• 한국지능시스템학회논문지
• /
• 제20권5호
• /
• pp.610-616
• /
• 2010

본 논문에서는 바이오인식 시스템에 있어서, 바이오인식 정보와 개인식별 정보가 분리되어 운영되는 상황에서 이들이 결합되어야 할 때, 이들이 보안조건을 만족하도록 안전하게 결합 될 수 있는 방안에 대해서 다룬다. 패스워드를 이용한 개인인증과 같은 단순한 개인인증 방법의 단점으로 지적되어온 타인에 의한 도용 등의 단점을 극복하고자, 개인마다 타고난 신체적 행동적 특성을 이용하는 바이오인식시스템은 바이오인식 정보자체가 또 다른 개인정보의 하나이며, 더욱이 이들 정보가 개인을 식별할 수 있는 다른 정보들과 결합하여 사용될 경우, 특정개인을 식별할 수 있는 유일식별자로 사용될 수 있기 때문에 결합단계에서 안정적인 방법이 요구되고 있다. 이에 본 연구에서는 이와 관련하여 바이오인식 정보와 개인식별 정보를 보관하는 데이터베이스의 분리운영 환경에서 이들을 공통으로 가리킬 수 있는 공통 식별자의 생성과 운영방안 그리고 각각의 데이터베이스의 무결성을 점검하는 방법을 안전한 채널과 불안전한 채널의 경우로 나누어서 각각의 운영 방안을 제시하였다.

• 융합정보논문지
• /
• 제9권10호
• /
• pp.9-15
• /
• 2019

최근 차세대 전자상거래 및 금융 분야에서는 비트코인, 이더리움 등의 블록체인 기반 기술에 관심이 크다. 블록체인 기술의 보안성은 안전하다고 알려졌지만, 가상화폐 관련 해킹 사건/사고들이 이슈화되고 있다. 가상화폐 지갑에 대한 로그인 세션 탈취, 악성코드 감염으로 인한 개인키 노출, 단순한 암호 사용 등 외부환경의 취약성이 주요 원인이었다. 그러나 개인키 관리는 전용 애플리케이션 활용 또는 로컬 백업, 문서 프린트를 통한 물리적 보관 등 일반적인 방법을 권장하고 있다. 본 연구에서는 화이트박스 암호 기반 개인키 보호 기법을 제안한다. 안전성 및 성능분석 결과 개인키 노출 취약점에 대한 안전성을 강화하고, 암호화키를 알고리즘에 내장하여 기존 프로토콜의 처리 효율성을 증명하였다.

• 한국정보통신학회논문지
• /
• 제23권11호
• /
• pp.1451-1461
• /
• 2019

DNS 스푸핑은 공격자가 클라이언트와 DNS 서버 간 통신에 개입하여 실제 IP 주소가 아닌 가짜 IP 주소를 응답하여 DNS 서버를 속이는 공격이다. 웹 서버 초기화면 복제와 간단한 웹 프로그래밍으로 사용자 아이디와 비밀번호를 해킹하는 파밍 사이트 구현이 가능하다. 본 논문에서는 파밍사이트로 유도하는 DNS 스푸핑과 파밍사이트 구현을 결합한 웹 스푸핑 공격에 관해 연구하였다. 본 대학의 포털 서버를 대상으로 DNS 스푸핑 공격 방법과 절차 및 파밍사이트 구현 방법에 관해 연구하였다. 경성포털의 경우 SSL에 의한 암호화와 보안인증이 이루어진 웹 서버임에도 우회 공격과 해킹이 가능하였다. 현재 많은 웹 서버가 보안조치가 이루어져 있지 않고, SSL에 의해 보안이 이루어진 웹 서버라 할지라도 이를 무력화 시킬 수 있으므로 이의 심각한 위험과 대응조치가 꼭 필요함을 알리고자 한다.

• International Journal of Advanced Culture Technology
• /
• 제9권1호
• /
• pp.224-241
• /
• 2021

According to data from the National Police Agency, 75.5 percent of dead traffic accidents in Korea are truck accidents. About 1,000 people die in cargo truck accidents in Korea every year, and two to three people die in cargo truck accidents every day. In the survey, Korean cargo workers answer poor working conditions as an important cause of constant truck accidents. COVID 19 is increasing demand for non-face-to-face logistics. The inefficiency of the Korean transportation system is leading to excessive work burden for small logistics The inefficiency of the Korean transportation system is causing excessive work burden for small individual carriers. The inefficiency of the Korean transportation system is also evidenced by the number of deaths from logistics industry disasters that have risen sharply since 2020. Small and medium-sized Korean Enterprises located in CIPs (Connected Industrial Parks) often do not have smart access certification systems. And as a result, a lot of transportation time is wasted at the final destination stage. In the logistics industry, time is the cost and time is the revenue. The logistics industry is the representative industry in which time becomes money. The smart access authentication system architecture proposed in this paper allows small logistics private carriers to improve legal stability, and SMEs (Small and Medium-sized Enterprises) in CIPs to reduce logistics transit time. The CIPs smart access system proposed in this paper utilizes the currently active Mobile OTP (One Time Password), which can significantly reduce system design costs, significantly reduce the data capacity burden on individual cell phone terminals, and improve the response speed of individual cell phone terminals. It is also compatible with the OTP system, which was previously used in various ways, and the system reliability through the long period of use of the OTP system is also high. User customers can understand OTP access systems more easily than other smart access systems.

