DOI QR코드

DOI QR Code

Indirect PIN Entry Method for Mobile Banking Using Relative Location Information of Secret Code

비밀코드의 상대적 위치정보를 이용한 모바일 뱅킹용 간접 PIN 입력 기법

  • Received : 2020.05.09
  • Accepted : 2020.06.03
  • Published : 2020.06.30

Abstract

In this paper, we propose an indirect PIN entry method that provides enhanced security against smudge, recording, and thermal attacks. Conventional mobile PIN entry methods use on-screen numeric keypad for both use of display and entry. Thus These methods are vulnerable to aforementioned attacks. In our method, passcode is same as that of the conventional PIN entry methods, and that is user-friendly way for mobile device users. Therefore, our method does not reduce user convenience which is one of the advantages of the conventional methods. In addition, our method is not a method of directly touching the on-screen numeric keypad for entering passcode like the conventional PIN methods. Unlike the conventional methods, our method uses an indirect passcode entry method that applied a passcode indicating key. According to the performance comparison result, proposed method provides user convenience similar to the conventional methods, and also provides a higher level of security and safety against recording, smudge, and thermal attacks than the conventional methods.

Keywords

1. 서론

스마트폰 내장 센서의 급격한 성장과 더불어 센서의 저가격화, 고성능화가 이루어지면서 다양한 응용범위[1]를 갖는 센서의 개발 및 판매 시장의 확대가 이루어지고 있다. 최근 삼성에서 출시한 모델 중 Galaxy S20 Ultra 모델의 경우 고배율 줌 기능과 초고해상도 이미지센서를 적용하였으며, 이를 통해 복합 10배, 디지털 방식 100배 줌이라는 고배율을 구현함으로써 매우 정밀한 원거리 이미지를 얻을 수 있다[2]. 또한, 화웨이의 경우 자사의 P30 pro 기기에 광학줌 및 복합 줌, 그리고 디지털 줌을 포함하여 총 50배줌을 구현함으로써 이 기기 또한 상당한 수준의 원거리 이미지 획득이 가능하다[3]. 이같이 점차 고성능, 저가격의 소형화된 광학 장치를 도입한 모바일 기기의 출시가 보편화 될 것[4]으로 전망되는 가운데, 이러한 기기들이 대중화되면서 발생할 수 있는 사회공학 공격 즉, 기존의 사회공학 공격들로 언급된 공격들 [5-10] 중의 하나인 고성능의 광학 기기를 이용한 레코딩 공격[5]을 기존의 공격 유형 대비 더욱 수월?하게, 더욱 대중적인 차원에서 시도가 가능해질 것으로 보인다. 따라서 점차 대중화되고 있는 고성능의 광학 장치들을 이용한 공격이 고려된 대응 방안이 필요하다. 기존의 텍스트 기반 패스워드 및 PIN 인증기법은 대부분 가상 키보드 구성은 사용자의 입력 편의성을 위해 기존 Desktop PC 환경에서 주로 사용되었던 물리 QWERTY 키보드와 키보드의 숫자 키 입력 구조에서 그 형태를 모방하였다. 따라서 다음의 Fig. 1과 같이 사용자들이 자주 사용하는 패스워드들이 기존의 Desktop PC 환경에서 발견되는 취약점[11]과 유사하다.

MTMDCW_2020_v23n6_738_f0001.png 이미지

Fig. 1. The 20 most common keyboard patterns in 10 million passwords.

다음의 Table 1은 자주 사용되는 4자리 패스워드를 나타내는 순위표이다. 기존의 기법은 쉽게 유추가 가능한 형식이라는 공통적인 취약점[12] 또한 존재한다.

