240 likes | 1.1k Views
OTP(One Time Password) 기술 동향. 순천향대학교 정보보호연구실 2010. 2 . 8 김 홍 기 hgkim31@sch.ac.kr. 목 차. 서론. 1. OTP 기술현황. 2. OTP 활용. 3. OTP 표준화 동향. OTP 시장동향. 결론. 4. 5. 6. 1. 서론. 기존 패스워드 방식 정적인 패스워드 보안성이 낮으며 쉽게 노출 가능한 불완전한 인증방식 보통 사용자들은 기억하기 쉽고 추측이 가능한 단어 , 숫자들로 패스워드 구성. 1. 서론 ( 계속 ).
E N D
OTP(One Time Password) 기술 동향 순천향대학교 정보보호연구실 2010.2.8 김 홍 기 hgkim31@sch.ac.kr
목 차 서론 1 OTP 기술현황 2 OTP 활용 3 OTP 표준화 동향 OTP 시장동향 결론 4 5 6 월요(동향) 세미나
1. 서론 • 기존 패스워드 방식 • 정적인 패스워드 • 보안성이 낮으며 쉽게 노출 가능한 불완전한 인증방식 • 보통 사용자들은 기억하기 쉽고 추측이 가능한 단어, 숫자들로 패스워드 구성 월요(동향) 세미나
1. 서론 (계속) • OTP (One Time Password) • 매번 다른 비밀번호로 사용자를 인증하는 일회용 비밀번호 • 현재 사용하는 비밀번호로부터 다음번에 사용할 비밀번호를 유추하는 것이 수학적으로 불가능한 특성이 있음 • 의미있는 단어, 숫자패턴, 특정사용자와 연관된 문자 등으로 구성되지 않음 • 매번 다른 비밀번호를 생성하는 동적인특성을 가짐 월요(동향) 세미나
1. 서론 (계속) • OTP의 장점 사용 편의성 증대 휴대 편의성 증대 비밀번호 유추 불가 OTP 장점 타인에 의한 복사 및 재사용 불가 월요(동향) 세미나
1. 서론 (계속) • OTP의 종류 토큰 1형 토큰 2형 토큰 3형 카드형 월요(동향) 세미나
2. OTP 기술현황 • OTP 생성 단계 • S/KEY 방식 • Bellcore에서 최초로 기술개발, IETF에서 표준화 W 입력 Password n-1 H[H[H[W]]] H[W] • 문제점 • 사용 횟수의 제한 • 초기화 과정의 패스워드 노출 H[H[W]] H[H[H[W]]] 월요(동향) 세미나
2. OTP 기술현황 (계속) • OTP 생성 단계 • 질의응답 방식 1. 로그인정보 OTP 토큰 인증서버 3. 질의 값 4. 질의값을 토큰에 입력하여 OTP값 생성 2. 로그인정보 확인 5. 응답 값 6. 응답값 비교하여 사용자 인증 수행 월요(동향) 세미나
2. OTP 기술현황 (계속) • OTP 생성 단계 • 시간 동기화 방식 1. 로그인정보 OTP 토큰 인증서버 3. OTP 값 2. 로그인정보 확인 4. 응답값 비교하여 사용자 인증 수행 월요(동향) 세미나
2. OTP 기술현황 (계속) • OTP 생성 단계 • 이벤트 동기화 방식 • 시간정보 대신 인증서버와 인증 횟수 기록을 공유하고 이를 일회용 패스워드 생성시 입력값으로 사용 • 시간동기화 방식의 단점 해결 (서버와 사용자의 인증시간 일치문제) • 조합방식 • 질의 응답방식, 시간 동기화 방식, 이벤트 동기화 방식의 결합 • 다양한 조합이 나올수 있음 월요(동향) 세미나
2. OTP 기술현황 (계속) • OTP 인증과정 TIME+SEED TIME+SEED Login Server OTP 생성 알고리즘 OTP 생성 알고리즘 832849 832849 ID+OTP OTP 검증 Authentication Center 월요(동향) 세미나
3. OTP의 활용 • 전용 하드웨어 OTP 토큰 • OTP를 자체 생성할 수 있는 연산기능, 암호알고리즘 등을 내장하고 있는 OTP토큰 • 시스템 적용이 용이하여 많이 사용 • 별도로 토큰을 휴대, 토큰 구입비용에 대한 취약성 존재 월요(동향) 세미나
