• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.463-472
• /
• 2012

본 논문에서는 일회성 암호를 이용한 SIP UA와 서버 사이의 상호 인증 및 SDP 암호화 기법을 제안한다. 기존의 HTTP Digest 인증 기법의 취약성을 해결하기 위해 다양한 SIP 인증 기법이 연구되었지만, 여전히 취약성이 존재하거나 암호학적 연산량에 대한 부담이 존재한다. 제안 기술은 매 인증마다 해쉬함수를 사용하여 갱신되는 일회성 암호를 사용하여 복잡한 암호학적 연산을 필요로 하지 않으면서 효율적으로 사용자 인증을 수행한다. 또한 사용자 인증에 사용되는 일회성 암호를 통해 SIP 메시지의 무결성 검증 및 SDP 암/복호화를 수행하기 때문에 메시지 교환 과정에서 S/MIME, TLS 적용 시 발생하는 오버헤드를 줄일 수 있다.

• 정보보호학회논문지
• /
• 제22권5호
• /
• pp.987-997
• /
• 2012

POS단말기란 카드결제 가맹점의 판매정보를 실시간으로 관리하는 시스템으로, 카드결제 기능이 함께 탑재되어 있어 판매 및 고객관리에 편의성을 제공해준다. 이러한 장점으로 인해 많은 가맹점들이 POS단말기를 설치하여 사용하고 있지만 내부에 저장된 매출정보, 카드유효기간, 비밀번호, 카드 검증 값 등과 같은 결제정보가 외부의 해킹이나 내부자의 부정으로 인해 카드회원 신용정보 유출 및 위조카드 등과 같은 사고의 원인이 되고 있어 해결책이 시급한 시점이다. 본 논문에서는 POS단말기의 해킹 및 위 변조로 인해 발생하는 개인정보 유출과 관련된 사고를 사전에 방지하기 위하여 화이트 리스트 기반의 POS 시스템 내 소프트웨어 무결성 검증 기법을 제안한다. 제안된 방식은 소프트웨어의 무결성을 제공하여 현재 암호화와 보안 솔루션에 의해 검증되어 설치된 프로그램의 변조를 방지하여 외부로부터의 위협 뿐 아니라 내부자에 의한 개인정보 유출 및 부정사용을 사전에 방지할 수 있다.

• 정보보호학회논문지
• /
• 제22권6호
• /
• pp.1271-1282
• /
• 2012

최근 기업의 기밀정보 및 개인정보의 대량 유출에 따른 보안사고가 지속적으로 발생하고 있다. 이에 내부 정보 유출 방지를 위한 인증 강화와 접근통제 관련 보안 기술이 주목받고 있다. 특히 사용자의 현재 위치정보를 인증 요소로 활용하는 위치기반인증은 접근을 시도하는 사용자의 물리적 통제와 더욱 강력한 인증을 제공하고 내부 정보 유출 경로를 원천적으로 차단할 수 있다는 장점을 가지고 있어 다양한 형태로 제안되고 있다. 그러나 위치정보는 또 하나의 개인 식별 정보로써 인증 수행 시 안전하게 처리되어야 하며, 사용자 위치정보의 특성을 이용하여 유연한 물리적 통제를 수행할 수 있어야 한다. 본 논문에서 제안한 위치기반 인증 기법은 기존 관련 위치기반인증 프로토콜과 비교하여 위치정보 처리 과정의 안정성을 높이고, 최종 사용자 인증에 일회용 패스워드를 사용하여 사용자 인증을 강화한다. 제안된 기법은 내부 정보 유출 방지를 위해 인증 수행과 함께 사용자의 물리적 접근 통제의 개념을 접목시켜 기존 연구보다 높은 보안성을 제공함과 동시에 낮은 통신비용을 보장한다.

• 정보보호학회논문지
• /
• 제22권6호
• /
• pp.1345-1354
• /
• 2012

USB 메모리가 보편화됨에 따라 보안 USB 제품들이 일반화 되고 있다. 보안 USB는 장치 기반의 접근제어, 저장된 파일의 암호화 등 다양한 방식으로 데이터를 보호하고 있다. 따라서 포렌식 관점에서 분석자가 데이터에 접근하기 위해서는 많은 어려움이 존재하여 데이터 복호화가 필요하다. 본 논문에서는 보안이 적용된 이동식 저장 매체에 대한 취약성 검증을 위해 소프트웨어 방식의 데이터 암 복호화 기술을 연구하고 이에 대한 분석 메커니즘을 제안한다. 보안 메커니즘이 적용된 USB 저장장치를 대상으로 데이터 복호화를 위한 취약점 분석을 수행하였으며, 그 결과 암호화가 적용된 보안 USB 제품에 대해서 패스워드 없이 원본 파일을 추출할 수 있는 취약점이 존재함을 확인할 수 있었다.