Table 1. The most popular 4-digit PIN in use

MTMDCW_2020_v23n6_738_t0001.png 이미지

여기에 더하여 고전적인 텍스트 기반 패스워드 및 PIN 인증 기법의 패스워드 입력방식들에서 자주 발견되는 문제점인 스머지 공격[6]에 대한 보안 취약성이 존재한다. 이러한 기존의 사회공학적 공격 유형에 더해 비교적 최근의 연구[13]인 열 감지 센서를 내장한 카메라를 이용한 레코딩 공격에 대한 기존 보안 기법들의 취약점을 분석한 결과에 의하면 고전 보안 기법들[14,15]이 스크린에 남아있는 열원이 마치 스머지와 같이 일정 시간 스크린에 잔류하고 있으므로 이러한 잔류 스머지를 이용한 패스워드 및 패턴 추정 공격에 취약함을 보였다. 이에 대한 대응으로 해당 연구에서는 기기의 스크린 또는 프로세서 발열을 증가시켜 스크린에 남아있는 사용자 열원을 감지 불가능하게 만드는 방식을 제안하였다. 그러나 모바일 기의 사용특성을 고려한다면 배터리 가용 에너지를 효율적으로 제어 및 운용하는데 최적화된 기기에서 이와 같은 대응 방안은 적절하지 않다.

이에 본 연구는 이러한 유형의 사회공학 공격에 대하여 직접적이면서도 에너지 효율적이며 공격에 강인한 간접 PIN 사용자 인증 기법을 제안하고자 한다. 제안하는 방법은 기존의 PIN 기법과 유사한 비밀키 입력방식을 사용하므로 기존과 유사한 사용자 편의성을 보장함과 동시에 간접 키 입력을 사용하여 보안 안전성을 높이게 된다.

본 연구는 다음과 같이 구성된다. 2장 및 3장에서 우리는 기존의 PIN 기법을 포함하여 몇 가지 유형의 보안 기법들의 문제점을 몇 가지 주요 사회공학 공격을 가정하여 분석한다. 4장에서는 이러한 유형의 보안 취약점에 대응하는 인증 기법을 제안하고 기법의 동작 구조를 설명한다. 5장에서는 제안 기법을 기존 기법과 보안 안전성 및 사용 편의성 측면에서 비교 분석하며 6장에서 결론을 맺는다.

2. 기존 연구

최근의 모바일 보안 연구, 특히 스마트폰 분야에서의 보안 연구는 보안 안전성에 더하여 사용자 편의성 또한 고려한다. 기존의 연구[16]는 이러한 usable security를 고려하여 자체 연구를 진행하였다. 본 연구도 이러한 부분을 고려하여 보안 안전성 및 사용자 편의성 두 가지 측면에서 기존의 연구들과 제안 기법을 분석한다.

2.1 Fake Pointer

Fake Pointer 방식[5]은 영상 녹화 장비를 사용한 외부공격에 대응하기 위해 기호로 구성된 인디케이터 조합과 PIN 번호의 조합을 통해 사용자 인증을 하는 방식을 제안하였다. Fig. 2와 같이 이 방식은 인디케이터로 지정된 기호의 조합과 PIN 입력을 일치시켜 사실상 두 개의 비밀번호를 입력하는 효과를 얻게 된다. 또한, 비밀키 입력에 기존의 모바일 기반 PIN 기법에서 사용하는 터치스크린에 표시된 숫자키를 직접 터치하여 입력하는 방식이 아닌 좌우 방향키와 스페이스 키를 사용하여 입력하는 방식을 사용한다. 이 방식은 좌우 방향키는 숫자 키의 순환을 위해, 스페이스 키는 키 입력을 위해 사용하도록 하는 기법이다.

MTMDCW_2020_v23n6_738_f0002.png 이미지

Fig. 2. Eaxmple of fake pointer. (a)user interface and (b) answer indicator.

이 방법은 PIN 번호 및 인디케이터 도형의 조합을 직접 선택하지 않으므로 비디오카메라 같은 영상장비를 이용한 공격에 안전하다고 주장하였으나 인디케이터가 PIN과 함께 화면에 나타나 있는 기법은 외부 공격자에게 비밀정보를 추정할 수 있는 단서를제공한 것과 같다. 최근의 영상장비는 고해상도의 광학 이미지를 장시간 저장할 수 있는 저장수단을 겸비하고 있어 다수의 공격 시도를 통해 기록되어 있는 영상 자료를 분석하면 PIN 및 인디케이터의 자릿수는 쉽게 추정 가능하며 역시 다수의 영상 자료 확보를 통해 가용 인디케이터 및 PIN 정보의 조합 또한 추정 가능하므로 이를 이용한 공격이 가능하게 된다.

