[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR20150052919A - 그래픽 보안카드를 이용한 안전한 금융거래 기법 - Google Patents

그래픽 보안카드를 이용한 안전한 금융거래 기법 Download PDF

Info

Publication number
KR20150052919A
KR20150052919A KR1020130134289A KR20130134289A KR20150052919A KR 20150052919 A KR20150052919 A KR 20150052919A KR 1020130134289 A KR1020130134289 A KR 1020130134289A KR 20130134289 A KR20130134289 A KR 20130134289A KR 20150052919 A KR20150052919 A KR 20150052919A
Authority
KR
South Korea
Prior art keywords
security card
graphic
authentication
random number
user
Prior art date
Application number
KR1020130134289A
Other languages
English (en)
Other versions
KR101583400B1 (ko
Inventor
곽진
이동범
주영국
김진아
정수민
Original Assignee
순천향대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 순천향대학교 산학협력단 filed Critical 순천향대학교 산학협력단
Priority to KR1020130134289A priority Critical patent/KR101583400B1/ko
Publication of KR20150052919A publication Critical patent/KR20150052919A/ko
Application granted granted Critical
Publication of KR101583400B1 publication Critical patent/KR101583400B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/02Banking, e.g. interest calculation or account maintenance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Technology Law (AREA)
  • Marketing (AREA)
  • Development Economics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명은 그래픽 보안카드를 이용한 안전한 금융거래 기법에 관한 것으로서, 인증서버가 다수의 그래픽을 포함하며 각 그래픽에는 다수의 난수 값이 포함되는 그래픽 보안카드를 이용한 인증을 요청받으면, 인증서버에서 그래픽 및 그래픽에 해당하는 난수 값을 랜덤(random)하게 생성하여 사용자단말로 전송하고, 인증서버가 사용자단말로부터 전송되는 난수 값을 확인하여 금융거래를 승인하는 것을 특징으로 한다. 본 발명에 따르면, 그래픽 보안카드를 이용함으로써 훔쳐보기, 파밍 등에 의한 인터넷뱅킹 사고를 미리 방지할 수 있다.

Description

그래픽 보안카드를 이용한 안전한 금융거래 기법{Secure Financial Transactions Scheme using Graphic Security Card}
본 발명은 그래픽 보안카드를 이용한 안전한 금융거래 기법에 관한 것으로, 더욱 상세하게는 인터넷뱅킹 환경에서 그래픽 보안카드를 이용하여 안전한 금융거래를 수행할 수 있는 그래픽 보안카드를 이용한 안전한 금융거래 기법에 관한 것이다.
인터넷의 보급이 증가함에 따라 전자상거래와 인터넷뱅킹의 사용률이 크게 증가하고 있다. 모든 금융기관의 금융거래는 인터넷을 통하여 이용할 수 있으며, 한국은행의 "2012년 중 국내 인터넷뱅킹 서비스 이용현황"에 따르면 2012년 말 19개의 금융기관에 등록된 인터넷뱅킹을 사용하는 사용자의 수는 8,643만 명으로 전년 말 대비 15.5% 증가한 것을 알 수 있다[1].
인터넷뱅킹을 사용한 금융거래는 비대면 거래로서 시간적, 공간적인 제약이 없어 사용자에게 편리성을 제공한다. 또한 금융기관은 인터넷뱅킹을 사용한 금융거래의 안전성을 높이기 위하여 공인인증서, 보안카드, 보안토큰, OTP 등의 사용자 인증 방법들을 제공하고 있다. 이와 같이, 인터넷뱅킹을 사용한 금융거래는 금전적인 문제와 연결되기 때문에 전자금융거래 상에서 보안카드를 이용한 사용자 인증 기술이 요구되고 있다.
그러나, 보안카드는 오랜 기간 동안 통상 하나의 보안카드를 사용하기 때문에 지속적인 훔쳐보기 공격에 의하여 노출될 가능성이 클 뿐 아니라, 파밍 공격으로 인한 보안 문제점이 존재한다.
