OTP(One Time Password) 기술 동향

OTP(One Time Password) 기술 동향 순천향대학교 정보보호연구실 2010.2.8 김 홍 기 hgkim31@sch.ac.kr

목 차 서론 1 OTP 기술현황 2 OTP 활용 3 OTP 표준화 동향 OTP 시장동향 결론 4 5 6 월요(동향) 세미나

1. 서론 • 기존 패스워드 방식 • 정적인 패스워드 • 보안성이 낮으며 쉽게 노출 가능한 불완전한 인증방식 • 보통 사용자들은 기억하기 쉽고 추측이 가능한 단어, 숫자들로 패스워드 구성 월요(동향) 세미나

1. 서론 (계속) • OTP (One Time Password) • 매번 다른 비밀번호로 사용자를 인증하는 일회용 비밀번호 • 현재 사용하는 비밀번호로부터 다음번에 사용할 비밀번호를 유추하는 것이 수학적으로 불가능한 특성이 있음 • 의미있는 단어, 숫자패턴, 특정사용자와 연관된 문자 등으로 구성되지 않음 • 매번 다른 비밀번호를 생성하는 동적인특성을 가짐 월요(동향) 세미나

1. 서론 (계속) • OTP의 장점 사용 편의성 증대 휴대 편의성 증대 비밀번호 유추 불가 OTP 장점 타인에 의한 복사 및 재사용 불가 월요(동향) 세미나

1. 서론 (계속) • OTP의 종류 토큰 1형 토큰 2형 토큰 3형 카드형 월요(동향) 세미나

2. OTP 기술현황 • OTP 생성 단계 • S/KEY 방식 • Bellcore에서 최초로 기술개발, IETF에서 표준화 W 입력 Password n-1 H[H[H[W]]] H[W] • 문제점 • 사용 횟수의 제한 • 초기화 과정의 패스워드 노출 H[H[W]] H[H[H[W]]] 월요(동향) 세미나

2. OTP 기술현황 (계속) • OTP 생성 단계 • 질의응답 방식 1. 로그인정보 OTP 토큰 인증서버 3. 질의 값 4. 질의값을 토큰에 입력하여 OTP값 생성 2. 로그인정보 확인 5. 응답 값 6. 응답값 비교하여 사용자 인증 수행 월요(동향) 세미나

2. OTP 기술현황 (계속) • OTP 생성 단계 • 시간 동기화 방식 1. 로그인정보 OTP 토큰 인증서버 3. OTP 값 2. 로그인정보 확인 4. 응답값 비교하여 사용자 인증 수행 월요(동향) 세미나

2. OTP 기술현황 (계속) • OTP 생성 단계 • 이벤트 동기화 방식 • 시간정보 대신 인증서버와 인증 횟수 기록을 공유하고 이를 일회용 패스워드 생성시 입력값으로 사용 • 시간동기화 방식의 단점 해결 (서버와 사용자의 인증시간 일치문제) • 조합방식 • 질의 응답방식, 시간 동기화 방식, 이벤트 동기화 방식의 결합 • 다양한 조합이 나올수 있음 월요(동향) 세미나

2. OTP 기술현황 (계속) • OTP 인증과정 TIME+SEED TIME+SEED Login Server OTP 생성 알고리즘 OTP 생성 알고리즘 832849 832849 ID+OTP OTP 검증 Authentication Center 월요(동향) 세미나

3. OTP의 활용 • 전용 하드웨어 OTP 토큰 • OTP를 자체 생성할 수 있는 연산기능, 암호알고리즘 등을 내장하고 있는 OTP토큰 • 시스템 적용이 용이하여 많이 사용 • 별도로 토큰을 휴대, 토큰 구입비용에 대한 취약성 존재 월요(동향) 세미나

3. OTP 활용 (계속) • 모바일OTP • OTP 생성알고리즘이 소프트웨어 모듈로 휴대폰에 탑재된 형태 • 별도의 OTP 토큰이 필요없음 • 전용 토큰 구입비용 절감 효과 • 텔레뱅킹 서비스, 모바일뱅킹 서비스 이용불가 월요(동향) 세미나

