Informatization Policy (정보화정책)

National Information Society Agency (한국지능정보사회진흥원)
권호 표지
DOI QR코드

DOI QR Code

Analysis and Classification of Security Threats based on the Internet Banking Service

인터넷 뱅킹 서비스에서의 보안위협 분류 및 분석

  • Received : 2017.04.10
  • Accepted : 2017.05.30
  • Published : 2017.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

In this paper, we focus on classification of security threats and definitions of security requirements for Internet banking service. Threats are classified based on the past and potential incidents, based upon which we will be able to propose security requirements. In order to identify security threats, the structure of the Internet banking service is classified into three sections - the financial institutions, the network, and the user-terminal - and we defined arising threats for each section. We focused the analysis especially on the user-terminal section, which is relatively vulnerable, causing difficulties in securing stability of the service as a whole. The analyzed security threats are expected to serve the foundation for safe configuration of various Internet banking services.

본 논문은 인터넷 뱅킹 서비스의 안전성을 평가하기 위한 보안위협을 분류하고 보안 요구사항을 제안하는데 그 목적이 있다. 분류한 보안위협은 기존에 발생하였던, 그리고 발생이 가능한 보안위협을 기반으로 분석하였으며, 이를 통하여 보안 요구사항을 제안하기 위한 기반을 다질 것으로 사료된다. 보안위협 도출을 위하여 인터넷 뱅킹 서비스의 구조를 금융기관 구간과 네트워크 구간, 사용자 구간으로 분류하였으며, 각 구간에서 발생하는 보안위협을 도출하였다. 특히, 사용자 구간이 상대적으로 취약하기 때문에 전체 서비스의 안전성을 확보하기 어려운 상황이므로 이를 중점적으로 분석하였다. 분석한 보안위협을 토대로 안전한 인터넷 뱅킹 서비스를 구성할 수 있을 것으로 예상된다.