3. OTP 활용 (계속) • 모바일OTP • OTP 생성알고리즘이 소프트웨어 모듈로 휴대폰에 탑재된 형태 • 별도의 OTP 토큰이 필요없음 • 전용 토큰 구입비용 절감 효과 • 텔레뱅킹 서비스, 모바일뱅킹 서비스 이용불가 월요(동향) 세미나
3. OTP 활용 (계속) • 디스플레이형OTP 생성카드 • IC카드 앞면에 디스플레이 창이 있음 • 휴대가 간편, 다양한 전자금융 서비스에서 이용가능 • 구입비용이 높음 월요(동향) 세미나
3. OTP 활용 (계속) • 보이스OTP • IC카드에 오디오 기능이 있는 OTP 생성 카드 • 휴대성이 간편 • 사용시 마이크 장비가 필요, 시스템 환경이 복잡하고 구입비용이 높음 월요(동향) 세미나
4. OTP 표준화 동향 • S/Key • Bellcore에서 최초로 개발된 기술, S/Key라는 명칭으로 발표 • 1995년 등록 (RFC 1760) • 표준 명칭 부적격으로 인해 OTP로 명칭 변경(RFC 2289) 월요(동향) 세미나
4. OTP 표준화 동향 (계속) • OATH (Open AuTHentication) • “개방”, “표준화”, “상호 운용성”을 확립하기 위해 설립된 조직 • VeriSign사에 의해 2004년 2월 설립 • 참여업체 • VeriSign, ActivIdentity, Incard, IBM, VASCO, Entrust • IETF HMAC-SHA1 OTP (RFC 4226) • HMAC 기반의 이벤트 방식의 OTP • IETF Mutual OATH Challenge/Response Specification Draft • 질의/응답 방식의 인증과 서명을 위한 알고리즘 월요(동향) 세미나
4. OTP 표준화 동향 (계속) • RSA진영 • SecureID라는 시간동기 방식의 OTP 제공 • RFC 4758 : CT-KIP(Cryptographic Token Key Initialization Protocol) • 암호 토큰의 안전한 초기화와 환경설정을 위한 기술 • OTP-PKCS #11 • OTP 토큰에 의해 생성된 OTP의 복구와 검증을 위한 기술 • OTP-Validation Service • OTP 자격 증명 정보의 검증을 위한 웹서비스 프로토콜 정의 월요(동향) 세미나
4. OTP 표준화 동향 (계속) • 국내 OTP 동향 • 06년 5월 ‘전자금융거래종합대책’에서 OTP 도입 추진 • 06년 12월 ‘금융보안 연구원’ 설립 • 09년 12월 TTA 정보통신표준총회의에서3건의 기술규격 채택 • 일회용 패스워드 암호키 관리 보안 요구사항 • 일회용 패스워드 인증 서비스를 위한 보증레벨 • 일회용 패스워드 통합인증서비스프레임워크 월요(동향) 세미나
5. OTP 시장동향 • 금융보안 연구원 “연도별 OTP 거래실적” 단위 : 천건 46.4% 증가 월요(동향) 세미나
5. OTP 시장동향 (계속) • 금융보안 연구원 “연도별 OTP 거래실적”(계속) 등록,발급건수 단위 : 천건 등록건수 : 19.3% 감소 발급건수 : 44.6% 증가 월요(동향) 세미나
6. 결론 • 전자 금융거래가 활발해짐에 따라, 금전적인 이득을 노린 보안사고의 급증 • 이런 대응책의 하나로 OTP의 연구가 활발히 진행 • 사용의 불편함을 해소하는 OTP 기술 개발이 시급 월요(동향) 세미나
OTP(One Time Password) 기술 동향 순천향대학교 정보보호연구실 2010.2.8 김 홍 기 hgkim31@sch.ac.kr
참고문헌 • 최동현, 김승주, 원동호, “일회용 패스워드 기술 분석 및 표준화 동향”, 2007. 6 • 서승현, 강우진, “OTP 기술현황 및 국내 금융권 OTP 도입사례”, 2007. 6 • 송유진, 이동혁, “OTP 기반의 웹서비스 인증 메커니즘 설계 및 구현”, 2005. 5 • 금융보안연구원,“OTP사용실적”, 2010. 1 월요(동향) 세미나