• 정보보호학회논문지
• /
• 제22권6호
• /
• pp.1243-1252
• /
• 2012

최근 모바일 스마트 기기의 보편화로 인하여 사용자 인터페이스로부터 개인 정보를 직접 획득하는 유형의 공격(숄더 서핑 공격, 레코딩 공격 등) 위협이 크게 증가하고 있다. 이러한 공격 가능성 및 안전성에 대한 체계적 평가를 위해 정형화된 안전성 분석 모델이 필요하지만, 이에 적합한 모델이 존재하지 않는다. 본 논문에서는 모바일 스마트 기기환경의 안전성 및 사용성 분석 모델인 STM-GOMS 모델을 제안한다. STM-GOMS 모델은 HCI 인지 모델을 안전성 분석에 처음으로 활용한 이전 연구 사례를 메모리 한계 관점에서 개선한 GOMS 기반 모델로 인증 기법의 사용성과 안전성 평가가 가능하다. 본 논문에서는 현재 스마트 기기에서 사용 중인 패스워드 입력 기법을 STM-GOMS 모델로 분석하여 사용성과 숄더 서핑 공격에 취약함을 보이고 이를 실험을 통해 검증한다.

• 정보보호학회논문지
• /
• 제22권6호
• /
• pp.1293-1300
• /
• 2012

모바일 디바이스의 진화와 무선 네트워크의 발전으로 스마트폰 기반 모바일 소셜 네트워크 서비스의 사용자가 증가하고 있다. 또한 실시간 의사소통과 정보공유에 따른 개인정보 유출이 심각한 사회적 문제로 대두되고 있다. 이에 본 연구에서는 먼저 OpenAPI를 이용하여 소셜 네트워크 서비스 플랫폼에 연동 가능한 프레임워크를 설계하고, 개인정보보호 강화를 위해 구현된 프레임워크에 인증과 탐지 메커니즘을 제안하였다. 인증 방식으로는 아이디와 패스워드를 사용하고 탐지 방법은 사용자가 지정한 입력패턴을 분석하여 개인정보보호 가이드라인에 해당하는지 사전에 미리 검증함으로써 소셜 네트워크 서비스 환경에서의 개인정보보안을 강화하였다. 마지막으로 성능 평가를 수행하여 본 연구의 효율성 및 타당성을 입증하였다.

• 정보보호학회논문지
• /
• 제22권2호
• /
• pp.347-355
• /
• 2012

바이오 보안토큰은 바이오 인식 센서와 바이오인식 정보를 처리할 수 있는 MCU, 보안토큰으로 구성된 USB 형태의 하드웨어 기기로서, 기기 내부에서 바이오인식 센서로 가입자의 바이오인식 정보를 추출하여 보안토큰에 안전하게 저장하며, 사용자 인증시 바이오인식 센서로 부터 취득된 바이오인식 정보와 저장되어 있는 바이오인식 정보를 기기내부 MCU에서 매칭하여 사용자를 인증하는 독립된 하드웨어 보안모듈이다. 기존의 보안토큰이 제공하는 개인인증기법이 ID/패스워드에 기반한 방법이므로 이의 유출로 인해 생길 수 있는 피해를 최소화하고, 고의적인 공인인증서의 오용을 막을 수 있도록 높은 수준의 사용자인증기법을 제공한다. 이에 본 논문에서는 공개키기반구조(PKI: Public Key Infrastructure)를 연동한 바이오보안 토큰의 이용에 있어서 사용자의 바이오인식 정보를 보호하면서 바이오인식 정보를 이용하여 보안 수준이 높은 사용자 인증이 가능한 기법을 제시한다.

• 정보보호학회논문지
• /
• 제20권4호
• /
• pp.31-40
• /
• 2010

최근 네트워크의 발전과 인터넷의 대중화로 인하여 IPTV의 서비스가 전 세계적으로 활성화되고 있다. IPTV는 인터넷 프로토콜을 사용하되 방송 특성을 만족해야 하는데 현재는 인터넷 특성상 보안을 제공하지 못하고 있다. 따라서 IPTV에서도 사용자가 요구하는 콘텐츠에 대하여 알맞은 서비스를 제공하는 것이 중요하며 동시에, 콘텐츠의 안전성 및 보안성을 강화해야 할 필요가 있다. 현재 IPTV에서는 콘텐츠를 보호하기 위한 기술로 수신제한시스템(Conditional Access System)과 디지털 저작권 관리(Digital Right Management) 시스템을 도입하고 있지만 한계가 존재한다. 따라서 본 논문에서는 기존의 IPTV에서 사용되고 있는 보안 시스템을 효율적으로 보완하고 안전성을 높일 수 있는 방법을 제안한다. 제안하는 기법은 OTP를 사용하여 콘텐츠를 암/복호화하고 사용자에 관한 권한 관리와 키 관리는 CAS가 수행하는 모델로써 시스템의 부하를 줄일 수 있고 사용자 인증, 콘텐츠 보호, 스트림 데이터 전송의 안전성을 제공할 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제28권5호
• /
• pp.67-74
• /
• 2023