[1] "2012년 중 국내 인터넷뱅킹 서비스 이용현황", 한국은행 금융결제국, 2013년 02월. [2] 유정각, 송주민, "인터넷뱅킹 호환성을 고려한 보안기술 적용방안", 금융정보보호센터, 2011년 8월. [3] 유한나, 이재식, 김정재, 박재표, 전문석, "인터넷뱅킹 환경에서 사용자 인증 보안을 위한 Two-Channel 인증 방식", 한국통신학회논문지, 2010년 7월. [4] "파밍에 대한 보안 지침", 한국정보통신기술협회, 2012년 12월. [5] 김재봉, 오영근, 이은모, "신종 인터넷 사기번죄에 관한 연구", 석사학위논문, 한양대학교, 2008년 8월.
따라서, 본 발명은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 훔쳐보기 및 파밍으로 인한 인터넷뱅킹 사고를 방지하기 위해 인터넷뱅킹 환경에서 그래픽 보안카드를 이용하여 안전한 금융거래를 수행할 수 있도록 하는 그래픽 보안카드를 이용한 안전한 금융거래 기법을 제공하는데 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 그래픽 보안카드를 이용한 안전한 금융거래 기법은, (a) 인증서버가, 그래픽 보안카드를 이용한 인증을 요청받는 단계; (b) 인증서버가, 그래픽 및 상기 그래픽에 해당하는 난수 값을 랜덤(random)하게 생성하여 사용자단말로 전송하는 단계; 및 (c) 인증서버가, 상기 난수 값과 상기 사용자단말로부터 전송되는 난수 값을 비교하여 일치하면 금융거래를 승인하는 단계를 포함하는 것을 특징으로 한다.
상기 단계 (a)는, 사용자단말이 인터넷뱅킹 사이트에 접속한 후, 공인인증서 인증 및 금융거래를 요청하는 단계; 금융기관이 공인인증서를 인증하고, 인증에 성공하면 금융거래에 필요한 금융거래 정보를 사용자단말로 요청하는 단계; 및 사용자단말이 금융거래에 대한 정보를 입력하고, 상기 그래픽 보안카드에 의한 인증을 요청하는 단계를 포함한다.
한편, 상기 단계 (a) 이전에, 그래픽 보안카드를 발급 및 등록하는 단계를 더 포함하며, 상기 그래픽 보안카드를 발급 및 등록하는 단계는, 금융기관에서의 계좌 개설 및 인터넷뱅킹 가입 후, 사용자단말에서 해당 금융기관의 인터넷뱅킹 사이트에 접속하여 공인인증서 발급을 인증 서버로 요청하는 단계; 상기 인증 서버가 정당 사용자라고 판단하면, 상기 사용자단말로 공인인증서를 발급하는 단계; 상기 사용자단말에서 공인인증서 및 그래픽 보안카드 정보를 상기 인증 서버에 등록하는 단계; 및 상기 인증 서버에서 상기 공인인증서 및 그래픽 보안카드 정보를 데이터베이스화하는 단계를 포함한다.
상기 그래픽 보안카드는, 다수의 그래픽을 포함하며, 각 그래픽에는 다수의 난수 값이 포함되는 것이 바람직하다.
상술한 바와 같이, 본 발명에 의한 그래픽 보안카드를 이용한 안전한 금융거래 기법에 따르면, 그래픽 보안카드를 이용함으로써 훔쳐보기, 파밍 등에 의한 인터넷뱅킹 사고를 미리 방지할 수 있다.
도 1은 인터넷뱅킹 서비스 이용 현황을 나타낸 그래프이다.
도 2는 개인정보를 요구하는 파밍 사이트의 일례이다.
도 3은 파밍을 통한 보안카드 문제점을 분석하기 위한 흐름도이다.
도 4는 본 발명의 일 실시예에 의한 10진수 난수 값의 그래픽 보안카드의 예시도이다.
