UPDATED   2021. 12. 07(화) 14:22
카테고리
블록체인 행사
블록체인 기사단
TVCC공지
안내데스크
페이지상단으로이동
HOME     블록체인 뉴스

[TVCC연재기사] 황교수의 보안 365일 ② 거래연동 OTP

    • 하미나 기자
    • |
    • 입력 2018-10-15 14:54
    • |
    • 수정 2018-11-05 15:13

“인증(Authentication), 지문인식, 생체인식, OTP, IDO, ... 등 수 없이 많은 보안 전문용어가 등장하고, 

피싱, 파밍, 메모리해킹, 등 수 없이 많은 해킹 용어가 등장하지만 이 모든 용어들은 모두 ‘진짜 본인의 말이 맞는 지를 확인하는 문제’ 이므로 본인 확인의 관점에서 보면 쉽게 이해할 수 있다.“ 

- 황순영교수 보안365 중

△인증(Authentication)과 가짜의 개입

현재의 인증기관이 온라인으로 수행하는 인증은 전자적으로 진짜 여부를 확인하는 것이므로 보이스 피싱과 같은 오프라인 사기를 방어할 수 없다.

A가 은행에게 자신의 계좌에서 B에게로 이체를 부탁한다면, 은행은 그대로 실행한다. 이것은 계좌 이체 서비스다. 하지만 이 상황이 인터넷을 통해 전자적으로 오게되면 진짜 A인지만 확인할 뿐 A와 B가 만나거나 하는 등의 상황은 필요 없다. 이것은 인증이다. 여기서는 가짜가 개입할 소지가 많다. 그 상황은 다음과 같다.

첫째, A가 가짜다.(대리행위)

둘째, A가 사실대로 입력해도 사실은 다른 메세지가 전송될 수 있다.(단말기 해킹)

셋째, 제대로 된 메세지가 은행에 도달할 때까지의 경로에서 변경될 수 있다.(네트워크 해킹)

넷째, 은행 서버에 도달한 메세지가 변조되거나 가짜가 될 수 있다,(서버 해킹)

첫째 상황은 '보이스 피싱'이다. 이것은 사실상 해킹이 아닌 오프라인 사기이다.

셋째, 넷째 상황은 전문가가 항상 점검해야 하며, 사용자에게 문제가 되는 상황은 둘째 상황이다. 단말기 해킹을 방어하는 방법은 본인 인증 기술과 메세지 인증 기술, 이중 메시지 인증 기술에 해당하는 것이 거래연동 OTP이다.

△핵심은 단말기 해킹

해킹 방지는 불가하다. 그러므로 해킹이 되어도 도난 되지 않는 방법을 찾아야 한다. 현재는 해킹을 방어하는 기술만 발전되고 있기 때문에 사용자는 불안에 떨어야 한다. 결국 안전하지도 않은데 사용자는 늘 보안패치를 다운받고 , 책임져 주지도 않는 공인인증서를 써야한다. 하지만 사용자는 자신이 사용하는 단말기가 악성코드에 감염되는 것을 막을 수 없다.

△길고 복잡한 비밀번호와 OTP

인터넷에서의 전자적 도난은 복사를 하기 때무에 비밀번호의 길이나 복잡성과 무관하다. 그럼에도 길고 복잡한 비밀번호가 사용되는 이유는 암호화하여 전송될 때 서버의 암호화를 풀기 어렵도록 하기 위해서 이다.

그러므로 문제는 비밀번호가 항상 동일한 것이다. 공인인증서나 블록체인의 개인키나 동일한 비밀번호라면 제 3자가 그것을 알아낼 가능성이 커진다. 그래서 등장한 것은 일회용 비밀번호(OTP)이다. 이는 매번 사용 때문에 달라지기 때문에 제 3자가 지속적으로 해킹을 할 수 없다.

하지만 이 OTP에는 두가지 약점이 있다. 첫째, 사용자가 사용하는 그 시점의 OTP를 그대로 해커가 사용하는 경우이다. 즉 본인 인증은 되었지만 현재는 확실하지 않은 메세지 인증은 되지 않았기 때문에 해킹이 가능하다.

둘째, OTP를 만드는 방식이 해킹되면 해커는 다음에 나올 OTP도 예측할 수 있다.

△거래연동 OTP로 메세지 인증까지 가능하다

메세지까지 일회용 암호로 바꿔주면 변조가 불가능하기 때문에 앞서 말한 두가지 인증이 가능해진다. 거래연동 OTP란 OTP를 생성할 때 거래내역 즉, 메세지까지 고려하여 만들어지는 OTP를 의미한다. 예를들어 기존의 OTP는 A만의 고유번호와 거래시작을 함수에 대입해 숫자가 나오는데 이에 이체할 B의 계좌번호와 이체금액까지 더한 것이 거래연동 OTP이다. 거래연동 OTP 기술은 나온지 꽤 되어 여러 나라에서 사용을 권고하는데 가격이나 사용자 수, 번거로움 등의 문제로 인하여 적용은 아직 어려운 상태다.

최근에는 거래연동 OTP를 소프트웨어로 구현하여 휴대폰에 앱으로 다운받아 사용하는 방식이 등장하고 있지만 단말기가 감염되면 문제기 때문에 주목은 못받고 있다. 단말기가 감염이 되어도 괜찮으려면 적어도 단말기에 입력되는 암호(OTP)는 감염되지 않는 곳에서 만들어야 한다. 현재 금융결제원에서 이 문제를 해결하려는 준비를 하고 있다.

<끝>

하미나기자 [email protected]

[Copyrights TVCC NEWS. 무단 전재 및 재배포 금지]

[TVCC NEWS]

TELEVISION. CONTENTS COMMUNITY

- New Media TV Contents

< 저작권자 © TVCC, 무단전재 및 재배포 금지 >

하미나 기자 | 하미나@tvcc.publishdemo.com

댓글 [ 1 ]
댓글 서비스는 로그인 이후 사용가능합니다.
회원가입
로그인
댓글등록
취소
  • 최신순
  • jaeung
  • 2020-08-13 10:47:45

소식 감사합니다,^^

  • 1
  • 0
답글달기
닫기
기사 공유하기
URL 복사
페이스북
트위터
텔레그램
링크드인
네이버밴드

(주)티브이씨씨 TVCC. CO. Ltd | 등록번호 서울, 자60003 | 등록일 2018-06-12 |
발행일자 2019-04-29 | 발행인 이동규 | 편집인 김모아 | 청소년보호책임자 문윤수
연락처 02)3662-3911 | 이메일 [email protected] | 주소 서울특별시 강서구 마곡동 791-7 리더스애비뉴 5F
TVCC © tvcc.kr All rights reserved.
TVCC의 모든 콘텐츠(기사 등)는 저작권법의 보호를 받은바, 무단 전재, 복사, 배포 등을 금합니다.

  • naver blog
  • kakaotalk
  • telegram
  • twitter
  • instagram
  • facebook
  • youtube
powered by