본 논문은 블루투스 통신을 이용하는 모바일 POS(Mobile Point of Sale) 시스템에서 스마트 디바이스와 카드리더기 사이의 PCI-PTS 보안 요구사항을 준수하며 TLS에 기반한 경량화된 상호인증 프로토콜을 제안한다.
모바일 POS는 모바일 기기와 별도의 카드리더기를 결합하여 POS를 구현하는 시스템이다. 모바일 POS는 모바일 기기를 가지고 있다면 상대적으로 저렴하게 POS 시스템을 구축할 수 있다. 현재 국내에는 모바일 기기와 카드리더기가 블루투스로 통신하는 모바일 POS 시스템의 경우 대부분 블루투스 페어링에서 제공하는 암호화 통신만을 사용한다. 해외 카드리더기 보안 표준인 PCI-PTS에서는 블루투스 페어링만을 이용한 카드정보 통신을 보안에 취약한 것으로 보고 있다. PCI-PTS에서는 두 종단 단말기 사이의 보안 프로토콜로써 TLS 프로토콜을 권장하고 있다. 하지만 일부 모바일 POS에 사용되는 카드리더기는 작고 가볍게 만들어져 하드웨어 스펙 상 TLS 프로토콜을 구동할 수 없는 문제가 있다.
본 논문에서 제안하는 상호인증 프로토콜은 PCI-PTS 인증의 보안 요구사항을 분석하여 이를 토대로 설계하였다. 이를 통해 국내 시장뿐만 아니라 해외 시장에서도 제안하는 상호인증 프로토콜을 이용할 수 있다. 또한 4 step으로 구성된 TLS 프로토콜에 비해 2 step으로 감소시켜 실험 결과 Local 환경에서 18%, Network 환경에서 26 % 가량 성능이 개선되었다. 또한 보안성을 분석하여 안전성을 확인하였다.