도 5는 본 발명의 일 실시예에 의한 그래픽 보안카드 발급 및 등록 과정을 나타낸 도면이다.
도 6은 본 발명의 일 실시예에 의한 그래픽 보안카드를 이용한 금융거래 과정을 나타낸 도면이다.
도 7은 본 발명의 일 실시예에 의한 그래픽 보안카드의 난수 값 입력 창을
도 8은 본 발명의 일 실시예에 의한 난수 값 입력 예를 나타낸 도면이다.
도 9는 본 발명의 일 실시예에 의한 1채널 인증을 사용한 금융거래 과정을 나타낸 도면이다.
도 10은 본 발명의 일 실시예에 의한 2채널 인증을 사용한 금융거래 과정을 나타낸 도면이다.
도 11은 본 발명의 일 실시예에 의한 그래픽 보안카드의 시뮬레이션 예를 나타낸 도면이다.
도 12는 본 발명의 일 실시예에 의한 그래픽과 랜덤한 키패드를 생성하는 과정을 나타낸 도면이다.
도 13 내지 도 15는 본 발명의 일 실시예에 의한 그래픽 보안카드를 이용하여 인증을 하는 과정을 나타낸 도면이다.
도 16은 본 발명의 일 실시예에 의한 그래픽 보안카드를 통한 파밍 예방 과정을 나타낸 흐름도이다.
이하, 본 발명의 그래픽 보안카드를 이용한 안전한 금융거래 기법에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
먼저, 인터넷뱅킹과 인터넷뱅킹의 보안 기술인 보안카드를 분석하고, 파밍으로 인한 인터넷뱅킹 사고 사례를 예시하여, 파밍으로 인한 기존 보안카드의 문제점을 분석한 후, 본 발명의 그래픽 보안카드를 이용한 안전한 금융거래 기법에 대해 설명하기로 한다.
인터넷뱅킹
전자금융 서비스 중 하나인 인터넷뱅킹은 사용자가 인터넷을 통하여 각종 은행 업무를 자택, 직장 등 원격지에서 편리하게 처리할 수 있는 새로운 형태의 금융 서비스이다. 현재 휴대폰, PDA를 통하여 사용되는 모바일뱅킹의 경우도 인터넷뱅킹 서비스에 포함된다. 도 1과 같이 인터넷뱅킹을 사용하는 사용자들은 점차적으로 증가하고 있다.
인터넷뱅킹은 금융기관 측면에서는 비용 절감을 통한 수익성을 제고하며, 사용자 측면에서는 공간적, 시간적 제약에 벗어나 비대면 거래로서의 편리성을 제공한다. 그러나 금융거래 과정에서 사용자의 계좌번호, 거래내역 등 개인의 금융정보를 전송함에 있어서 안전성 문제점을 가진다. 금융기관에서는 안전성을 높이기 위해 공인인증서, 보안카드, 보안토큰 등의 다양한 사용자 인증 방법을 제공하고 있다[2].
보안카드
보안카드는 인터넷뱅킹 환경에서의 금융 거래 시 사용되는 사용자 인증 기술 중 하나이다. 보안카드는 사용자의 신분확인을 위해서 사용되는데, 주로 게임, 증권거래, 계좌이체 등 온라인 거래의 특정업무 처리 시 사용된다. 보안카드는 온라인 거래를 사용하는 사용자의 보안성을 강화하기 위해서 발급하고 있다. 보안카드는 토큰이나 특정 매체가 아닌 기본적인 카드 형태로 유효기간이 존재하지 않는다. 보안카드는 2차 인증 수단으로 4자리 숫자인 30∼35개의 난수 값으로 구성되어 있다[3].
