GCOD
2 years ago10,000+ Views
최근의 인증 기술들은 디바이스를 함께 검증하는 추세이다. 즉 사용자는 ID,PIN만 입력하지만 실제로는 스마트폰의 HW고유정보를 추출하여 서버에 등록하여 두고 인증을 요구할 때 이를 함께 검증하는 것이다. 간편결재나 모바일 앱카드가 대게 이 방법을 사용하고 있다. 왜냐하면 제3자의 폰이나 명의도용 개통한 스마트폰에 탈취한 신용카드 정보를 등록하여 도용하는 일이 있기 때문이다. 일단 사용자가 이미 자신의 디바이스로 인증 등록을 한 경우에는 제3자가 다른 디바이스로 변경이나 추가를 사칭하여 인증을 등록하고 도용하는 것을 방지할 수 있다.
그러나 이러한 방법도 완벽하진 않아서 디바이스 정보를 공격자가 해킹하여 조작하는 방법이 있을 수 있다. 또한 간편결재를 사용하지 않는 사람을 사칭하여 처음 등록을 가장할 수도 있다. 또는 기존 디바이스를 분실한 것처럼 사칭할 수도 있다. 이러한 보안상의 문제도 있지만 사용자도 모르는 사이에 HW정보를 인증에 이용하기 때문에 사용자가 자신의 디바이스와 결합되어 있다는 사실조차 모르는 경우도 있다.
이것은 사용자가 실제로 디바이스를 변경하거나 추가하려고 할 때 추가가 불가능하기도 하며 변경 절차가 번거롭게 되는 원인이 된다.
절차가 번거로워지면 해당 서비스의 이용을 포기하는 경우도 있다. 귀차니즘이 발동하는 것이다. 이것은 기업에게는 애써 확보한 고객을 잃어버리는 결과를 초래한다. 절차를 단순화하면 디바이스 인증의 보안 효과가 반감된다. 대게는 1인 1디바이스만 허용하는 정책을 함께 적용하기도 한다. 흔치는 않겠지만 이것 또한 잠재 고객을 잃어버리게 되는 이유이다. 또한 1인 1디바이스라 하더라도 기존 디바이스에서 새 디바이스로 유심을 옮겨 장착하는 경우 휴대폰 본인확인을 거쳐 자동으로 디바이스 변경을 처리하게 된다. 당연 유심을 새로 발급 받은 경우는 처음부터 회원가입을 해야 하는 불편함이 발생한다.
매끄럽지 못한 이와 같은 절차나 보안성의 원인은 HW인증을 서버가 지정하는 특정의 방식으로 백그라운드에서 처리하기 때문이다. 이는 HW고유정보를 일종의 인증Seed로 사용하는 개념이라고 할 수 있다. 그러나 HW정보는 비밀 정보가 아니라는 것이 문제다.
패스콘과 근본적인 차이점이 바로 이점이다. 즉 사용자가 지정하는 원문(Raw Seed)를 이용하여 사용자 인증과 디바이스 인증을 동시에 처리하는 패스콘의 우월성이 돋보이는 부분이다. 패스콘은 Seed와 디바이스인증키(DAK)와 두 가지의 합성 팩터 AAK를 인증에 사용한다. 그러므로 디바이스의 변경이나 추가를 인증과정에서 자동으로 식별이 가능하고 사용자를 인증하기 위하여 안전한 인증팩터 Seed를 요구함으로써 보안성을 확보 할 수 있다.
왜냐면 Seed는 사용자가 지정한 원문을 이용하여 생성하는 것이므로 디바이스를 변경하더라도 얼마든지 같은 Seed를 생성할 수 있기 때문이다.
간편결재나 앱카드는 그렇다 치고 지문인증의 경우도 이러한 제약과 불편함은 유사하다.
현재 지문인증은 서버 연동이 아니라 로컬인증이다. 즉 디바이스에 저장된 지문인증정보와 인식센스에서 입력된 지문인증정보를 비교 검증한다. 서버는 인증의 결과만 수신한다. 그러므로 디바이스를 변경하려면 새로 등록하는 지문이 본인 지문인지 확인할 방법이 없다.
이것은 제3자의 명의 사칭 도용 시도 가능성을 보여주는 것이다. 게다가 두 디바이스의 지문센스가 다르면 만약 생체정보 집중센터를 연동하더라도 호환에 문제가 발생할 수 있다. 지문센스는 HW이므로 다양하게 보급될 수 있고 그만큼 범용성은 더욱 취약해지게 마련이다.
이와 같은 제약은 결국 매우 편리할 것 같던 생체인증이 매우 불편해질 수 있다는 것을 의미한다. 생체인증이던 PIN인증이던 디바이스 변경/추가는 보안성과 편의성을 사이에 두고 심각한 고민거리로 대두되는 것이다.
반면에 패스콘은 이러한 디바이스 변경이나 추가에 대해 매우 간편한 방법을 제공하며 체계적이고 시스템 적인 명의도용 사칭과 같은 사기행위에 대하여 즉각적이고 능동적인 식별과 대응을 가능하게 하는 장점이 있다. 간편성, 편리함에 보안성을 유지하면서 동시에 이 기종 범용성도 동시에 만족하는 것이다.