2.2 Switch PIN

Switch PIN 기법[15]은 특수키의 조합으로 기존의 PIN 기법 대비 향상된 보안성을 보이는 기법이다. 이 기법은 Fig. 3과 같이 화면은 기존 키패드의 그것과 유사한 화면을 사용자에게 제공하고 있어 기존 PIN 기법 사용자에게 친숙하다. 또한, 특수키의 조합과 임의로 배정되는 숫자 키 알고리즘을 적용함으로써 보안성이 향상되었다. 여기에 show 키를 추가로 적용하여 사용자가 비밀키 입력을 위해 필요한 숫자 키의 위치정보를 기억한 후 입력할 수 있도록 함으로써 외부의 공격에 대한 키 유출 안전성도 고려하였다.

MTMDCW_2020_v23n6_738_f0003.png 이미지

Fig. 3. Example of Switch PIN authentication. (a) initial layout, (b) show key operation, (c) password input, and (d) show key operation.

그러나 사회공학 공격의 관점에서 이 기법이 사용자 그리고 공격자 모두가 기기 화면을 관찰할 수 있다는 가정을 전제한다면 이 기법은 기기 화면에 표시되는 정보를 통해 인증을 위한 전체 정보를 제공하는 기법으로 정의할 수 있다. 따라서 스머지 공격과 열감지 공격에 대해 안전하다고는 할 수 있으나 엿보기 공격 및 레코딩 공격에 대해서는 비밀정보가 비교적 쉽게 유출될 수 있다. 따라서 사회공학 공격에 안전하다고 할 수 없다.

2.3 Yonma’s approaches

열 감지 공격에 대한 대응으로 제시된 Yonma의 3가지 기법[13]은 다음의 Fig. 4와 같다. 첫 번째로, 기존의 터치 기반 환경에서 PIN 입력 또는 패턴 인식 이후 단계에서 스크린 전체를 백색광으로 채워 스크린 전체를 3초 정도 가열하는 방법이다. 두 번째로, 스크린에 남아있는 열원 추정으로 인한 패스워드 및 패턴 추정에 혼선을 주기 위해 스크린에 손을 무작위로 바꾸어 여러 열원이 남아있도록 하는 방법이다. 마지막으로, 스마트폰의 APU에 3초 정도 과부하를 주어 발열시킴으로써 스크린의 잔여 열원을 감추는 방법이다.

MTMDCW_2020_v23n6_738_f0004.png 이미지

Fig. 4. Approaches for resisting thermal attacks after entering the password. (a) using a white flash light for 3 second, (b) users swaps their hand randomly on the screen, and (c) forcing maximum APU load for 3 seconds.

이와 같은 대응 방안들은 레코딩 공격에 대해서는 열원에 대한 대비책 이외에는 방안이 없으므로 취약하다고 할 수 있으며, 스머지 공격에 대해서는 사용자가 직접 손으로 대응하는 두 번째 안을 제외한 첫 번째 안과 세 번째 안 모두 열원감지 공격에 대한 대응으로만 구성되어 있어 취약하다고 할 수 있으며, 열 감지 공격에 대해서는 안전하다고 할 수 있다. 그러나 사용자 편의성 면에서 볼 때, 첫 번째 안은 어두운 환경이 요구되는 공공장소, 예를 들어 극장과 같은 공공장소에서의 사용은 불가능하다. 여기에 첫 번째 안과 세 번째 안의 경우 배터리로 동작하는 스마트폰의 특성상 에너지 소비가 증가하는 단점을 고려해야 한다.

