컴퓨팅 기술의 발전과 금융결제가 가능한 모바일 장치의 확산으로모바일 단말기를 통한 금융결제 서비스의 사용이 증가하게 되었고, 금융 결제 서비스를 이용하기 위하여 정당한 사용자를 확인하는 인증기술의 중요성이 증대되고 있다. 그러나 모바일 금융 결제 서비스가 기초하고 있는 인터넷 자체가 개방형 시스템이기 때문에 해킹 등의 안전성 문제가 끊임없이 제기 되고 있어 인증기술의 중요성은 더욱 더 부각되고 있다.
일반적으로 사용되는 사용자 인증기술은 사용자가 인증을 위해 서버에 지식기반 패스워드를 전달하는 정적 패스워드 기반의 사용자 인증기법이다. 정적 패스워드 기반의 사용자 인증기술은 스니핑, 재사용 공격 등의 취약점이 발생된다. 이러한 취약점을 보완하기 위해 한 세션에서 패스워드 값을 사용 후 삭제하는 OTP 에 관한 연구가 활발히 진행되고있다.
본 논문에서는 기존 OTP 방식의 문제점을 분석하고 이를 해결하기위하여 모바일 단말기의 좌표 값을 이용하여 임의성을 증가 시 OTP 생성방식에 대하여 제안한다.
제안한 방식은 모바일 단말기의 이동 좌표를 기반으로 OTP 를 생성하기 때문에 재사용 공격에 안전하며, 사용자의 모바일 단말기 위치를 통한 1 차적인 사용자 인증을 추가하여 Spoofing 공격에 대한 방어와, 해쉬 함수를 이용하여 연산 속도의 효율성을 증가 시켰다. 또한 OTP 의 생성에 사용되는 동기화 정보로 사용자의 위치를 이용하여 예측할 수 없는 개인의 이동성이 변수로 추가되었다. 개인의 이동은 제안할 수 없기 때문에 기존의 동기화 OTP 보다 안전한 인증 방식이다.
위와 같은 메커니즘을 이용하여 최종적으로 생성된 OTP 에 사전 등록된 비밀키 해쉬 값을 결합하여 보안성을 강화하고 모바일 단말기의 탈취 경우 도용 가능성에 대해 대비하였다.
Alternative Abstract
With the development of computing technology and the spread of mobile devices that enable financial settlement, the financial settlement service is increasingly used via mobile terminals, and the importance of authentication technology for the financial settlement service is also increasing to identify the certified users. Because the Internet, which the mobile financial settlement service is based on, is an open system, however, the safety problems that include hacking are constantly generated. Therefore, the authentication technology is being considered more and more important.
The general user authentication technology is a static password-based technique, wherein the user transmits the knowledge-based password to the server. The static password-based user authentication technology has weak points against snipping, replay attack and others. To address these weak points, the one-time password (OTP), wherein the password is used in a single session and then removed, is being studied.
In this study, the problems of the existing OTP method are analyzed, and an OTP generation method that uses the coordinates of the mobile terminal to increase the randomness is proposed to address the problems.
Because the proposed method generates the OTP based on the moving coordinates of the mobile terminal, this method is safe against the replay attack. The spoofing attack is protected by adding the primary user authentication using the user’s mobile terminal, and the operation speed efficiency is improved using the hash function. In addition, the unexpectable mobility of the individual is added as a parameter since the user’s location is used as the synchronization information to generate the OTP. Because the movement of an individual is not controlled, this method is safer than the existing time-synchronized OTP.
The secret key hash value is combined with the OTP that has been created using the aforementioned mechanism to strengthen the security and address the illegal use of the stolen mobile terminal.