김태형, 이준호, 이동훈,

Vol. 21, No. 1, pp. 15-26, 2월. 2011
10.13089/JKIISC.2011.21.1.15, Full Text:
Keywords: OTP, Mobile OTP, authentication, Phishing, Availability
Abstract

IT기술 및 정보통신망의 발달은 온라인 금융거래를 활성화 시켰고 사용자들은 다양한 금융서비스를 받을 수 있게 되었다. 하지만 이러한 긍정적인 효과와는 다르게 2009년 7월 7일에 발생한 DDoS(Distribute Denial of Service)공격과 같이 사용자들에게 피해를 주는 부정적인 효과도 초래하였다. 온라인 금융거래에서도 피싱(Phishing) 사이트와 같이 인증절차를 우회할 수 있는 예측 불가능한 공격이 발생하게 되었으므로 OTP(One Time Password)인증과 같이 온라인 금융거래에 이용되는 인증기술에 대해서도 다각도로 안전성을 검토해야한다. 따라서 OTP 인증의 안전성을 높이기 위해 본 논문에서는 PKI기반의 모바일 OTP 메커니즘을 제안한다. 제안하는 메커니즘은 PKI기반에서 운용되므로 사용자와 인증서버의 디지털서명과 공개키 암호화를 통하여 OTP 생성을 위한 비밀 값은 안전하게 전송되고 생성된 OTP는 사용자가 웹사이트에 입력하는 것이 아니라 모바일 단말기에서 인증서버로 직접 전송(Direct Transmission)되기 때문에 2006년에 발생한 시티은행 피싱 사이트에서 드러난 OTP 인증방식의 문제점이 해결되고 사용자의 가용성(편의성)을 높이게 된다.

Statistics
Cite this article