3. 최근 보안 위협 고려사항

3.1 Recording Attack

레코딩 공격[5]은 기존의 엿보기 공격[8,9]의 확장된 형태의 사회공학 공격이다. 엿보기 공격이 공격자의 시각정보에 의존한 공격이라면 레코딩 공격은 광학 기록 장비를 이용하여 엿보기 공격을 수행한다는 점에서 차이가 있다. 이 공격은 모바일 기기에 임베디드된 센서기술의 저가격화 및 고성능화와 더불어 더욱 강력한 위협이 되었다. 서론에서 언급하였던 것과 같이 최근의 스마트폰 기술, 특히 고성능의 이미지 센서기술과 광학 줌 및 디지털 줌 기술이 보편화되면서 레코딩 공격의 공격 성공률 역시 급격히 상승하였다. 여기에 더해 모바일 기기의 저장장치 및 저장용량의 저가격화, 고용량화는 더욱 향상된 고화질의 영상을 실시간으로 중계, 녹화 또는 장기 보관이 가능하도록 하여 공격 성공률을 더욱 높이는 요인이 되었다.

3.2 Smudge Attack

스머지 공격[6]은 화면에 손가락 터치 감지가 가능한 스크린을 적용한 스마트폰에서 암호를 입력할 때 스크린에 남게 되는 사용자 손가락의 유분을 검출하여 해당 암호입력 기법과 대조해 패스워드 또는 패턴을 추정하는 기법이다. 이 스머지 공격 기법을 단독으로 사용한다면 고전 PIN 및 패턴 인증 기법에 강력한 효과를 발휘할 수 있다. 그러나 최근의 키 배치를 임의로 재구성하거나 다중 패턴과 패턴의 방향벡터와 압력을 검출하는 방식을 적용한 암호기법에는 큰 효과를 볼 수 없다. 그러나 만약 이 기법이 레코딩 공격 또는 열 감지 공격과 같은 종류의 공격과 병행사용될 경우를 가정한다면 공격 기법의 조합에 의한 시너지 효과로 여전히 강력한 공격 성공률을 보일 수 있으므로 이에 대한 대응도 고려해야 한다.

3.3 Thermal Attack

기존의 스머지 공격[6]에 더하여 열 감지 공격[13]은 사용자가 인증에 사용한 터치스크린에 남아있는 사용자 손가락의 유분 외에도 사용자 손가락 체온이 일정 시간 스크린에 남아있음에 착안한 새로운 유형의 사회학적 공격 방법이다. 이 방법은 스머지 공격과 마찬가지로 스크린에 잔류하는 체열을 열 감지 화상 카메라를 이용해 추출하고, 이를 이용하여 PIN 및 패턴을 추정할 수 있다. 이 방법은 아직 보편화되지는 않은 열 감지 화상 카메라를 바탕으로 한 공격 기법으로써 스머지 공격 대비 비교적 고가의 장비가 필요하다는 점이 있다. 그러나 최근 출시된 CAT의 열 감지 카메라가 내장된 스마트폰[17]과 같은 기기를 고려한다면 향후 충분히 이러한 유형의 공격도 보편화 될 수 있다는 점을 고려해야 한다.

4. 제안 기법

제안하는 기법은 기존의 PIN 입력 기법과 유사한 키 입력 구조를 갖는다. 따라서 기존의 PIN 기법에 익숙한 사용자의 입력 편의성을 그대로 유지할 수 있다. 비밀키의 직접 입력을 사용하지 않으므로 기존의 직접 입력 대비 외부의 공격, 특히 시각 및 영상정보에 기반한 유형의 사회공학 공격에 대해 보안 안전성을 유지할 수 있다.

4.1 키패드 구조

제안하는 기법의 키패드 구조는 다음의 Fig. 5와 같다.

MTMDCW_2020_v23n6_738_f0005.png 이미지

Fig. 5. Proposed keypad interface.

이 그림과 같이 제안 기법은 기존의 PIN과 키패드 인터페이스에서 큰 차이가 나지 않는다. 제안 기법의 키패드 상단은 입력된 키의 값을 확인할 수 있는 입력값 확인을 위한 창이며 키의 값은 모두 ‘*’로 마스킹 처리된다. Fig. 5의 ‘***4’는 이해를 돕기 위한 예시이다. 그리고, 키패드 하단 좌·우측에 배정된 키 중에서 좌측의 키는 백스페이스 기능, 우측의 키는 현재 키의 숫자 배열을 임의로 재배열하는 키이다.

