DOI QR코드

DOI QR Code

USIM 정보를 활용한 패스워드리스 방식의 개인키 보호 방안

Passwordless Protection for Private Key Using USIM Information

  • 투고 : 2017.04.28
  • 심사 : 2017.05.08
  • 발행 : 2017.06.28

초록

최근 공인인증서에 대한 무용론이 제기됨에도 불구하고, 우리나라 인구의 절반(약 3,500만개)이 공인인증서를 발급받아 인터넷 뱅킹, 인터넷 쇼핑, 주식거래 등에서 본인확인용도로 사용하고 있다. 또한 공인인증서 사용자는 이동디스크나 스마트폰을 저장매체로 사용하고 있다. 이러한 저장매체는 악성코드에 의해 공인인증서 관련 파일과 사용자 패스워드가 쉽게 탈취될 수 있고 공격자는 탈취한 사용자 패스워드와 공인인증서로 언제든지 정당한 사용자로 위장할 수 있다. 이러한 공인인증서 안전성 문제로 인해 SMS를 이용한 휴대폰 소유자 인증기술, 생체인증을 통한 본인 인증 기술 등 다양한 인증기술이 제안되고 있다. 그러나 아직까지 사용자 패스워드가 필요 없고 공인인증서를 대체하는 안전한 기술이 제시되지 않고 있다. 이에 본 논문에서는 USIM 정보와 스마트폰 고유번호를 조합해서 사용자 패스워드 없이 공인인증서를 안전하게 보호할 수 있는 방안을 제안하였다. 이를 통해 공격자가 개인키 및 인증서 파일을 탈취하더라도 공인인증서를 사용할 수 없고, 사용자는 영문자/숫자/특수문자 등 조합규칙을 따르는 복잡한 패스워드를 사용하지 않아도 된다. 따라서 제안 방안을 공인인증서에 사용한다면 사용이 편리하면서도 안전한 보안 서비스를 제공할 수 있다.

Despite the opinion that certificate is useless, half of the population in Korea (approx. 35 million) get an certificate, and use it for internet banking, internet shopping, stock trading, and so on. Most users store their certificates on a usb memory or smartphone, and certificates or passwords stored on such storage media can be easily attacked and used to disguise as legitimate users. Due to these security problem of certificate, a various authentication technologies has been proposed such as smartphone owner authentication using SMS, and a personal authentication using biometric authentication. However, a safe technique is not presented yet without user password, and certificate. In this paper, I proposed a method to secure certificate/private key without a user password using a combination of USIM card and smartphone's information. Even if a hacker gets the user password, the certificate, and the private key, he can not use the certificate. User do not need to remember complex password which is a combination of alphabetic / numeric / special characters, and use his certificate safely.

키워드

참고문헌

  1. 미래창조과학부, "연도별 공인인증서 발급현황," 2016(8).
  2. 한국인터넷진흥원, "15년도 대국민 전자서명 이용실태 조사," 2015(12).
  3. http://www.boannews.com/media/view.asp?idx=37950&kind=3&search=title&find=%BD%BA%B8%B6%C6%AE%C6%F9+%B0%F8%C0%CE%C0%CE%C1%F5%BC%AD, 2013.10.08
  4. http://www.boannews.com/media/view.asp?idx=35172&kind=3&search=title&find=%BD%BA%B8%B6%C6%AE%C6%F9+%B0%F8%C0%CE%C0%CE%C1%F5%BC%AD, 2013.03.13.
  5. 김선주, 조인준, "OTP를 이용한 PKI 기반의 개인 키 파일의 안전한 관리방안," 한국콘텐츠학회논문지, 제14권, 제12호, pp. 565-573, 2014. https://doi.org/10.5392/JKCA.2014.14.12.565
  6. 김선주, 조인준, "USB 메모리의 컨테이너ID를 이용한 PKI 기반의 개인키 파일 안전한 관리방안," 한국콘텐츠학회논문지, 제15권, 제10호, pp. 607-615, 2015. https://doi.org/10.5392/JKCA.2015.15.10.607
  7. 박영진, 김선종, 이동훈, "인증서와 개인키 유출방지를 위한 보안키 저장소," 정보보호학회 논문지, 제24권, 제1호, pp. 31-40, 2014.
  8. https://ko.wikipedia.org/
  9. http://word.tta.or.kr
  10. http://www.zdnet.co.kr/column/column_view.asp?artice_id=20100401115240&type=det&re=
  11. B. Kaliski, PKCS #8: Private-Key Information Syntax Standard V1.2, RSA Laboratories, 2008.
  12. B. Kaliski, PKCS #5, Password Based Cryptography Standard V2.1, RSA Laboratories, 2000.
  13. 나준채, "차세대 USIM 기술," TTA Journal No. 116 pp. 80-85.
  14. 인선준, "SIM, UIM과 USIM," TTA Journal No. 83 pp. 89-101.
  15. https://namu.wiki/w/IMEI