파밍
공격자는 블로그, E-mail, ActiveX 등의 다양한 경로로 악성코드를 유포하여 불특정다수의 사용자의 PC를 감염시킨다. 대부분의 사용자들은 감염 사실을 인지하지 못하며, 악성코드에 감염된 PC를 이용하여 금융 사이트에 접속하면 정상 사이트가 아닌 공격자가 만들어 놓은 파밍 사이트로 접속된다. 접속된 파밍 사이트에서는 도 2에서와 같이 보안승급과 같은 명분을 이용하여 개인정보 및 금융거래정보의 입력을 유도한다.
하지만 사용자는 자신이 접속한 사이트가 파밍 사이트임을 인식하기 어려워 개인정보 및 금융거래정보를 입력할 가능성이 높다. 정보를 입력할 경우 해당 정보 모두는 공격자에게로 유출된다. 공격자는 자신이 얻은 정보를 이용하여 금융거래를 시도하여 사용자에게 금전적인 피해를 입힐 수 있다. 도 3은 파밍 공격에 의한 개인정보 및 금융정보 유출시 피해 개념도이다.
개인정보 및 금융정보 유출이 이루어지는 과정은 다음과 같다.
Step1. 공격자는 다양한 경로로 악성코드를 유포한다(①).
Step2. 사용자가 악성코드에 감염된 PC를 이용하여 금융기관 사이트에 접속한다(②).
Step3. 정상 사이트로 접속되지 않고 파밍 사이트로 접속된다(③).
Step4. 파밍 사이트에서는 보안승급을 가장하여 사용자에게 개인정보 등의 입력을 요구한다(④).
Step5. 사용자가 해당 정보를 입력할 시 개인정보 및 보안카드의 난수 값이 공격자에게 유출된다(⑤).
이처럼 기존의 보안카드는 파밍 사이트와 정상 사이트를 구별할 장치가 없으며, 난수 값으로만 구성되어 있어 난수 값만 노출되면 보안카드가 가지는 안전성을 잃는다는 문제점을 가지고 있다[4][5].
이에 본 발명에서는 그래픽 보안카드를 제안하며, 제안하는 그래픽 보안카드는 현재 인터넷뱅킹을 이용한 금융거래에서 사용하는 보안카드보다 안전성을 더욱 향상시키기 위한 것으로, 단순히 난수 값으로만 이루어진 기존 보안카드에 그래픽을 추가한 방식이다. 이 그래픽 보안카드는 카드 우측 상단의 일련번호는 기존의 보안카드와 동일하게 8자리 숫자로 구성되어 있으며, 실제적인 금융거래에서 사용되는 부분은 25개의 그래픽으로 이루어져 있고, 각 그래픽마다 4개의 두 자리 수 난수 값이 할당되어 있다. 25개의 그래픽과 할당된 난수 값들은 랜덤하게 구성되어 있다. 그래픽 보안카드는 10진수 난수 값으로 이루어져 있으며 형태는 도 4와 같다. 물론, 본 실시예에서 제시한 그래픽 개수 및 각 그래픽마다의 난수 값의 개수는 사용환경에 대응하여 변경될 수 있다.
인터넷뱅킹을 이용한 금융거래에서 사용되는 그래픽 보안카드의 사용 과정은, 크게 그래픽 보안카드를 은행에서 발급 받아 등록하는 발급 및 등록 과정과, 그래픽 보안카드를 이용하여 금융거래를 하는 금융거래 과정으로 나뉜다.
발급 및 등록 과정
그래픽 보안카드를 사용하기 위해서는 먼저 그래픽 보안카드를 발급하고 이를 등록해야 한다. 그래픽 보안카드를 사용하기 위해서는 사용자는 금융기관에서 계좌를 개설하고 인터넷뱅킹 가입을 하면, 금융기관에서는 가입신청서 및 보안카드를 발급해준다. 사용자는 인터넷뱅킹 사이트에 접속하여 공인인증서를 발급 받고, 해당 사용자의 공인인증서 및 그래픽 보안카드의 정보는 인증 서버에 전송되어 데이터베이스에 저장된다.