4.2 Original key 설정

제안하는 기법은 다음의 Fig. 6(a)과 같이 사용자 지정 비밀키 생성을 위해 기존의 PIN 기법에서 사용하는 방식과 같은 password를 입력받는 방식을 사용한다. 즉, 입력받는 비밀키는 4∼8자리의 숫자 평문 텍스트 형태로 사용자로부터 입력을 받는 방식이며 이러한 비밀키 즉, original key는 인증 서버에 저장되어 값의 유출을 방지하게 된다.

MTMDCW_2020_v23n6_738_f0006.png 이미지

Fig. 6. Password set-up procedure of proposed method. (a) original and (b) anchor key.

4.3 Anchor key 설정

Original key 입력 후, 사용자는 Fig. 6(b)과 같이 original key와 함께 조합하여 사용하는 또 다른 비밀키인 anchor key를 입력한다. Anchor 키는 original key와의 조합을 이용하여 간접 비밀키를 생성 및 비교하기 위한 역할을 하는 비밀키이며 이 키의 길이는최소 1에서부터 최대 original 키의 길이만큼 설정하여 입력할 수 있다. 이 키 역시 숫자로 구성되며 기존의 PIN 기법의 비밀키 길이 n 대비 제안 기법의 키길이는 최소 n+1 에서 최대 2n까지 설정할 수 있다.

4.4 Indirect Key를 이용한 사용자 인증

사용자 인증을 위해서는 앞의 두 개의 키를 이용해 생성된 일회용 indirect key를 이용한 사용자 인증만 가능하다. 그리고 이렇게 생성되는 간접 키는 OTP를 이용한 인증과 같이 사용자를 인증할 때 매번 키의 값이 바뀌므로 original 및 anchor key가 유출되지 않는 한 안전하다. 제안하는 original 및 anchor key의 조합을 이용한 indirect key 입력을 이용한 사용자 인증은 Fig. 7과 같다.

MTMDCW_2020_v23n6_738_f0007.png 이미지

Fig. 7. Indirect PIN of proposed method..

예를 들어 original key가 1234이며 anchor key가 한 자릿수인 8일 경우, 1234와 8의 관계성을 나타내는 거리의 값을 indirect key로 입력한다. 이 키의 값은 8->1인 거리의 값 3을, 8->2인 거리의 값 2를, 8->3인 거리의 값 3을, 그리고 8->4인 거리의 값 2를입력하므로 3232가 되며 이 값을 키패드를 터치하여 입력한다. 기존의 PIN 기법은 0부터 9까지의 범위에서 키 입력이 발생한다. 제안하는 방법은 이론상 0부터 4까지의 값을 입력할 수 있다. 또한, 제안 방법은 키의 배치가 다음의 Fig. 8과 같이 키 입력마다 임의로 키의 위치가 바뀐다. 따라서 Fig. 8과 같이 임의 키 배치가 이루어지는 경우 indirect key 값은 3324가 되며 외부 공격자는 original 및 anchor key를 알지 못한다는 가정하에 indirect key를 취득하더라도 이 키를 이용하여 사용자 입력에 사용할 수 없다.

MTMDCW_2020_v23n6_738_f0008.png 이미지

Fig. 8. Random keypad of proposed method..

또한, 다음 Fig. 9와 같이 original 키가 1234이며 anchor key를 두 자릿수인 3과 6으로 설정하였을 경우, original key인 1은 anchor key 3과 대응하고 original key 234는 다음의 anchor key 6에 순차 대응시켜 indirect key인 2212를 입력한다. 제안 방법의anchor key 최대 길이는 original key의 길이와 같도록 설정할 수 있다. 따라서 anchor key의 길이가 original key의 길이와 같다면 더욱 유추가 어려워지므로 높은 보안성을 기대할 수 있다.

