자 인증 및 전자금융거래시스템에 관한 연구", 숭실대학교대학원, 박사학위논문, 2011년 12월.
  40. 이형익, "부정이체 방지를 위한 실시간 IP 차단 시스템에 관한 연구", 고려대학교 공학대학원, 석사학위논문, 2010년 8월.
  41. E, M. Hamann, H. Henn, T. Schack, and F. Seliger, "Securing e-business applications using smard cards", IBM Systems Journal, 40(3), pp.635-647, Oct. 2001. https://doi.org/10.1147/sj.403.0635
  42. GlobalPlatform Inc., "GlobalPlatform Card Specification version 2.2.1", http://www.globalplatform.org/specificationscard.asp, Jan. 2011.
  43. L. Lunde, A. Wangensteen, "Using SIM for strong end-to-end Application Authentication", Master of Science in Communication Technology, May 2006.
  44. D. A. Oritiz-Yepes, "Enhancing authentication in eBanking with NFC enabled mobile phones", M. D. Thesis, Eindhoven University of Technology, Aug. 2008.
  45. 김지연, 권현조, 전길수, 임선간, 이재일, "HSM 제품 동향 및 안전성 분석", 한국정보보호학회 학회지, 14(1), pp.76-90, 2004년 2월.
  46. 장윤근, "인터넷뱅킹 사용자 입력정보의 안전성 강화를 위한 대체방안에 대한 연구", 동국대학교국제정보대학원, 석사학위논문, 2009년 6월.
  47. N. Haller, C. Metz, P. Nesser, and M. Straw, "A One-Time Password System", IFTF RFC 2289, 1998.
  48. 서승현, 강우진, "OTP 기술현황 및 국내 금융권 OTP 도입사례", 한국정보보호학회 학회지, 17(3), pp.18-25, 2007년 6월.
  49. P. Hoyer, "OTP and Challenge/Response algorithms for financial and e-goverment identity assurance: current landscape and trends", Proc. ISSE Securing Electronic Business Processes, pp.281-290, 2009.
  50. N. M. Haller, "The S/KEY One-Time Password System", Proc. Symposium on Network and Distributed Systems Security, pp.151-157, Feb. 1994.
  51. 최동현, 김승주, 원동호, "일회용 패스워드(OTP: One-Time Password) 기술 분석 및 표준화 동향", 한국정보보호학회 학회지, 17(3), pp.12-17, 2007년 6월.
  52. D. M'Raihi, J. Rydell, S. Bajaj, S. Machani, and D. Naccache, "OCRA: OATH Challenge-Response Algorithm", IETF RFC 6287, Jun. 2011.
  53. 송성현, 김근옥, "국내외 OTP 표준화 동향", 한국정보보호학회 학회지, 22(2), pp.30-36, 2012년 4월.
  54. ISO/IEC 13888, "Information technology - Security techniques - Non-repudiation", http://www.iso.org, 2009.
  55. 임형진, 이정근, 김문성, "안전한 인터넷 뱅킹을 위한 트랜잭션 서명기법에 관한 연구", 한국인터넷정보학회 논문지, 9(6), pp.73-79, 2008년 12월.
  56. 금융보안연구원, "모바일 OTP 보안성 분석서", 2009년 11월.
  57. 금융보안연구원, "거래연동 인증기술의 이해", 이슈리포트, 2010(1), 2010년 11월.
  58. 금융보안연구원, "국내 금융OTP 이용 현황 및 동향", 금융보안리포트, 2012(9), 2012년 12월.
  59. J. Tuliani, "Implementing CAP", J. Card Technology Today, 18(10), pp.9, Oct. 2006.
  60. IBM ZTIC, "IBM Zone Trusted Information Channel", http://www.zurich.ibm.com/ztic
  61. T. Weigold, T. Kramp, R. Hermann, F. Horing, P. Buhler, and M. Baentsch, "The Zurich Trusted Information Channel - An Efficient Defence against Man-in-the-Middle and Malicious Software Attacks", LNCS 4968, pp.75-91, 2008.
  62. T. Weigold and A. Hiltgen, "Secure Confirmation of Sensitive Transaction Data in Modern Internet Banking Services", Proc. World Congress on Internet Security(WorldCIS), pp.125-132, 2011.
  63. X. Fang and J. Zhan, "Online Banking Authentication Using Mobile Phones", Proc. 5th International Conference on Future Information Technology(FutureTech), pp.1-5, May 2010.
  64. D. A. Ortiz-Yepes, "Enhancing authentication in eBanking with NFC enabled mobile phones", M. D. Thesis, Eindhoven University of Technology, Aug. 2008.
  65. O. Manahan, "Smart Card Talk", http://www.smartcardalliance.org/pages/newsletter-201010-profile?issue=201010, 2014년 9월 열람.