• 정보보호학회논문지
• /
• 제18권4호
• /
• pp.167-174
• /
• 2008

디지털 카메라와 캠코더의 보급이 증가함에 따라 일반 사용자들의 UCC(User Created Contents) 역시 일반화 되고 있다. 그러나 이에 따른 사생활 침해 또한 증가하고 있다. UCC는 인터넷 포탈 서비스를 통해 공유될 뿐 아니라 DVD(Digital Versatile/Video Disk)와 같은 저장매체(Recordable Media, 이하 Media)를 이용하여 보관된다. 포탈 서비스를 이용해서 콘텐츠를 게시하는 경우 포탈 시스템이 제공하는 사용자 인증 및 불법 다운로드 제어 기술을 이용하여 사생활 침해를 부분적으로 막을 수 있다. Media의 경우도 불법복제 제어기술을 채택하고 있지만, Media의 도난 또는 분실로 인한 콘텐츠 유출과 사생활 침해를 막을 수 있는 방법이 현재로서는 제공되지 않고 있다. 그러므로 Media를 이용하여 개인 콘텐츠를 관리하는 경우에도 사생활 침해를 막을 수 있는 추가적인 보안 기술의 연구가 필요하다. 본 논문에서는 Media 보안을 위해 제정된 AACS(Advanced Access Content System)의 Framework을 살펴보고 개인 콘텐츠의 접근을 제어할 수 있는 개선된 AACS 보안 Framework을 제안한다.

• 정보보호학회논문지
• /
• 제22권5호
• /
• pp.987-997
• /
• 2012

POS단말기란 카드결제 가맹점의 판매정보를 실시간으로 관리하는 시스템으로, 카드결제 기능이 함께 탑재되어 있어 판매 및 고객관리에 편의성을 제공해준다. 이러한 장점으로 인해 많은 가맹점들이 POS단말기를 설치하여 사용하고 있지만 내부에 저장된 매출정보, 카드유효기간, 비밀번호, 카드 검증 값 등과 같은 결제정보가 외부의 해킹이나 내부자의 부정으로 인해 카드회원 신용정보 유출 및 위조카드 등과 같은 사고의 원인이 되고 있어 해결책이 시급한 시점이다. 본 논문에서는 POS단말기의 해킹 및 위 변조로 인해 발생하는 개인정보 유출과 관련된 사고를 사전에 방지하기 위하여 화이트 리스트 기반의 POS 시스템 내 소프트웨어 무결성 검증 기법을 제안한다. 제안된 방식은 소프트웨어의 무결성을 제공하여 현재 암호화와 보안 솔루션에 의해 검증되어 설치된 프로그램의 변조를 방지하여 외부로부터의 위협 뿐 아니라 내부자에 의한 개인정보 유출 및 부정사용을 사전에 방지할 수 있다.

• 정보보호학회논문지
• /
• 제22권6호
• /
• pp.1243-1252
• /
• 2012

최근 모바일 스마트 기기의 보편화로 인하여 사용자 인터페이스로부터 개인 정보를 직접 획득하는 유형의 공격(숄더 서핑 공격, 레코딩 공격 등) 위협이 크게 증가하고 있다. 이러한 공격 가능성 및 안전성에 대한 체계적 평가를 위해 정형화된 안전성 분석 모델이 필요하지만, 이에 적합한 모델이 존재하지 않는다. 본 논문에서는 모바일 스마트 기기환경의 안전성 및 사용성 분석 모델인 STM-GOMS 모델을 제안한다. STM-GOMS 모델은 HCI 인지 모델을 안전성 분석에 처음으로 활용한 이전 연구 사례를 메모리 한계 관점에서 개선한 GOMS 기반 모델로 인증 기법의 사용성과 안전성 평가가 가능하다. 본 논문에서는 현재 스마트 기기에서 사용 중인 패스워드 입력 기법을 STM-GOMS 모델로 분석하여 사용성과 숄더 서핑 공격에 취약함을 보이고 이를 실험을 통해 검증한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2022년도 춘계학술대회
• /
• pp.620-623
• /
• 2022

