• 정보처리학회논문지C
• /
• 제18C권5호
• /
• pp.327-330
• /
• 2011

기존 휴대폰에 비해 강력한 연산능력을 가진 스마트폰의 출시 이후 개인 컴퓨터에서 제공되던 온라인 서비스의 영역이 점차 스마트폰으로 확산되고 있는 추세이다. 이러한 기술의 발전은 사용자에게 서비스제공의 시간 및 공간적 제한을 없애 주었지만, 악의적 공격에 쉽게 노출되는 보안상의 취약점을 가진다. 특히 금융권 서비스 이용 시 사용자의 비밀 정보가 교환되므로 더욱 주의를 기울여야 한다. 이러한 보안 문제를 해결하기 위해서는 하나의 세션에 하나의 비밀 키만을 사용하는 OTP(One Time Pad)가 권장되고 있다. 지금까지 스마트 폰에서의 OTP기법들은 기존 환경에 초점을 맞추어 제안 및 구현되어 왔다. 하지만 모바일 환경에서의 보안은 기존 시스템에 비해 공격에 취약할 뿐 아니라 자원적인 한계점을 가진다. 따라서 스마트폰에 적합한 새로운 개념의 OTP의 도입이 요구되어 진다. 본 논문에서는 시간동기화를 통한 T-OTP(Time One Time Pad) 기법과 위치기반 정보를 접목한 L-OTP(Location-OTP) 프로토콜을 제시한다. 제안된 방식은 스마트폰에서 사용자가 가지는 유일한 위치정보를 통해 OTP를 생성한다.

• 한국통신학회논문지
• /
• 제38B권6호
• /
• pp.492-500
• /
• 2013

One-Time Password(OTP) 발생기는 현재 은행이나 증권 회사에서 전자금융 거래 시에 안전한 거래를 보장하기 위해 multi-factor 인증으로 사용되고 있다. 국내 OTP 기반 전자금융 거래 검증 프로토콜은 OTP 인증 정보를 통해 사용자에 대한 신원을 확인함으로써 안전한 거래를 보장하며, 또한 Man-in-the-Browser(MITB) 공격, 메모리 해킹 공격 등에 대처하기 위해 사용된다. 하지만 지능적인 피싱, 파밍, 사회공학 공격들을 통해 OTP 생성 단말에 대한 정보를 수집하여 활용한다면 동일한 OTP 값을 생성할 수 있는 가능성이 있다. 그러므로 이와 같은 위협에 대응할 수 있는 대책이 필요하며 본고에서는 앞에서 언급한 문제점을 해결하기 위해 Physical Unclonable Functions(PUFs)을 이용한 새로운 기법을 제안한다. 먼저, 물리적으로 PUFs를 복제할 수 없는 특성은 동일한 OTP 값을 생성하는 것을 불가능하게 만든다. 또한 하드웨어적으로 OTP 발생기를 복제하는 것이 불가능하다. 결론적으로 제안된 프로토콜은 PUFs를 추가함으로써 이전 프로토콜보다 강력하고 안전한 인증 프로토콜을 제공한다.

• 디지털융복합연구
• /
• 제13권5호
• /
• pp.219-226
• /
• 2015

OTP(One Time Password)는 인터넷 뱅킹 등에서 사용자의 인증을 위해서 많이 사용되는데 이를 위해 사용자는 OTP 발생기 또는 보안 카드 등을 소지하여야 한다. 또한 OTP 발생기 또는 보안 카드를 분실하였을 경우 OTP가 노출될 수 있는 가능성이 있다. 본 논문은 사용자 인증을 위해 사용되는 OTP 분실 및 복제에 대한 단점을 대체하기 위해서 USN의 한 분야인 u-Health의 다양한 기술을 이용하여 수집된 개인의 건강 정보를 활용한 사용자 인증 프레임워크를 제안한다. 본 논문에서 제안하는 사용자 인증 프레임워크는 분실 위험이 없으며, 개인의 건강 상태가 매일 달라지기 때문에 여러 가지 항목들을 조합한다면 충분히 OTP로서의 활용 가치가 있다. 또한 제안하는 프로토콜은 신뢰하는 기관들의 인증서로 암호화되어 서비스 제공자에게 전달되기 때문에 노출에 안전하며 OTP 생성을 위한 기기 및 카드를 소지할 필요가 없기 때문에 기존 OTP를 사용하는 은행, 쇼핑몰, 게임 사이트 등에서 유용하게 사용할 수 있다.