본 논문에서는 2022년에 Hussain et al.이 제안한 DRM을 위한 인증 프로토콜에 대해 분석하고, 개선된 해결방법을 제시한다. Hussain et al.은 자신들의 인증 프로토콜이 중간자 공격과 재생 공격, 그리고 상호 인증을 보장한다고 주장하였다. 그러나 본 논문에서 Hussain et al.의 인증 프로토콜을 분석한 결과, Hussain et al.의 인증 프로토콜은 그들이 지적하였던 Yu et al.의 인증 프로토콜의 문제점인 내부자 공격 문제가 여전히 존재한다. 이로 인하여 내부 공격자가 모바일 기기의 정보를 획득할 경우 사용자 가장 공격 등도 가능하였다. 또한 사용자의 ID 형식 확인 부재의 문제와 서버와 사용자간의 디지털 컨텐츠의 비밀키 불일치의 문제점이 존재하였다. 그러므로 본 논문에서는 이러한 문제를 해결하기 위하여 개선된 해결방법을 제안한다. 개선된 해결방법을 본 논문에서 분석한 결과, 스마트카드 공격, 내부자 공격, 패스워드 추측 공격 등 여러 공격에 안전하여 DRM의 사용자를 안전하게 인증할 수 있다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2022년도 춘계학술대회
• /
• pp.620-623
• /
• 2022

최근 이메일 해킹사고의 유형을 살펴보면 사회공학적인 기법을 활용한 피싱메일 공격이 대다수를 차지하고 있는 상황이다. 그중 사용자의 패스워드를 빼내기 위한 공격메일이 기존 첨부파일에 악성코드를 삽입해서 보내지는 방식보다 월등히 높아졌다고 할 수 있다. 이는 공격자가 이메일 내용에 관심이 높아진 것으로 이메일은 사용자의 성향, 직업, 라이프스타일 파악뿐만 아니라 해커가 원하는 중요자료가 저장되어 있을 가능성이 매우 높으며 또 다른 공격대상자를 선정할 수 있는 좋은 창구가 될 수 있을 것이기 때문이다. 만일 피싱메일에 노출되어 패스워드가 해커의 손에 넘어 갔다면 많은 보안대책이 무용지물이 된다. 많은 보안 전문가들은 패스워드를 8자리 이상으로 하되 영문대·소문자와 숫자 그리고 특수문자를 포함하고, 사이트별 규칙성이 없이 모두 다르게 설정해야 하며, 정기적으로 바꿔야 한다고 조언한다. 이러한 조언은 패스워드를 크랙할 경우 안전할 수 있지만 요즘처럼 한 개인이 100여개 이상의 사이트에 대한 패스워드를 관리해야 한다면 현실적으로 불가능한 조언이 되고 말 것이다. 이러한 상황에 2017년 6월 미국 국립표준기술연구소(NIST)에서 '특별 간행 800-63-3: 디지털 인증 가이드라인'을 발표하게 된다. 내용은 그동안 보안전문가들이 권고했던 내용과는 많은 차이가 있다. 오히려 자주 바꾸는 것이 문제가 될 수 있다는 내용이다. 자세한 내용은 본 논문에서 살펴보도록 한다. 우리는 스마트폰 등을 사용함으로써 2-Factor인증에 활용하고 있다. 스마트폰 인증의 대표적인 방법은 지문·얼굴인식 등 생체인증 방식을 사용한다. 패스워드 없이도 편리하고 안전하게 인증을 할 수 있다는 점이 장점이다. 이러한 상황에 FIDO라는 인증 프레임워크가 인기를 얻고 있다. FIDO(Fast IDentity Online)는 비밀번호의 문제점을 해결하기 위한 목적으로 FIDO 얼라이언스에 의해 제안된 사용자 인증 프레임워크다. 향후 FIDO로의 대체가 패스워드 문제의 대안이 될 수 있을 것이다. 이제는 패스워드 대신 생체인증 체계로 대체할 수 있는 시대가 되었다고 할 수 있다. 본 논문에서는 패스워드의 문제점을 살펴보고 이를 대체할 수 있는 FIDO기반의 인증체계가 대안이 될 수 있는 근거를 제시하고자 한다.