• 한국콘텐츠학회논문지
• /
• 제14권12호
• /
• pp.565-573
• /
• 2014

인터넷이 활성화되면서 우리는 PC나 스마트폰에서 온라인 뱅킹, 주식 거래, 쇼핑 등의 다양한 전자상거래를 한다. 인터넷 상에서 거래 당사자 간의 신원확인 및 부인방지를 위한 주요 수단으로 공인인증서를 주로 활용한다. 하지만, 2005년 이후로 공인인증서 사용자에 대한 공격이 증가하고 있다. 즉, 공격자는 사용자 PC로부터 탈취한 공인인증서와 개인키 파일을 가지고, 은행 계좌 조회/이체나 전자상거래에 정당한 사용자로 위장하여 사용하게 된다. 이때, 개인키 파일은 사용자의 비밀번호로 암호화되어 저장되고, 필요할 때마다 복호화 되어 사용한다. 만약, 사용자의 비밀번호가 공격자에게 노출된다면 암호화된 개인키 파일을 쉽게 복호화 할 수 있다. 이러한 이유로 공격자는 사용자 PC에 트로이목마, 바이러스 등의 악성코드를 설치하여 사용자 인증서, 개인키 파일, 비밀번호를 탈취하려고 한다. 본 논문에서는 개인키 파일을 OTP 인증기술을 이용하여 암호화함으로써 안전하게 관리할 수 있는 방안을 제안한다. 그 결과, 암호화된 개인키 파일이 외부에 노출되더라도 일회용 패스워드와 사용자 비밀번호가 노출되지 않으므로 암호화된 개인키 파일은 안전하게 보관된다.

• 한국콘텐츠학회논문지
• /
• 제15권10호
• /
• pp.607-615
• /
• 2015

대부분의 인터넷 사용자 및 스마트폰 보유자는 공인인증서를 발급 받았고, 공인인증서를 통해 계좌 이체, 주식거래, 쇼핑 등 다양한 업무에 활용하고 있다. 대부분은 PC나 USB 메모리와 같은 외부 저장매체에 공인인증서와 개인키를 저장한다. 특히, 공인인증기관에서는 공인인증서와 개인키 저장매체로 하드디스크 보다는 보안토큰, 휴대폰, USB 메모리 등의 저장매체를 권장하고 있다. 그러나 USB메모리는 PC에 연결되는 순간 쉽게 이동/복사될 수 있고, 악성코드나 파밍 사이트 연결을 통해 쉽게 해커에게 인증서 파일과 개인키 파일이 노출될 수 있다. 더욱 큰 문제는 해커에게 복사된 인증서 파일과 개인키 파일은 아무런 제약 없이 사용자의 패스워드만 알면 정당한 사용자처럼 사용할 수 있다는 점이다. 이에 본 논문에서는 암호화된 개인키 파일의 패스워드와 USB 메모리의 HW 정보를 이용하여 USB 메모리에 개인키 파일의 안전한 관리 방안을 제안하였다. 이를 통해, 해커에 의해 암호화된 개인키 파일을 임의로 이동/복사되거나 또는 개인키 파일이 노출되더라도 암호화된 개인키를 안전하게 보호할 수 있다. 또한, 개인키 파일의 패스워드가 노출되더라도 USB 메모리의 컨테이너ID라는 추가 인증요소를 활용하여 개인키를 안전하게 보호할 수 있다. 따라서 활용도가 매우 높은 공인인증체계에서 제안시스템은 저장매체 보호 방안으로 보안성이 크게 향상될 것으로 기대한다.