MTMDCW_2020_v23n6_738_f0009.png 이미지

Fig. 9. Example of multi-anchor key combinations of proposed method.

5. 성능 평가

제안 기법은 original key와 anchor key를 적용한 간접 키 입력 기법이며 이는 기존의 고전 PIN 입력과 거의 같은 형태를 가지고 있다. 그러나 입력키는 일회성의 성격을 갖는 indirect key이다. 또한, 이 기법은 사용자 편의성 면에서 기존의 PIN 기법의 인터페이스를 대부분 따르고 있어 사용자에 친숙하다. 우리는 제안 기법을 본문에서 언급한 사회공학 공격 중에서 엿보기, 레코딩, 스머지, 열 감지 공격들에 대해 기존의 사회공학 공격 대응 기법들과 안전성 면에서 비교 분석하였으며 패스워드 등록, 로그인 절차, 기억 용이성, 비밀키 입력의 난이도, 그리고 입력속도면 즉, 사용자 편의성 면에서 기존의 사회공학 공격 대응 기법들과 비교 분석하였다.

5.1 보안 안전성 비교

다음의 Table 2는 제안 기법을 기존의 사회공학 공격 대응 기법들과 비교한 보안 안전성 비교표이다. 이 표에는 사회공학 공격 대응 기법들의 안전성 비교를 위해 고전 PIN 및 패턴 인증 기법들도 포함하였다.

Table 2. Security comparison​​​​​​​

MTMDCW_2020_v23n6_738_t0002.png 이미지

안전성 비교 결과 PIN과 패턴 인증 기법의 경우 사회공학 공격에 대한 고려가 전혀 되어 있지 않은 기법으로 모든 공격에 대해 취약하다. Fake Pointer의 경우 키의 입력 위치가 항상 바뀌므로 스머지 및 열 감지 공격에 대해 강인하나, 엿보기 공격에 대해서는 반복적인 공격을 통해 각각의 숫자와 대응되는 이미지를 비교하여 어느 정도 비밀키값이 추정될 수 있다는 점, 그리고 또한 레코딩 공격으로 비밀키값이 유출될 수 있다. Switch PIN 경우에도 스머지 및 열감지 공격에는 같은 이유로 안전성을 확보할 수 있으나 영상 정보의 획득을 통한 공격에는 오랜 시간의 관찰을 통해 show 키를 눌렀을 때와 누르지 않았을 때의 숫자 키 비교에 대한 누적 데이터를 통해 비밀키를 유출할 가능성이 존재한다. 표에 언급하지는 않았으나 Yonma 가 제안한 방법들은 모두 열 감지 공격에 특화된 방안으로써 3가지 제안 모두 스머지 및 열 감지 공격에는 강인하다는 특성이 있으나 엿보기 및 레코딩 공격에 취약하다. 제안 기법의 경우, 스머지 및 열 감지 공격에는 앞의 Fake Pointer 기법이나 Switch PIN 기법과 같이 위치의 임의 변경이 일어나므로 해당 공격에 안전성을 확보할 수 있다. 또한, 제안 기법은 엿보기 공격이나 레코딩 공격의 경우에도 화면에 임의의 키 배치를 제외한 어떠한 변화도 없으므로 단시간, 또는 장시간의 감시 공격에도 사전에 original key 또는 anchor key가 유출되지 않는다면 키를 유추하기 매우 어렵다.

5.2 사용자 편의성 비교

다음의 Table 3은 제안 기법을 패스워드 등록, 로그인 절차, 기억 용이성, 비밀키 입력의 난이도, 그리고 입력속도에 대해 기존의 기법과 비교한 비교표이다.