3. OTP 활용 (계속) • 디스플레이형OTP 생성카드 • IC카드 앞면에 디스플레이 창이 있음 • 휴대가 간편, 다양한 전자금융 서비스에서 이용가능 • 구입비용이 높음 월요(동향) 세미나

3. OTP 활용 (계속) • 보이스OTP • IC카드에 오디오 기능이 있는 OTP 생성 카드 • 휴대성이 간편 • 사용시 마이크 장비가 필요, 시스템 환경이 복잡하고 구입비용이 높음 월요(동향) 세미나

4. OTP 표준화 동향 • S/Key • Bellcore에서 최초로 개발된 기술, S/Key라는 명칭으로 발표 • 1995년 등록 (RFC 1760) • 표준 명칭 부적격으로 인해 OTP로 명칭 변경(RFC 2289) 월요(동향) 세미나

4. OTP 표준화 동향 (계속) • OATH (Open AuTHentication) • “개방”, “표준화”, “상호 운용성”을 확립하기 위해 설립된 조직 • VeriSign사에 의해 2004년 2월 설립 • 참여업체 • VeriSign, ActivIdentity, Incard, IBM, VASCO, Entrust • IETF HMAC-SHA1 OTP (RFC 4226) • HMAC 기반의 이벤트 방식의 OTP • IETF Mutual OATH Challenge/Response Specification Draft • 질의/응답 방식의 인증과 서명을 위한 알고리즘 월요(동향) 세미나

4. OTP 표준화 동향 (계속) • RSA진영 • SecureID라는 시간동기 방식의 OTP 제공 • RFC 4758 : CT-KIP(Cryptographic Token Key Initialization Protocol) • 암호 토큰의 안전한 초기화와 환경설정을 위한 기술 • OTP-PKCS #11 • OTP 토큰에 의해 생성된 OTP의 복구와 검증을 위한 기술 • OTP-Validation Service • OTP 자격 증명 정보의 검증을 위한 웹서비스 프로토콜 정의 월요(동향) 세미나

4. OTP 표준화 동향 (계속) • 국내 OTP 동향 • 06년 5월 ‘전자금융거래종합대책’에서 OTP 도입 추진 • 06년 12월 ‘금융보안 연구원’ 설립 • 09년 12월 TTA 정보통신표준총회의에서3건의 기술규격 채택 • 일회용 패스워드 암호키 관리 보안 요구사항 • 일회용 패스워드 인증 서비스를 위한 보증레벨 • 일회용 패스워드 통합인증서비스프레임워크 월요(동향) 세미나

5. OTP 시장동향 • 금융보안 연구원 “연도별 OTP 거래실적” 단위 : 천건 46.4% 증가 월요(동향) 세미나

5. OTP 시장동향 (계속) • 금융보안 연구원 “연도별 OTP 거래실적”(계속) 등록,발급건수 단위 : 천건 등록건수 : 19.3% 감소 발급건수 : 44.6% 증가 월요(동향) 세미나

6. 결론 • 전자 금융거래가 활발해짐에 따라, 금전적인 이득을 노린 보안사고의 급증 • 이런 대응책의 하나로 OTP의 연구가 활발히 진행 • 사용의 불편함을 해소하는 OTP 기술 개발이 시급 월요(동향) 세미나

OTP(One Time Password) 기술 동향 순천향대학교 정보보호연구실 2010.2.8 김 홍 기 hgkim31@sch.ac.kr

참고문헌 • 최동현, 김승주, 원동호, “일회용 패스워드 기술 분석 및 표준화 동향”, 2007. 6 • 서승현, 강우진, “OTP 기술현황 및 국내 금융권 OTP 도입사례”, 2007. 6 • 송유진, 이동혁, “OTP 기반의 웹서비스 인증 메커니즘 설계 및 구현”, 2005. 5 • 금융보안연구원,“OTP사용실적”, 2010. 1 월요(동향) 세미나

OTP(One Time Password) 기술 동향