Keywords

References

  1. 강병탁 (2016). MITM 공격을 이용한 OTP 적용환경의 취약점 연구. 고려대학교 정보보호대학원 석사학위논문.
  2. 강성구.서정택 (2012). "전기자동차 충전 인프라에서의 보안위협 및 보안요구사항 분석." 한국정보보호학회 학회지, 22(5): 1027-1037.
  3. 강신범.정현철 (2005). "인터넷 뱅킹 해킹 유형과 대응 기술." 한국정보보호학회 학회지, 15(4): 29-38.
  4. 금융보안연구원 (2007a). 전자금융 이용자 보안가이드. 서울: 금융보안연구원.
  5. 금융보안연구원 (2007b). 종단간(End-to-End) 암호화적용 가이드. 서울: 금융보안연구원.
  6. 금융보안연구원 (2009). FLEX 기반 전자금융서비스 보안기술 분석 보고서. 서울: 금융보안연구원.
  7. 금융보안연구원 (2010a). 금융부문 스마트폰 보안 가이드. 서울: 금융보안연구원.
  8. 금융보안연구원 (2010b). 정보유출 위협 및 대응방안 연구보고서. 서울: 금융보안연구원.
  9. 금융보안연구원 (2011). 국내 피싱사이트 주요특징 및 대응방안. 2011(20). 서울: 금융보안연구원.
  10. 금융보안연구원 (2012). 피싱사이트의 진화와 탐지. 2012(6). 서울: 금융보안연구원.
  11. 금융보안연구원 (2014). 전자금융환경의 거래서명 인증기술 동향 및 도입 시 고려사항. 2014(2). 서울: 금융보안연구원.
  12. 김영환.김성진.이영록.노봉남 (2006). "인터넷뱅킹 클라이언트 보안 강화를 위한 새로운 마우스 이용 비밀번호 입력 기술." 한국정보과학회 학술발표논문집, 33(2C): 606-611.
  13. 김종기.전진환 (2006). "컴퓨터 바이러스 통제를 위한 보안행위의도 모형." 정보화정책, 13(3): 174-196.
  14. 김창균.박일환 (2008). "금융IC카드에 대한 부채널분석공격 취약성 분석." 한국정보보호학회 논문지, 18(1): 31-39.
  15. 맹영재.신동오.김성호.양대헌.이문규 (2010). "국내 인터넷뱅킹 계좌이체에 대한 MITB 취약점 분석." Internet and Information Security, 1(2): 101-108.
  16. 박성용.문종섭 (2009). "보안 인증을 통한 ActiveX Control 보안 관리 모델에 관한 연구.", 한국정보보호학회 논문지, 19(6): 113-119.
  17. 박재철 (2008). "인터넷 뱅킹 보안을 위한 웹 공격의 탐지 및 분류." 한국정보보호학회 학회지, 18(5): 62-72.
  18. 백명한 (1998). 인터넷 뱅킹 구축을 위한 보안 기술에 관한 연구. 한양대학교 산업대학원 석사학위논문.
  19. 성재모 (2011). 국내외 전자금융 보안정책 분석을 통한 효과적인 전자금융 보안 대응체계. 전남대학교 대학원 박사학위논문.
  20. 신동휘.최윤성.박상준.김승주.원동호 (2007). "네이트온 메신저의 사용자 인증 메커니즘에 대한 취약점 분석." 한국정보보호학회 논문지, 17(2): 67-80.
  21. 심희원 (2011). 온라인뱅킹의 확장된 상호인증 및 부인방지를 위한 거래서명 인증기술. 전남대학교 대학원 박사학위논문.
  22. 유한나.이재식.김정재.박재표.전문석 (2011). "인터넷 뱅킹 환경에서 사용자 인증 보안을 위한 Two-Channel 인증 방식." 한국통신학회 논문지, 36(8): 939-946.
  23. 이상진.황소연.김경곤.여성구 (2007). "인터넷 뱅킹 서비스 취약점 분석 및 보안대책." 정보.보안논문지, 7(2): 119-128.
  24. 이수미.성재모 (2011). "국내 전자금융 현황 및 보안위협 분류." 한국정보보보학회 학회지, 21(7): 53-61.
  25. 이영실 (2010). 2차원 바코드와 스트림 암호 기반의 모바일 OTP를 활용한 온라인 뱅킹용 인증 시스템. 동서대학교 디자인 & IT 전문대학원 석사학위논문.
  26. 이원철.이석래.이재일.김인석 (2005). "전자금융거래시스템 취약점 분석 및 안전성 강화방안 연구." 한국정보보호학회 학회지, 15(4): 43-48.
  27. 이재식 (2013). 안전한 인터넷 뱅킹 서비스 제공 모델 및 인증 기법 설계. 숭실대학교 대학원 박사학위 논문.
  28. 이재익 (2008). 전자금융거래 보안강화를 위한 종단간 암호화와 고려사항. 성균관대학교 정보통신대학원 석사학위논문.
  29. 이정호 (2008). "전자금융 침해사고 예방 및 대응 강화 방안." 한국정보보호학회 학회지, 18(5): 1-20.
  30. 이태헌 (2016). "텍스트 마이닝을 이용한 정보보호인식 분석 및 강화 방안 모색." 정보화정책, 23(4): 76-94. https://doi.org/10.22693/NIAIP.2016.23.4.076
  31. 이한욱.신휴근 (2013). "메모리 해킹 공격에 강건한 사용자 인증수단 고찰." 한국정보보호학회 학회지, 23(6): 67-75.
  32. 이형익 (2010). 부정이체 방지를 위한 실시간 IP 차단 시스템에 관한 연구. 고려대학교 공학대학원 석사학위논문.
  33. 이형찬.이정현.손기욱 (2011). "스마트워크 보안 위협과 대책." 한국정보보호학회 학회지, 21(3): 12-21.