• 한국콘텐츠학회논문지
• /
• 제16권8호
• /
• pp.90-96
• /
• 2016

우리나라는 스마트폰 보급률이 83%로 성인인구 4,000만명 중 3,390만 명이 사용하고 있으며, 이러한 사용자 대부분이 공인인증서에 대한 안전성 문제가 지속적으로 제기됨에도 불구하고 공인인증서를 사용하고 있다. 이러한 안전성의 문제로 인해 SMS를 이용한 휴대폰 소유자 인증기술, 생체인증을 통한 본인 인증기술 등 다양한 인증기술들이 제안되고 있다. 그러나 아직까지도 공인인증서를 대체할 만한 안전하고 믿을 만한 인증체계가 제시되지 않고 있다. 또한 사용자가 제일 많은 공인인증서와 개인키에 대한 탈취 시도가 지속적으로 발생하고 있다. 이러한 이유로 인해 보안전문가들은 공인인증서와 개인키를 USB 플래시 드라이브, 보안토큰, 스마트폰에 저장하도록 권고한다. 하지만 보안전문가가 추천하는 외부 저장매체 중 스마트폰은 앱을 통해 악성코드가 쉽게 전파되고, 악성코드에 의한 인증서나 개인키 파일을 외부로 유출이 가능하다. 해커가 유출한 인증서와 개인키 파일과 함께 개인키 암호용 패스워드만 알아내면 언제든지 정당한 사용자로 위장할 수 있다. 이에 본 논문에서는 스마트폰의 고유정보와 사용자 패스워드를 조합하여 스마트폰에 저장된 개인키 파일의 안전한 관리 방안을 제안한다. 제안 방안을 활용하게 되면 스마트폰에 저장된 개인키와 인증서 파일이 공격자에게 탈취되더라도 스마트폰의 고유 정보를 획득할 수 없으므로 암호화된 개인키의 재사용이 불가능하다. 따라서 제안 방안을 공인인증 체계에 활용한다면 스마트폰 사용자에게 현재보다 훨씬 향상된 보안 서비스를 제공할 수 있을 것으로 예상한다.

• 한국인터넷방송통신학회논문지
• /
• 제17권4호
• /
• pp.35-41
• /
• 2017

본 논문은 개인 키 저장을 위해, 개인 키를 (k, n) 비밀 분산 기법을 통하여 n개의 조각으로 나눈 후, 스테가노그래피 기술을 사용하여 각 조각을 서로 다른 사진 파일에 저장하는 기법을 제안한다. 사용자는 전체 n개의 사진 파일 중 k개가 어디에 있는지만 기억하고 있으면 개인 키를 복구할 수 있으며, 시스템에 저장된 수많은 사진 파일들 사이에 적절하게 개인 키 조각들을 숨겨놓으면 공격자는 어디에 개인 키가 저장되어 있는지 찾아내기가 힘들다. 사용자는 n개의 사진 파일 중 k개의 위치만 기억하면 개인 키를 복구 할 수 있기 때문에 사용자 편의성도 높은 편이고, 공격자가 k-1개의 사진 파일을 찾아내더라도 개인 키를 복구하는 것은 불가능하기 때문에 안전성도 보장된다.

• 정보보호학회논문지
• /
• 제24권1호
• /
• pp.31-40
• /
• 2014

국내에서는 공개키 기반구조(PKI, Public Key Infrastructure)를 도입하여, 온라인상에서 안전한 정보 전송과 신원확인을 위해서 인증서 기반의 전자서명 인증체계를 구축하여 서비스를 제공하고 있다. 하지만 인증의 기본이 되는 온라인상의 개인 인감 증명서라고 할 수 있는 인증서는 사용자들이 쉽게 접근하고 복사할 수 있는 위치에 저장되어 있어, PC에 설치된 악성 프로그램이이나 웹 계정 해킹 등과 같은 공격에 의해 유출 될 수 있는 위험이 존재한다. 또한 개인키 패스워드는 키보드보안기능을 무력화 시킨 후 로깅 툴 등에 의해서 노출될 수 있기 때문에 인증서 파일이 유출되는 경우, 금전적인 피해와 불법 인증을 통한 사회적인 범죄가 발생할 수 있는 위험이 존재한다. 본 논문에서는 인증서와 개인키 파일 유출로 인한 피해를 예방하기 위해 해당 키 파일들을 Device에 의존적인 키로 암호화함으로서 안전하게 저장하고, 유출 되더라도 다른 Device에서 사용할 수 없도록 하는 기법을 제안한다.