• 한국항행학회논문지
• /
• 제16권2호
• /
• pp.375-385
• /
• 2012

지문은 바이오매트릭스를 이용한 대표적인 신분인증 방법이다. 패스워드 방법에 비하여 도용이나 분실의 위험성이 적은 특징이 있다. 이러한 특징으로 OTP 생성에 지문을 이용한 시도를 하게 되었다. 본 논문은 개발된 OTP 시스템의 프로토타입을 소개하며, 지문을 이용한 OTP 시스템은 와상형 지문의 특징점이 적게 추출된다는 단점을 극복하는 방법을 제안한다. 적은 특징점은 OTP 세션을 위한 많은 암호화 키를 생성하지 못한다. 제안된 방법은 간단하게 동일한 지문을 겹침으로써, 편의를 갖는 중첩된 지문의 많은 특징점이 추가된다. 이로 인하여, 지문을 이용한 OTP의 보안성과 패스워드 추측에 대한 임의성이 강화된다.

• 디지털융복합연구
• /
• 제13권1호
• /
• pp.283-288
• /
• 2015

일회용 패스워드는 정적인 패스워드 사용에 따른 위험을 해결하고 사용자 인증을 강화하기 위해 필요하다. 개인정보 유출에 따른 사용자를 인증을 강화하기 위해 OTP 생성 알고리즘이 중요시 되고 있다. 본 논문에서 제안하는 OTP 생성 알고리즘은 Seed값과 Time값을 이용하여 256비트 크기의 OTP Data를 생성하게 된다. 생성한 OTP Data를 행렬로 나열하고 불규칙적으로 32비트의 값을 추출하게 되는 이 값이 최종적인 OTP값이 된다. OTP 생성 횟수가 많을수록 제안하는 알고리즘이 기존 알고리즘에 비해 충돌내성의 확률이 낮음을 알 수 있다.

• 정보보호학회논문지
• /
• 제21권6호
• /
• pp.83-99
• /
• 2011

OTP (One Time Password) 인증방식은 국내 금융거래나 포털 및 온라인게임과 같은 인터넷 서비스에서 계정보안을 위한 수단으로 널리 이용되고 있다. OTP 는 국내 금융 거래 시 1등급 보안수단으로 지정될 만큼 보안성을 인정받고 있으나, OTP 인증을 구현한 서비스를 대상으로 한 다양한 해킹 방법들 역시 존재한다. 이러한 해킹 방법들은 대부분 OTP 알고리즘 자체의 결함을 찾아내어 공격하기보다는 OTP 인증방식을 구현한 방식이나 환경에 따라 발생 가능한 취약점을 이용하는 것이 일반적인데, 이 논문에서는 MITM (Man-in-the-Middle) 공격과 같이 기존에 알려져 있던 OTP 기반 인증방식을 대상으로 한 해킹기법 및 리버스 엔지니어링(Reverse Engineering)을 이용한 해킹 방법들에 대해 논의하고, 이에 대한 해결방안을 제시하도록 한다.

• 한국컴퓨터정보학회지
• /
• 제14권2호
• /
• pp.205-214
• /
• 2006

유비쿼터스 컴퓨팅 시대의 업무를 위하여 인터넷을 통한 원격 접속이 필요하고, 입력되는 ID와 패스워드에 대한 기밀성 무결성의 네트워크 보안을 위하여 OTP를 적용하고 있다. 현재의 OTP는 Token이라는 하드웨어를 보유하고 있어야 하며, 보안에서도 취약점이 있다. 본 논문에서는 OTP 네트워크에 스니핑 도구를 설치하고, Cain을 이용하여 ARP Cache poisoning 공격을 시행하여 사용자 암호에 대하여 스니핑으로 취약점을 확인한다. 새로운 보안 방안으로 Tokenless OTP를 적용할 수 있는 새로운 시스템을 제안하고, 기밀성과 무결성을 보장하고자 한다. 외부에서 원격 접속 시 Tokenless OTP를 활용하여 접근제어를 위한 테스트를 하고, 접속에서 인증시스템과 연동하여 접속제어를 할 수 있었다. 만약 인증과정에서 해킹을 당해도 사용자만이 알고 있는 핀 번호 없이는 접속이 불가능하다는 것이 확인되었다. 이 결과 Tokenless OTP를 적용할 시에 패스워드의 유출 및 오용과 해킹에 대한 방어가 되어 보안성을 강화하고, 안전성을 높이는 보안 시스템으로 평가되었다.

