비대면 이동통신 가입 시 파라미터 변조를 통한 본인확인 인증체계 우회 취약점 및 개선 방안

정금철; 이상진

비대면 이동통신 가입 시 파라미터 변조를 통한 본인확인 인증체계 우회 취약점 및 개선 방안

정금철

이상진

Vol. 35, No. 5, pp. 1155-1170, 10월. 2025

10.13089/JKIISC.2025.35.5.1155, Full Text:

Keywords: Non-facing Identity Authentication, Parameter Tampering, Accredited Certificates, Cybercrime Investigation
Abstract

최근 가상이동통신망 사업자가 운영하는 웹사이트를 통해 피해자들의 이동통신 회선을 개통하여, 본인인증 OTP를 수신한 뒤 피해자의 가상자산 등 경제적 가치를 지닌 정보를 탈취하는 범죄 피해사례가 다수 보고되었다. 해당 공격의 수법 및 원인을 규명하기 위해 웹 프록시 도구를 사용해 이동통신 가입신청 웹페이지상의 인증절차를 분석하였다. 그 결과, 본인인증 수단 선택 단계에서 가입 명의자의 신원정보로 구성된 파라미터 값을 제3자의 정보로 변조하고, 이어서 제3자의 공동인증서로 인증을 수행하는 경우, 성공적으로 본인확인 인증 절차를 마칠 수 있는 취약점을 발견하였다. 이를 해결하기 위해, 비대면 본인인증 절차에서 서비스 신청자와 인증수단의 명의자가 상호 동일한지 지속 검증하는 프로토콜을 제시한다.

Statistics

Show / Hide Statistics

Cite this article

[IEEE Style]

정금철 and 이상진, "Vulnerabilities and Improvement Measures to Bypass Non-Facing Identity Authentication System of Mobile Communication Contracts through Parameter Tampering," Journal of The Korea Institute of Information Security and Cryptology, vol. 35, no. 5, pp. 1155-1170, 2025. DOI: 10.13089/JKIISC.2025.35.5.1155.

[ACM Style]

정금철 and 이상진. 2025. Vulnerabilities and Improvement Measures to Bypass Non-Facing Identity Authentication System of Mobile Communication Contracts through Parameter Tampering. Journal of The Korea Institute of Information Security and Cryptology, 35, 5, (2025), 1155-1170. DOI: 10.13089/JKIISC.2025.35.5.1155.