4. 최종 보고

                    종합설계 프로젝트 최종보고서 요약

팀명

 Huckleberry PIN

제출일

2012 11 22

프로젝트 제목

 멀티채널을 이용한 가상키보드

설계 프로젝트 개요

프로젝트 개요

인터넷과 스마트폰을 이용한 전자금융거래가 일상화됨에 따라 안전한 전자금융거래를 위한 정보보호의 역할이 중요해 지고 있다. 현재 전자금융거래를 위해 공인인증서, 일회용 비밀번호, 보안카드, 가상키보드등 다양한 솔루션들이 사용되고 있지만, 사용자PC와 같은 전자금융거래 단말기가 해킹 당한 경우에는 모든 사용자 입력정보가 공격자에게 유출될 수 있다는 공통된 문제점이 존재한다.  


이러한 입력정보 유출 문제를 해결하기 위해서 멀티채널 기반의 일회용 가상키패드를 제안하고, 안드로이드 스마트폰과 윈도우즈PC에 직접 구현하여 인터넷 뱅킹 시나리오에 적용하여 실효성을 검증한다.

마일스톤 수행 내용

구분 수행내용 시작일  종료일
계획서결과물 고도화 일정계획 및 추가사항제시 2012-07-052012-09-06 
1차중간보고 OTP 생성모듈 고도화 2012-09-072012-09-27 
2차중간보고 가상키패드 모듈 고도화 및 프로젝트 확장 가능성 연구 2012-09-282012-10-25 
결과보고 최종보고 2012-10-262012-11-22 

최종 보고 요약

 OTP 생성모듈 고도화

OTP를 재사용하는 리플라이어택(Replay Attack)공격 형태를 막기 위해 OTP생성은 서버 자체적으로 생성하여 스마트폰으로 전송하고 사용자는 수신한 OTP를 서버와 세션 맺고 있는 웹 페이지에 입력한다. 그리고 서버는 OTP전송전 연결된 IP와 입력한 시점의 IP가 동일한지  그리고 서버가 생성한 OTP을 올바르게 입력하였는지 확인한다. 올바르게 입력한 경우 서버는 기존에 생성한 OTP정보를 삭제하여 다음에 다시 활용할 수 없도록 한다. 

 가상키패드 도뮬 고도화 연구 

해커가 사용자의 스마트폰을 장악하고 있다고 가정하면 스트링으로부터 키보드 생성원리, 사용자의 비밀번호 길이등 유용한 정보를 알아낼 수 있다. 이러한 취약점을 보안하기 위해 서버와 사용자간에 공유하고 있는 함수를 추가한다. 이 함수는 해시함수와 비슷하게 동작하여 비밀번호의 길이가 다르더라도 일정한 길이의 결과를 생성하는 함수이다. 사용자는 PC화면에 있는 자판 배열을 보고 키를 입력하기 때문에 비밀번호의 노출 위험성은 없고 사용자가 비밀번호를 입력할 때 항상 일정 길이의 스트링이 전송되므로 비밀번호의 길이를 알아낼 수 없어 임의로 유추해서 해킹하는 방법 또한 저지 시킬 수 있다.

 프로젝트 확장 가능성 연구

일반적으로 같이 이중 채널을 동일한 공격자가 동시에 장악하는 경우는 드물다. 그럼에도 불구하고 이중채널을 삼중, 사중으로 확장하면 그만큼 공격자에 의한 정보유출이 차단될 가능성이 더욱 높아진다. 공격자는 모든 채널을 장악해야지만 사용자가 입력한 정보를 알 수 있기 때문이다. 이번 프로젝트에서 채널 확장성에 대한 가능성은 존재한다. 입력모듈을 추가하거나 출력모듈을 추가함으로 구현할 수 있다. 하지만 입력모듈이 많아지면 사용자의 불편성이 증가하므로 출력모듈을 증가시켜서 보안을 강화 시킬 수 있다. PC에서만 보여주었던 키 자판 배열을 별도의 화면(스마트폰)에 분할하여 보여주고 키 입력은 기존 방식과 동일하게 구현하여 삼중채널로 확장할 수 있다.

 공모전 참가 및 수상
캡스톤 디자인 I의 내용을 보충하고 논문으로 작성하여 "멀티채널을 이용한 가상키패드 연구"의 제목으로 제 7회 금융정보보호 공모전에 참가하였고 최우수상을 수상하였다.



Ċ
허대영,
2012. 11. 21. 오후 9:17
Ċ
허대영,
2012. 11. 21. 오후 9:16
Ċ
허대영,
2012. 11. 22. 오전 2:43
Comments