  34. 장상수 (2015). "정보보호총론." 정보보호 위험관리(Information Security Risk Management, 403-437. 파주: 생능출판사.
  35. 장우석.이광우.최동현.정학.이병희.최윤성.김승주.원동호 (2005). "인터넷 뱅킹 보안." 대한전자공학회 학회지, 32(11): 37-50.
  36. 장윤근 (2009). 인터넷뱅킹 사용자 입력정보의 안전성 강화를 위한 대체방안에 대한 연구. 동국대학교 국제정보대학원 석사학위논문.
  37. 조강유.민상식.성재모 (2013). "전자금융 보안위협 관련 대응기술 연구 추진 방안." 한국정보보호학회 학회지, 23(6): 49-53.
  38. 조혜숙.김승주.원동호 (2010). "인터넷 뱅킹 시스템 관련 표준 분석 및 보호프로파일 개발에 관한 연구." 한국정보처리학회 논문지, 17-C(3): 223-232.
  39. 조창현 (2010). 보안성이 강화된 인터넷 뱅킹 환경을 위한 이동통신 이중채널 인증 기법에 관한 연구. 숭실대학교 대학원 박사학위논문.
  40. 정순채 (2012). 전자금융사기 등 정보통신망 이용 금융사기 대응방안 고찰. 경희대학교 국제법무대학원 석사학위논문.
  41. 한국정보통신기술협회 (2011). 전자금융서비스 위협 분석 및 관리 방안, 기술보고서 TTAR-12.0008. 경기도 성남시: 한국정보통신기술협회.
  42. 홍석원.이명호.이철환 (2012). "한국형 스마트 그리드에서의 보안 위협 및 보안 요구사항." 정보과학학회 학회지, 30(1): 66-74.
  43. 황소연 (2008). 인터넷 뱅킹 서비스 취약점 분석 및 보안대책. 고려대학교 정보경영공학전문대학원 석사학위논문.
  44. Asokan, N., Niemi, V. & Nyberg, K. (2005). "Man-in-the-Middle in Tunnelled Authentication Protocols." LNCS 3364: 28-41.
  45. Callegati, F., Cerroni, W. & Ramilli, M. (2009). "Man-in-the-Middle Attack to the HTTP Protocol." Journal of the IEEE Security & Privacy, 7(1): 78-81.
  46. Dolev, D. & Yao, A. C. (1981). "On the Security of Public Key Protocols." Proceeding of the IEEE Ann. Sym. Foundations of Computer Science, 350-357.
  47. Hiltgen, A., Kramp, T. & Weigold, T. (2006). "Secure Internet Banking Authentication." Journal of the IEEE Security & Privacy, 4(2): 21-29. https://doi.org/10.1109/MSP.2006.50
  48. Hole, K. J., Moen, V. & Tjostheim, T. (2006). "Case study: online banking security." IEEE Security & Privacy, 4(2): 14-20.
  49. Hole, K. J., Klingsheim, A. N., Netland, L. H., Espelid, Y., Tjostheim, T. & Moen, V. (2009). "Risk Assessment of a National Security Infrastructure." IEEE Security & Privacy, 7(1): 34-41. https://doi.org/10.1109/MSP.2009.17
  50. Kalige, E. & Burkey, D. (2012). "A Case Study of Eurograbber: How 36 Million Euros was Stolen via Malware." http://www.naavi.org/cl_editorial_12/Eurograbber_White_Paper.pdf. (Retrieved on Apr. 6, 2017).
  51. Knight, W. (2005). "Caught in the net [Internet and e-mail security issues]." IEEE Review, 51(7): 26-30.
  52. Larcom, G. & Elbirt, A. J. (2006). "Gone phishing." IEEE Technology and Society Magazine, 25(3): 52-55. https://doi.org/10.1109/MTAS.2006.1700023
  53. Opplinger, R., Rytz, R. & Holderegger, T. (2009). "Internet Banking: Client-Side Attacks and Protection Mechanism." Journal of the IEEE Computer, 42(6): 27-33.
  54. Schneier, B. & Kelsey, J. (1998). "Cryptographic Support for Secure Logs on Untrusted Machines." Proceedings of the USENIX Security Symposium: 53-62.