Table 3. Usable security comparison​​​​​​​

MTMDCW_2020_v23n6_738_t0003.png 이미지

편의성 비교 결과, 제안 기법을 포함한 기법들 모두 패스워드 등록 절차에 있어 좋음 수준을 유지하고 있었다. 이는 해당 기법 모두 숫자, 선, 도형 기반의 패스워드를 사용하기 있기 때문으로 보인다. 패스워드 등록 후 로그인 절차에 있어 가장 빠른 속도를갖는 고전 PIN 기법과 패턴 인증 기법이 가장 좋은 결과를 나타냈다. Fake Pointer의 경우 가장 낮은 속도를 보여주었는데, 이는 좌우 방향키로 배경 이미지와 숫자 비밀번호를 맞추는 과정에서 상당한 시간이 소요되었기 때문으로 보인다. Switch PIN의 경우 show 키를 이용한 화면 전환 및 비밀키 입력에 어느정도 시간 지연이 발생하였다. 제안 기법의 경우 anchor key를 1로 놓고 보았을 때 가장 빠른 속도를 보여주었으며 anchor 키의 수가 늘어날수록 키 입력시간에 지연이 발생하였다. 기억 용이성 면에서는 기법들 대부분이 숫자에 기반한 기법으로 유의미한 큰 차이를 보이지는 않았다. 그러나 제안 기법의 경우 anchor key의 길이가 늘어날수록 기억에 어려움이 있으므로 영향이 유동적이다. Fake Pointer의 경우 이미지를 기억하는 과정에서 이미지가 유사할 경우 기억에 불편함이 있어 여타 기법들과의 차이가 발생하였다. 비밀키 입력난이도에 있어서 입력 오류가 발생률이 가장 낮은 것은 4-digit 기반에서 PIN 기법이 가장 낮은 오류율을 보였으며 패턴 인증의 경우 패턴의 복잡도에 따라 오류 발생률에 있어 차이를 보였으며, Fake Pointer와 Switch PIN, 그리고 제안 기법의 경우 키를 계산하는 시간이 키 길이 대비 유사하게 발생 및 증가하였고 해당 과정에서 입력 실수가 발생하였다. 마지막으로, 입력속도에 있어 고전 PIN 및 패턴 인증 기법이 가장 빠른 속도를 보여주었으며 특히 패스워드 길이 증가 또는 패턴의 길이 증가에도 큰 차이 없이 빠른 속도를 보여주었다. 반면 Fake Pointer, Switch PIN, 그리고 제안 기법은 4-digit 기준 패스워드 길이에서는 상호 유사한 입력속도를 보여주었으나 키의 길이가 증가할수록 Fake Pointer, Switch PIN 모두 급격한 입력시간 증가를 나타냈다. 제안 기법의 경우 anchor key를 1개로 설정하였을 때 패스워드 입력시간에 대해 큰 영향을 미치지는 않았다. 그러나 anchor key의 길이가 2개 이상으로 증가하면서 급격한 입력속도의 지연을 나타내었다.

6. 결론

본 논문에서는 original key와 anchor key를 적용한 간접 키 입력 기법을 제안하였다. 제안하는 방법은 사용자 편의성 면에서 기존의 PIN 기법의 인터페이스를 대부분 따르고 있어 키 입력 화면이 사용자에 친숙하며 입력 키의 값도 숫자로 고정되어 다른 기법 대비 기억하기 쉽다. 또한, 제안 기법은 일회성의 간접 키를 PIN 입력에 사용하고 있으므로 키의 값이 유출되더라도 original 및 anchor key 값이 유출되지 않는다면 보안상 안전하다. 보안 안전성 및 사용자 편의성 평가 결과 제안 기법은 기존의 사회공학 공격에 대응하는 기법들에 비해 더욱 다양한 형태의 사회공학 공격에 더 높은 보안 안전성을 제공하고 있으며, 사용자 편의성 면에서는 전통적인 PIN 기반 화면 구성을 그대로 적용하고 있어 사용자에게 친숙하다. 비밀키 기억의 난이도에 있어 제안 기법은 기존의 기법들에 비해 original과 anchor 키 모두 숫자로 구성되는 장점이 있으므로 도형 및 기호를 사용한 기법대비 기억하기 쉽다. 또한, 비밀키 입력에도 별도의 화면 전환이나 추가정보의 확인 없이 기존의 방식과 같은 형태를 취하고 있어 사용하기 쉽다는 장점이 있다. 그러나 anchor key 길이에 다른 입력 지연 발생의 추가 연구사항이 여전히 남아있다. 이에 우리는 향후 연구로써 제안 기법의 거리기반 간접 키 계산방식을 더욱 단순화하여 최소의 계산으로 키의 길이에 영향을 받지 않는 즉시 입력이 가능한 일회성 간접 키 입력 및 인증 기법을 연구하고자 한다.