최근 이메일 해킹사고의 유형을 살펴보면 사회공학적인 기법을 활용한 피싱메일 공격이 대다수를 차지하고 있는 상황이다. 그중 사용자의 패스워드를 빼내기 위한 공격메일이 기존 첨부파일에 악성코드를 삽입해서 보내지는 방식보다 월등히 높아졌다고 할 수 있다. 이는 공격자가 이메일 내용에 관심이 높아진 것으로 이메일은 사용자의 성향, 직업, 라이프스타일 파악뿐만 아니라 해커가 원하는 중요자료가 저장되어 있을 가능성이 매우 높으며 또 다른 공격대상자를 선정할 수 있는 좋은 창구가 될 수 있을 것이기 때문이다. 만일 피싱메일에 노출되어 패스워드가 해커의 손에 넘어 갔다면 많은 보안대책이 무용지물이 된다. 많은 보안 전문가들은 패스워드를 8자리 이상으로 하되 영문대·소문자와 숫자 그리고 특수문자를 포함하고, 사이트별 규칙성이 없이 모두 다르게 설정해야 하며, 정기적으로 바꿔야 한다고 조언한다. 이러한 조언은 패스워드를 크랙할 경우 안전할 수 있지만 요즘처럼 한 개인이 100여개 이상의 사이트에 대한 패스워드를 관리해야 한다면 현실적으로 불가능한 조언이 되고 말 것이다. 이러한 상황에 2017년 6월 미국 국립표준기술연구소(NIST)에서 '특별 간행 800-63-3: 디지털 인증 가이드라인'을 발표하게 된다. 내용은 그동안 보안전문가들이 권고했던 내용과는 많은 차이가 있다. 오히려 자주 바꾸는 것이 문제가 될 수 있다는 내용이다. 자세한 내용은 본 논문에서 살펴보도록 한다. 우리는 스마트폰 등을 사용함으로써 2-Factor인증에 활용하고 있다. 스마트폰 인증의 대표적인 방법은 지문·얼굴인식 등 생체인증 방식을 사용한다. 패스워드 없이도 편리하고 안전하게 인증을 할 수 있다는 점이 장점이다. 이러한 상황에 FIDO라는 인증 프레임워크가 인기를 얻고 있다. FIDO(Fast IDentity Online)는 비밀번호의 문제점을 해결하기 위한 목적으로 FIDO 얼라이언스에 의해 제안된 사용자 인증 프레임워크다. 향후 FIDO로의 대체가 패스워드 문제의 대안이 될 수 있을 것이다. 이제는 패스워드 대신 생체인증 체계로 대체할 수 있는 시대가 되었다고 할 수 있다. 본 논문에서는 패스워드의 문제점을 살펴보고 이를 대체할 수 있는 FIDO기반의 인증체계가 대안이 될 수 있는 근거를 제시하고자 한다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1159-1174
• /
• 2014

스마트폰, 태블릿 PC와 같은 스마트 기기들의 사용이 증가하면서 애플리케이션을 이용한 금융 업무 등 중요 업무를 해당 스마트 기기를 이용하여 처리하는 경우가 많아지고 있으며, 이러한 정보를 획득 할 수 있는 여러 공격들이 존재하고 있다. 그 중 사회공학기법인 어깨너머공격은 해킹 기술과 같은 특정 컴퓨터 기술 없이도 직접적으로 정보를 획득할 수 있어 강력한 공격 방법으로 꼽힐 수 있다. 그러나 지금까지의 어깨너머공격은 사용자 모르게 정보를 엿보는 행위라는 단순한 정의밖에 존재하지 않았다. 또한, 국제표준인 공통평가기준(CC)의 공통평가방법론(CEM)에서 제공하는 attack potential 방법론은 어깨너머공격에 대한 내성을 정량적으로 나타내지 못하는 한계를 가지고 있다. 이에 본 연구에서는 어깨너머공격에 필요한 공격조건들을 나열하고 공통평가기준에서 제공하는 공격 성공 가능성(attack potential)의 방법론을 차용하여 어깨너머공격까지 공격 성공 가능성을 계산할 수 있도록 이를 포함할 수 있는 공격성공 가능성을 제안한다. 더불어, 현재 스마트 기기들에 제공되고 있는 모바일뱅킹 애플리케이션의 보안 키패드인 쿼티키패드와 숫자 키패드의 안전성을 분석하고 공격 시나리오를 기반으로 하여 현재 제공되고 있는 모바일뱅킹 애플리케이션들의 어깨너머공격에 대한 공격 성공 가능성을 알아본다.

• 실천공학교육논문지
• /
• 제10권1호
• /
• pp.1-7
• /
• 2018

사용자의 계정 정보를 관리하고 NFC(Near Field Communication)와 OTP(One Time Password)를 이용한 이중 보안 시스템을 제안 하고, NFC의 1m 미만의 범위 내에서 인식하는 특징과 NFC 자체의 높은 보안성을 이용하여, 사용자 인증 단계를 강화한 결과물은 4년제 학부체계의 전자공학 전공에서 2인 1조로 1년 6개월 동안 진행한 졸업작품 설계과정에서 이루어졌다. 본 학회의 학술대회를 포함하여 국내 전문학회 학술발표대회 및 논문경진 대회에 3회 참가하여, 중간 결과들을 발표하였고, 지도교수가 포함된 6인의 전공교수들에 의한 3차 심사단계를 거쳐 졸업 작품으로 합격하였다. 합격된 사항은 발표논문 체계로 구성하여 합격한 다른 인원들과 함께 졸업 논문집을 발간하였다. 이러한 단계를 거쳐 얻어진 설계 및 제작의 경험을 통해, 자신감을 얻고 취업 기회를 적극적으로 모색하는 성장의 단계를 갖는 계기가 되었으며, 취업을 통해 공학교육을 실천하는 하나의 방법론을 제시하였다.