Review of KIISC (정보보호학회지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지

P2P 사용자 인증과 OTP 분석

  • 문용혁 (한국전자통신연구원 정보보호연구단 P2P보안연구팀) ;
  • 권혁찬 (한국전자통신연구원 정보보호연구단 P2P보안연구팀) ;
  • 나재훈 (한국전자통신연구원 정보보호연구단 P2P보안연구팀) ;
  • 장종수 (한국전자통신연구원 정보보호연구단 보안응용그룹)
  • Published : 2007.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

유비쿼터스 서비스 인프라로 부각되고 있는 P2P(Peer-to-Peer) 네트워크는 사용자 제작 콘텐트, 동영상, 파일 등으로 대표되는 지식 콘텐트뿐만 아니라, 컴퓨터 및 네트워크 자원(Resource)을 다양한 환경에서 N 대 N의 형태로 상호 공유 및 분배할 수 있는 구조적 가능성을 제공하고 있다. 그러나 "Open, Dynamic, Anonymous" 등의 특성을 기반으로 하는 P2P 네트워크는 신뢰적 ID(Identity) 생성 및 관리 그리고 이의 적절한 인증에 대한 지원 없이는 현실적으로 잠재적인 보안 위협에 노출되는 제약이 따르게 된다. 한편, 최근 금융보안업계가 주축이 되어 일회용패스워드로 지칭되는 OTP(One Time Password) 인증 메커니즘(Authentication Mechanism)을 제 1 등급 보안방법으로 명시화하고 있고, 온라인 업계에서도 이를 활용하는 기술적 시도 및 개발 사례가 늘어나고 있어, OTP 기술의 보안성 검토 및 활용 범위를 확대하는 방안에 대한 논의의 필요성이 대두되고 있다. 본고에서는 이러한 기술적 흐름 및 산업계 동향에 발맞춰 P2P 네트워크에서 사용자 인증을 위해 OTP 메커니즘을 활용하기 위한 방안에 대해 검토하고 이의 적용 가능성을 분석한다.

Keywords

References

  1. Paul Syverson, 'A Taxonomy of Replay Attacks', In Proceeding IEEE Computer Security Foundations Workshop VII, pages 131-136. IEEE Computer Society Press, June 1994
  2. Oram, A.: Peer-to-Peer : 'Harnessing the Benefits of a Disruptive Technology', 1st edn. O'Reilly, Beijing; Sebastopol, CA(2001)
  3. 권혁찬, 문용혁, 구자범, 고선기, 나재훈, 장종수, 'P2P 표준화 및 기술 동향', 전자통신동향분석, u-IT839의 정보보호 이슈 특집 논문, 한국전자통신연구원, 22권 1호(통권 103호) 2007.02
  4. Michal Feldman, et al., 'Free-Riding and Whitewashing', Selected Areas in Communications, IEEE Journal on Pages 1010-1019, Vol.24, Issue 5, May 2006 https://doi.org/10.1109/JSAC.2006.872882
  5. John R. Douceur, 'The Sybil Attack', The 1st International Workshop on Peer-to-Peer Systems (IPTPS '02), 2-8 March 2002, MIT Faculty Club, Cambridge, MA, USA
  6. Committee on National Security Systems(CNSS) Instruction No. 4009, National Information Assurance (IA) Glossary, published by the United States Federal government, Revised June, 2006
  7. John Brainard, et al., 'Fourth-Factor Authentication: Somebody You Know', ACM Conference on Computer and Communications Security (CCS'06), October 30-November 3, 2006, Alexandria, Virginia, USA
  8. N, Haller, et al., 'One-Time Password System', RFC 2289, IETF OPT Working Group, Feb, 1998
  9. Neil M. Haller, 'The S/KeyTM One-Time Password System', Bellcore, Morristown, New Jersey
  10. Y.Zhang and D.Zhang, 'Authentication and Access Control in P2P Network', LNCS 3032, 2004
  11. Philip Zimmermann, 'The Official PGP User's Guide', MIT Press,. 1994
  12. Carl Ellison and Bruce Schneier, 'Ten Risks of PKI: What You're not Being Told about Public Key Infrastructure', Computer Security Journal, Vol. XVI. Number 1, 2000
  13. '전자거래 안정성 강화 종합대책', 금융감독원 (FSS), 2005. 9
  14. '금융정보화 주요동향 제84호', 보험개발원(KIDI), 2007. 1
  15. Daniel Brookshier et al., 'Chap. 8” JXTA and Security in JXTA: Java P2P Programming', Published by Sams, June, 2002
  16. Prem Devanbu, et al., 'The Next Revolution: Free, Full, Open Person-2-Person (P2P) E-commerce', July 3, 2000