• 정보보호학회논문지
• /
• 제24권5호
• /
• pp.781-793
• /
• 2014

PKI(Public Key Infrastructure)는 공개키 암호시스템을 안전하게 사용하고 관리하기 위한 보안 표준방식이다. 인터넷상의 전자 금융거래와 같이 안전하지 않은 채널 상에서 사용자의 전자 서명, 인증, 암호화 등과 같은 보안 기능이 요구되는 환경에서 PKI를 채택하고 있다. 현재 PKI에서 소프트 토큰 기반의 개인키는 표준화된 저장소에 파일 형태로 저장되어 있기 때문에 유출되기 쉬우며, 패스워드 기반 암호화 방식으로 보호되어 있으므로 전수조사 공격에 취약하다. 본 논문에서는 소프트 토큰 기반의 개인키 파일이 유출되더라도 패스워드 전수조사 공격에 확률적으로 안전한 서명용 개인키 노출 탐지기법을 제안한다. 제안 기법은 하나의 올바른 공개키/개인키 쌍과 n-1개의 위장(fake) 공개키/개인키 쌍을 사용함으로써 공격자가 패스워드 전수조사 공격에 성공하더라도 올바른 서명 값 생성 또는 인증 성공 확률을 $\frac{1}{n}$로 낮춘다. 이는 공격자가 위장 개인키로 인증을 시도할 경우 이를 탐지하여 해당 인증서를 폐지하고 사용자에게 통지해 주는 기능도 포함한다. 마지막으로 기존 PKI 및 SSL/TLS를 확장하여 제안 기법을 사용할 수 있게 함으로써 추가 인프라 구축비용 없이 소프트 토큰 기반 개인키 저장 방식의 보안 강도를 높일 수 있도록 한다.

• 정보보호학회논문지
• /
• 제18권4호
• /
• pp.103-109
• /
• 2008

많은 인터넷응용에서 인증 및 메시지 무결성을 제공하기 위해 PKI(Public Key Infrastructure) 기반 서비스를 제공하고 있다. 그리고 몇몇 연구에서는 PKI 기반의 P2P 서비스를 제안하기도 하였다. 그러나 P2P 응용의 경우 P2P의 open, dynamic, heterogeneous, autonomous 한 특성상 PKI의 적용이 어려우며, 특히 국가간 상호운용성을 지원하지 못하는 것도 P2P에의 적용을 현실적으로 어렵게 만든다. 본 논문에서는 PKI를 사용하지 않으면서도 MITM 공격에 안전한 P2P 신뢰전송 메커니즘을 제안한다. 본 메커니즘에서 각 피어는 자신의 공개키/비밀키 쌍을 자체적으로 생성하고 분배한다. 이 경우 MITM(Man in the Middle Attack) 공격에 취약하다는 문제가 있으나, 제안한 메커니즘은 MITM 공격에 대한 안정성을 제공한다. 본 메커니즘은 P2P 기반의 파일공유, IPTV, 분산자원 공유 등 다양한 분야에 응용이 가능하다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2009년도 추계학술대회
• /
• pp.359-362
• /
• 2009

공인인증서는 온라인 금융거래와 증권거래 등에서 사용자의 신원 확인을 위해 사용된다. 이때 사용자의 공개키는 공인인증서에 저장되며, 이 공개키에 대응되는 사용자의 개인키는 보안을 위해 사용자가 설정하는 패스워드로 암호화 되어 개인키 저장파일에 저장된다. 본 연구에서는 로컬에서 공인인증서에 접근하는 현재의 방식에 문제점을 지적하고 이를 해결할 수 있는 방법으로 모바일 공인인증서 관리 어플리케이션을 제안한다.

• 정보보호학회논문지
• /
• 제17권1호
• /
• pp.41-55
• /
• 2007

공인인증서는 온라인 금융거래와 증권거래 등에서 사용자의 신원 확인을 위해 사용된다. 이때 사용자의 공개키는 공인인증서에 저장되며, 이 공개키에 대응되는 사용자의 개인키는 보안을 위해 사용자가 설정하는 패스워드로 암호화되어 개인키 저장 파일에 저장된다. 본 논문에서는 현재 널리 사용되고 있는 공인인증서 관리 소프트웨어에서 정상적으로 삭제된 공인인증서와 개인키 저장 파일이 포렌식 툴을 이용하면 얼마든지 복구가 가능하다는 점을 밝힌다. 그리고 복구된 공인인증서와 개인키 저장 파일을 이용하여 오프라인에서 개인키 암호화 패스워드를 밝혀낼 수 있다는 문제점을 지적하고 그에 따른 대응책을 제시한다.

• 한국멀티미디어학회논문지
• /
• 제12권12호
• /
• pp.1701-1709
• /
• 2009

The mobile terminal system plays a key role in medical industries which require in fast and accurate diagnosis from heterogeneous acquisition equipment. The demand for PACS (picture archiving and communication systems) has continued to increase in major hospitals and private clinics. Patient care depends on how fast the medical imaging system provides images and how accurately the images are interpreted by physicians. In this paper, we propose an efficient method to decipher the hundreds of images required by physicians to accurately diagnose patients. By exploring Motion- JPEG (M-JPEG), this paper has demonstrates the possibilities for efficient management of medical images with a newly designed image file format and improvement in imaging diagnoses through the replaying of moving pictures of a patient in a mobile environment.