  66. D. Scheuermann, "The smartcard as a mobile security device", J. Electronics & Communication Engineering, 14(5), pp.205-210, Oct. 2002. https://doi.org/10.1049/ecej:20020503
  67. F. Aloul, S. Zahidi, and W. El-hajj, "Two factor authentication using mobile phones", Proc. IEEE/ACS International Conference on Computer Systems and Application(AICCSA), pp.641-644, May 2009.
  68. G. Starnberger, L. Froihofer, and K. M. Goeschka, "QR-TAN: Secure Mobile Transaction Authentication", Proc. International Conference on Availability, Reliability and Security(ARES), pp.578-583, Mar. 2009.
  69. K. Fuglerud and O. Dale, "Secure and Inclusive Authentication with a Talking Mobile One-Time-Password Client", J. IEEE Security & Privacy, 9(2), pp.27-34, Mar. 2011. https://doi.org/10.1109/MSP.2010.204
  70. 이한욱, 신휴근, "메모리 해킹 공격에 강건한 사용자 인증수단 고찰", 한국정보보호학회 학회지, 23(6), pp.67-75, 2013년 12월.
  71. B. Hemery, J. Mahier, M. Pasquet, and C. Rosenberger, "Face Authentication for Banking", Proc. 1st International Conference on Advances in Computer-Human Interaction(ACHI), pp.137-142, Feb. 2008.
  72. S. Santesson, Microsoft, M. Nystrom, RSA Security, T. Polk, and NIST, "Internet X.509 Public Key Infrastructure: Qualified Certificates Profile", RFC 3739, Mar. 2004.
  73. F. L. Podio, J. S. Dunn, L. Reinert, C. J. Tilton, B. Struif, F. Herr, J. Russell, M. P. Collier, M. Jerde, L. O'Gorman, and B. Wirtz, "Common Biometric Exchange Formats Framework", NISTIR 6529-A, Apr. 2004.
  74. D. J. Steeves and M. W. Snyder, "Secure online transactions using a captcha image as a watermark", U. S. Patent, US 11/157,336, Jun. 2005.
  75. F. Hartung and F. Ramme, "Digital rights management and watermarking of multimedia content for m-commerce applications", IEEE Communications Magazine, 38(11), pp.78-84, Nov. 2000. https://doi.org/10.1109/35.883493
  76. A. Haouzia and R. Noumeir, "Methods for image authentication: a survey", J. of Multimedia Tools and Applications, 39(1), pp.1-46, Aug. 2007.
  77. C. Hegde, S. Manu, P. D. Shenoy, K. R. Venugopal, and L. M. Patnaik, "Secure authentication using image processing and visual cryptography for banking applications", Proc. 16th International Conference on Advanced Computing and Communications(ADCOM), pp.65-72, 2008.
  78. J. Brainard, A. Juels, R. L. Rivest, M. Szydlo, and M. Yung, "Fourth-Factor Authentication: Sombody You Know", Proc. ACM conference on Computer and Communications Security (ACM CCS), pp.168-178, Oct. 2006.
  79. GPayments, "Two-Factor Authentication: An essential guide in the fight against Internet fraud", http://www.gpayments.com/pdfs/WHITEPAPER_2FA-Fighting_Internet_Fraud.pdf, Feb. 2006.
  80. Federal Financial Institutions Examination Council (FFIEC), "Authentication in an Internet Banking Environment", http://www.ffiec.govpdf/authentication_guidance.pdf, Oct. 2005.
  81. Financial Service Authority(FSA), "Countering Financial Crime Risks in Information Security", Nov. 2004.
  82. 성재모, "국내외 전자금융 보안정책 분석을 통한 효과적인 전자금융 보안 대응체계", 전남대학교대학원, 박사학위논문, 2011년 2월.
  83. 이영실, "2차원 바코드와 스트림 암호 기반의 모바일 OTP를 활용한 온라인 뱅킹용 인증 시스템", 동서대학교 디자인 & IT 전문대학원, 석사학위논문, 2010년 8월.
  84. K. Lee and K. Yim, "A Guideline for the Fixed PC Solution", Proc. International Conference on Smart Convergence Technologies and Applications(SCTA), pp.74-76, Aug. 2012.
  85. H. N. You, J. S. Lee, J. J. Kim, and M. S. Jun, "A study on the two-channel authentication method which provides two-way authentication in the Internet banking environment", Proc. 5th International Conference on Computer Sciences and Convergence Information Technology (ICCIT), pp.539-543, Nov. 2010.
  86. 유한나, "금융거래 시스템에서 모바일 인증서를 이용한 Two Channel 인증방식", 숭실대학교 대학원, 석사학위논문, 2010년 6월.
  87. 박영록, 손진우, 신선호, 윤명근, "다중채널 기반의 안전한 금융거래 입력방식", 한국정보보호학회학회지, 23(1), pp.9-17, 2013년 2월.