OTP (One Time Password) LAN1 장정화 jjh07@bse.inje.ac.kr
AGENDA OTP 란? OTP의 등장 배경 OTP 특징 현황 및 전망 Reference Q&A OTP의 정의
OTP란?
OTP란? One Time Password로 사용자가 인증을 받고자 할 때마다 매번 새로운 비밀번호가 자동으로 생성되는 보안시스템
OTP 원리 인증을 요청하는 클라이언트와 인증 서버간에 미리 약속된 방식으로 인증 코드를 생성하여 전송하고, 전송된 코드에 대한 무결성 검증을 통해 인증
OTP 생성 방식
OTP 생성 알고리즘은 일방향 함수에 기반 (출력으로부터 입력을 유추할 수 없는 함수인 해시함수)
시간 동기화 방식 이벤트 동기화 방식 질의 응답 혼합 방식 OTP 생성 방식 구분 입력 값 장점 단점 시간 자동 입력 서버의 질의 값을 입력할 필요가 없어 사용이 간편하고 호환성이 높음 OTP디바이스와 서버간에 시간 동기화 필요, 시간 간격이 길어지면 보안성이 떨어지고, 시간 간격이 낮으면 입력 오류시 사용자 대기시간이 김 이벤트 동기화 방식 OTP생성 횟수 자동 입력 시간 동기화 방식에 비해 전력 소모가 적어 배터리 수명이 김 OTP토큰과 서버간에 OTP생성횟수 동기화에 대한 고려가 필요 질의 응답 인증 서버로 부터 받은 임의의 난수 구현이 간편 서버와 OTP토큰간 동기화 불필요 질의값의 입력에 따른 불편함. 동일한 질의값 반복 생성 방지 장치 필요 혼합 방식 시간과 OTP생성 횟수 시간 동기화에 비해 시간 간격을 길게 가져 갈 수 있음 같은 시간 간격 내에서 OTP 생성 횟수 동기화 장치 필요
OTP 등장배경
인터넷을 통한 증권거래, 인터넷 뱅킹, 전자상거래를 위한 전자지불 등 인터넷에서 법적이고 경제적인 효력이 있는 암호와 인증기술은 필수적으로 필요 인터넷을 통한 증권거래, 인터넷 뱅킹, 전자상거래를 위한 전자지불 등 인터넷에서 법적이고 경제적인 효력이 있는 다양한 서비스가 등장 인터넷의 급격한 보급의 영향
인증방법 보안수준 편리성 비용 사용자 ID/비밀번호 낮다 키보드 스파이웨어에 취약 사용이 간편 비밀번호 기억이 어려움 자체 개발비 관리 비용 복잡한 질의 응답 사용자 ID/비밀번호보다 우수,키보드 스파이웨어에 취약 여러 가지 질문에 대한 답변 OTP단말기 높음 토큰의 존재여부가 중요 토큰 휴대 분식,도난 및 파손 우려 구입비용 배포비용 관리비용 라이센스 갱신비용 생체 인식 유일한 식별자 지문, 홍채 등 신체적 특징 스캐닝 높은 도입/관리 비용 스마트 카드 인식기가 부착된 곳에만 가능 PKI기반의 전자서명 설치되고 나면 이용간편 높은 관리비용
OTP 특징
무한정 비밀번호 생성에 따른 예측 불능 패스워드 재사용 공격이 불가능 다기능 병행 가능
장점 높은 보안성 소지의 편의성 간편성
단점 휴대의 분실,도난 및 파손 우려 과다한 초기 도입 비용 일정 기간 경과 후 라이센스 및 디바이스 교체에 따른 유비보수 비용
OTP 유형
토큰형 OTP 바코드를 통해서 OTP와 은행 간의 동기화 고장의 위험성 교체 주기 시 토큰을 다시 수거해야 하는 불편함
카드형 OTP
카드형 OTP 장점 단점 마케팅 활용 다양한 기능과 응용이 가능 휴대의 편의성 보안의 취약 가능 가격이 비싸다 너무 작은 LCD창
V-OTP 입력값을 PC, PDA, 모바일 등의 마이크를 이용하여 음향신호를 받음
휴대전화에 탑재 가능한 일회용 비밀번호 생성 SW 모바일 OTP(MOTP) 휴대전화에 탑재 가능한 일회용 비밀번호 생성 SW OTP단말기 구입의 불필요 영구적인 사용으로 운영비용 절감
현황 및 전망
현황 올해 4월 금융권 감독원 OTP도입 의무화 올해 7월 금융보안연구원이 OTP통합인증센터 설립 솔루션 공급자인 미래테크놀러지, 인터넷시큐리티, 시큐어컴퓨팅 등 7개 업체간 알고리즘 표준 구축 중 하반기 전 금융기관의 OTP시스템을 연동해 통합인증을 수행
전망 전자금융이용자 1,000만 명 중 최소 300만 명에서 최대 500만 명이 OTP를 이용 예상 사회 전반에서 보안에 더 다각도로 활용
Reference http://gisulsa.tistory.com/73 http://empas.nanet.go.kr:8080/dl/CommonView.php?u=QfzB810qq87uYRqyIPl2KTRnw93VshSA73h0jqgl25fYxZ5UBopYs0maCbMWjOBR http://www.eweekkorea.com/02_contents/contents_view.asp?num=17936&num_o=3 http://www.zdnet.co.kr/news/network/security/0,39031117,39159760,00.htm http://www.boannews.com/media/list.asp?search=title&find=otp http://www.koit.co.kr/ http://www.boannews.com/know_how/view.asp?idx=1560&search=title&find=OTP
Q&A Thank you