• 한국정보통신학회논문지
• /
• 제20권2호
• /
• pp.317-326
• /
• 2016

본 논문에서는 OTP (One-Time Programmable) IP (Intellectual Property)의 개발비용을 절감하고 개발 기간을 단축하기 위해 로직 트랜지스터만 이용한 로직 eFuse (electrical Fuse) OTP IP를 설계하였다. 웨이퍼 테스트 시 테스트 장비에서 FSOURCE 패드를 통해 VDD (=1.5V)보다 높은 2.4V의 외부 프로그램 전압을 eFuse OTP IP에만 공급하므로 eFuse OTP 이외의 다른 IP에는 소자의 신뢰성에 영향을 미치지 않으면서 eFuse OTP cell의 eFuse 링크에 높은 전압을 인가하도록 하였다. 한편 본 논문에서는 128행 ${\times}$ 8열의 2D (Dimensional) 메모리 어레이에 직접 FSOURCE 전압을 인가하여 eFuse에 인가되는 프로그램 파워를 증가시키면서 디코딩 로직 회로를 저면적으로 구현한 eFuse OTP 셀을 제안하였다. 동부하이텍 $0.11{\mu}m$ CIS 공정을 이용하여 설계된 1Kb eFuse OTP 메모리 IP의 레이아웃 면적은 $295.595{\mu}m{\times}455.873{\mu}m$ ($=0.134mm^2$)이다.

• 한국컴퓨터정보학회논문지
• /
• 제15권12호
• /
• pp.163-173
• /
• 2010

유선인터넷뱅킹에 적합한 공인인증서 방식은 브라우저에 종속된 ActiveX 기반이므로, 스마트폰을 이용한 모바일뱅킹에서 활성화되기에는 한계가 있다. 따라서 본 연구에서는 이에 대한 대체 또는 보완 방안으로 제시되고 있으나 아직 낮은 인지도와 활용도를 보이고 있는 OTP(One Time Password)의 낮은 활용 원인을 분석하고, 모바일 환경에 적합한 새로운 보안매체로서 활성화되기 위한 시사점을 제시하고자 한다. 소비자학습모형과 정보보안에 대한 선행연구를 바탕으로 연구모형을 설정하여, 현재 OTP를 사용하고 있는 소비자를 대상으로 연구를 진행하였다. OTP의 인지된 보안성을 무결성, 기밀성, 인증성, 부인방지의 네 개 변수의 고차요인 변수로 구성하여, 인지된 보안성과 개인의 보안의식, 정보인증서비스의 사용자경험이 OTP에 대한 신뢰 및 재사용의도에 미치는 영향을 검증하였다. 연구 결과, 개인의 보안의식이 인지된 보안성에 주는 영향과 보안성이 OTP에 대한 신뢰에 주는 영향, 신뢰가 재사용의도에 주는 영향의 유의함이 검증되었다. 또한, 보안성의 인지에는 부인방지가 상대적으로 가장 큰 영향력을 가짐을 알 수 있었다. 이러한 결과를 중심으로 OTP의 활용도를 높이기 위한 연구의 시사점이 제시되었다.

• 한국컴퓨터정보학회논문지
• /
• 제12권1호
• /
• pp.107-116
• /
• 2007

유비쿼터스 컴퓨팅 시대에서 업무를 위하여 인터넷을 통한 원격 접속을 할 때, 정보보안을 위해 입력되는 ID와 패스워드에 대한 기밀성, 무결성의 네트워크 보안을 위하여 OTP를 적용하고 있다. 현재의 OTP는 Token이라는 하드웨어를 보유하고 있어야 하며, 보안에서도 취약점이 있다. 본 논문에서는 OTP 네트워크에 스니핑 도구를 설치하고, Cain을 이용하여 ARP Cache poisoning 공격을 시행하여 사용자 암호에 대하여 스니핑으로 취약점을 확인한다. 새로운 보안 방안으로 Tokenless OTP를 적용할 수 있는 새로운 시스템을 제안하고, 기밀성과 무결성을 보장하고자 한다. 외부에서 원격 접속 시 Tokenless OTP를 활용하여 접근제어를 위한 테스트를 하고, 접속에서 인증시스템과 연동하여 접속제어를 할 수 있었다. 만약 인증과정에서 해킹을 당해도 사용자만이 알고 있는 핀 번호 없이는 접속이 불가능하다는 것이 확인되었다. 이 결과 Tokenless OTP를 적용할 시에 패스워드의 유출 및 오용과 해킹에 대한 방어가 되어 보안성을 강화하고, 안전성을 높이는 보안 시스템으로 평가되었다.