References

  1. K. Cheoi and J. Han, "A Novel Door Security System Using Hand Gesture Recognition," Journal of Korea Multimedia Society, Vol. 19, No. 8, pp. 1320-1328, 2016. https://doi.org/10.9717/kmms.2016.19.8.1320
  2. Galaxy S20 5G(2020), https://www.samsung.com/sec/smartphones/galaxy-s20/specs/ (accessed May 09, 2020).
  3. Huawei P30 Pro, https://brunch.co.kr/@bkoon/24 (accessed May 09, 2020).
  4. Smartphone Camera(2020), https://www.zdnet.co.kr/view/?no=20200324181642 (accessed May 09, 2020).
  5. T. Takada, "Fake Pointer: An Authentication Scheme for Improving Security against Peeping Attacks Using Video Cameras," Proceeding of International Conference on Mobile Ubiquitous Computing, Systems, Services and Technologies, pp. 395-400, 2008.
  6. A.J. Aviv, K. Gibson, E. Mossop, M. Blaze, and J.M. Smith, "Smudge Attacks on Smartphone Touch Screens," Proceedings of 4th UNIX and Advanced Computing Systems Professional and Technical Association Conference on Offensive Technologies, pp. 1-7, 2010.
  7. L. Cai and H. Chen, "TouchLogger: Inferring Keystrokes on Touch Screen from Smartphone Motion," Proceedings of 6th UNIX and Advanced Computing Systems Professional and Technical Association Conference on Hot Topics in Security, pp. 9-9, 2011.
  8. E. Miluzzo, A. Varshavsky, S. Balakrishnan, and R.R. Choudhury, "TapPrints: Your Finger Taps Have Fingerprints," Proceedings of International Conference on Mobile Systems, Applications, and Services, pp. 323-336, 2012.
  9. H. Kim, H. Seo, Y. Lee, T. Park, and H. Kim, “Implementation of Secure Virtual Financial Keypad for Shoulder Surfing Attack,” Korea Institute of Information Security and Cryptography, Vol. 23, No. 6, pp. 21-29, 2013.
  10. H. Sun, S. Chen, J. Yeh, and C. Cheng, "A Shoulder Surfing Resistant Graphical Authentication System," IEEE Transactions on Dependable and Secure Computing, Vol. 15, Issue 2, pp. 1-1, 2016.
  11. Password Security: Top 20 Most Common Passwords Revealed(2018), https://vpns.co.uk/the-20-most-common-passwords-by-keyboard-pattern/ (accessed May 09, 2020).
  12. PIN Analysis(2012), https://www.datagenetics.com/blog/september32012/ (accessed May 09, 2020).
  13. Y. Abdelrahman, M. Khamis, S. Schneegass, and F. Alt, "Stay Cool! Understanding Thermal Attacks on Mobile-based User Authentication," Proceedings of Conference on Human Factors in Computing Systems, pp. 3751-3763, 2017.
  14. Y. Lee, "An Analysis on the Vulnerability of Secure Keypads for Mobile Devices," Journal of Korean Society for Internet Information, Vol. 14, No. 3, pp. 15-21, 2013.
  15. T. Kwon and S. Na, "Switch PIN: Securing Smartphone PIN Entry with Switchable Keypads," Proceedings of the IEEE International Conference on Consumer Electronics, pp. 23-24, 2014.
  16. J. Lee, J. Lee, and D. Park, "Smart Lock Design Using by Complex Context-Information," Proceedings of the Conference on Korea Human Computer Interaction Society, pp. 197-202, 2018.
  17. Thermal Imaging Camera CAT S61(2019), https://www.catphones.com/en-dk/features/integrated-thermal-imaging/ (accessed May 09, 2020).