Raw Seed는 갤러리의 사진이므로 디바이스를 변경한 사람은 사진을 이동하면서 자동으로 Raw Seed가 새 스마트폰으로 이동되어 간편하게 이를 처리할 수 있다.
패스콘은 다음과 같은 프로세스로 디바이스 변경이나 추가를 사칭하는 경우를 식별할 수 있다.
1. 새로 설정한 디바이스에서 인증을 수행하도록 한다. 즉 Raw Seed를 보유하고 비밀Icon을 알고있는지를 검증하여 인증에 성공하면 DAK와 AAK를 변경 승인하는 간편승인 방법이 있다.
이미 탈취 도용이 불가능한 Raw Seed와 비밀Icon을 알고 있다면 디바이스가 다르더라도 변경이나 추가를 승인하는데 무리가 없다. 즉 매우 안전하다는 의미이다. 이를 공격하려면 Raw Seed와 비밀Icon을 모두 탈취한 경우에만 시도할 수 있기 때문이다.
2. 간편승인이 불안하다면 추가로 참진 질문을 던져 사기 공격자를 식별할 수 있다.
기존 디바이스에 참진 질문을 던져 정당한 사용자의 확인을 거치게 하는 방법이다. 즉 “기존 디바이스를 지금 보유하고 계십니까?”라는 질문에 대한 반응을 보면 식별이 가능하다.
3. 많이 활용되고 있는 휴대폰 본인인증 즉 명의 확인을 추가할 수도 있다.
이것은 디바이스 명의가 맞더라도 명의도용으로 개통한 디바이스를 식별한다. 왜냐하면 명의가 맞더라도 Raw Seed와 비밀Icon을 제시할 수 있어야 하기 때문이다.
디바이스 변경이나 추가의 경우에 사용자에게 편리함을 제공하면서도 안전한 방법을 제공하는 기술이다. 변경승인을 판단하기 전에 디바이스의 명의를 확인하거나 기존 디바이스 사용자에게 질문을 던져 변경 의사가 정당한 사용자의 행위인지를 검증하는 것도 결국은 Raw Seed와 비밀Icon을 성공적으로 제시할 수 있는 가에서 최종 결정이 된다.
그러므로 패스콘은 인증시스템 자체 만으로도 변경이나 추가 또는 명의도용 사칭 사기 자를 식별하고 방어할 수 있는 혁신적인 인증 기술이라고 할 수 있다.
본 Card의 패스콘(PASSCon)인증 기술은 관련 특허에 의하여 보호되므로 이점 양지하여 주시기 바랍니다.
등록특허 제10-1571165호
출원특허 2015-0052631
출원특허 2015-0094749
출원특허 2015-0127141
출원특허 PCT KR2015/009523
패스콘 관련 자료 참조
Card#1 - 컨셉 - PASSCon 인증보안기술 http://www.vingle.net/posts/1444244?shsrc=v 참조
Card#2 - 인증시드 - PASSCon 인증보안기술 http://www.vingle.net/posts/1447571?shsrc=v 참조
Card#3 – PASS Code - PASSCon 인증보안기술 http://www.vingle.net/posts/1451364?shsrc=v 참조
Card#4 – UI/UX - PASSCon 인증보안기술 http://www.vingle.net/posts/1456596?shsrc=v 참조
Card#5 – 알고리즘 - PASSCon 인증보안기술 http://www.vingle.net/posts/1459098?shsrc=v 참조
Card#6 – 주요특징 - PASSCon 지식인증에 대한 발상의 전환 http://www.vingle.net/posts/1460803?shsrc=v 참조
Card#7 – 인증Factor – PASSCon 멀티팩터 강력인증 http://www.vingle.net/posts/1463878?shsrc=v 참조
Card#8 – 정의– PASSCon http://www.vingle.net/posts/1472036?shsrc=v 참조
Card#9 – 시스템인증 – PASSCon 시스템 프로세스 기반 인증 http://www.vingle.net/posts/1474040?shsrc=v 참조
Card#10 – 공인인증서,OTP,지문인증과 비교 – PASSCon의 비교 우월성 http://www.vingle.net/posts/1479380?shsrc=v 참조
Card#11 – 전자서명– PASSCon http://www.vingle.net/posts/1485231?shsrc=v 참조
Card#12 – 보안성– PASSCon http://www.vingle.net/posts/1489393?shsrc=v 참조
Card#13 – 기억– PASSCon http://www.vingle.net/posts/1492010?shsrc=v 참조
Card#14 – 같은 비밀Icon사용– PASSCon http://www.vingle.net/posts/1503831?shsrc=v 참조
Card#15 – 같은 비밀Icon사용– PASSCon http://www.vingle.net/posts/1503831?shsrc=v 참조
Card#16 – 랜덤확률– PASSCon http://www.vingle.net/posts/1511106?shsrc=v 참조
Card#17 – 디바이스변경 사칭 사기– PASSCon http://www.vingle.net/posts/1513460?shsrc=v 참조
1511106
#GCOD #PASSCon #패스콘 #보안 #인증 #인증보안 #비대면인증 #본인확인 #인증서비스 #인증센터 #Security #authentication #LTAuth #엘타우스 #CQLock #시큐락 #CirCLock #서클락 #핀테크 #Fintech #IOT #Bigdata #임용훈






0 comments
Suggested
Recent
4
Comment
5