도 5는 본 발명의 일 실시예에 의한 그래픽 보안카드 발급 및 등록 과정을 나타낸 도면이다.
구체적인 그래픽 보안카드 발급 및 등록 과정은 다음과 같다.
Step1. 사용자는 금융기관에서 계좌를 개설한 후, 인터넷뱅킹을 이용하기 위해 인터넷뱅킹 가입을 신청한다(①).
Step2. 금융기관에서는 가입신청서에 기입한 정보 및 사용자의 신원 확인 후, 인터넷뱅킹 가입신청서 및 보안카드를 사용자에게 발급한다(②).
Step3. 사용자는 해당 금융기관의 인터넷뱅킹 사이트에 접속하여 인터넷뱅킹 신청서상의 아이디와 비밀번호로 로그인한 후, 공인인증서 발급을 위해 주민등록번호, 자금이체 비밀번호, 그래픽 보안카드의 일련번호 등을 입력한다(③).
Step4. 사용자가 입력한 정보를 확인하여 정당한 사용자라면, 인증 서버는 사용자에게 공인인증서를 발급한다(④).
Step5. 공인인증서 및 그래픽 보안카드에 대한 정보는 해당 금융기관의 인증 서버에 등록되고, 인증 서버는 이 정보를 데이터베이스에 저장한다(⑤).
금융거래 과정
그래픽 보안카드를 이용한 금융거래는 사용자가 인터넷뱅킹 사이트에 접속하여 공인인증서 인증 및 금융거래를 요청하고, 공인인증서 인증이 완료되면 인터넷뱅킹 사이트에서는 금융거래를 위한 정보를 요청한다. 사용자는 금융거래 정보 및 요청받은 그래픽 보안카드의 난수 값을 입력하여 전송하게 되고, 이를 인증 서버에서 검증하여 금융거래를 승인한다.
도 6은 본 발명의 일 실시예에 의한 그래픽 보안카드를 이용한 금융거래 과정을 나타낸 도면이다.
구체적인 그래픽 보안카드를 이용한 금융거래 과정은 다음과 같다.
Step 1. 사용자는 금융거래를 하기 위해 인터넷뱅킹 사이트에 접속한 후, 공인인증서 인증 및 금융거래를 요청한다(①).
Step 2. 금융기관에서는 공인인증서를 인증하고, 인증에 성공하면 금융거래에 필요한 금융거래 정보를 사용자에게 요청한다(②).
Step 3. 사용자는 하고자하는 금융거래에 대한 정보를 입력하고, 금융기관에서 요청하는 그래픽 보안카드의 난수 값을 입력하여 전송한다(③).
Step 4. 금융기관은 사용자에게서 전송받은 그래픽 보안카드의 난수 값을 인증 서버에 전송하여 전송 받은 그래픽 보안카드의 난수 값과 인증 서버의 데이터베이스에 있는 그래픽 보안카드의 난수 값을 비교하도록 인증 서버에 요청한다(④).
Step 5. 인증 서버는 전송 받은 그래픽 보안카드의 난수 값과 인증 서버의 데이터베이스에 있는 그래픽 보안카드의 난수 값을 비교하고, 비교한 결과 두 값이 일치한다면 OK를, 다를 경우에는 FALSE를 전송한다(⑤).
Step 6. 전송 받은 그래픽 보안카드의 난수 값과 인증 서버의 데이터베이스에 있는 그래픽 보안카드의 난수 값이 동일하다고 판단되어 OK를 전송받았다면, 사용자가 요청한 금융거래를 승인한다(⑥).
실시예
본 발명에서는 일례로서, 금융거래 시 인증 서버는 그래픽 보안카드의 25개의 그래픽 중 선택된 2개의 각 그래픽에 할당된 4개의 값 중 하나씩을 요구하며, 그래픽 보안카드의 난수 값을 입력하는 입력 창은 도 7과 같다.
한편, 도 8에서와 같이, 난수 값을 입력할 경우에는 숫자 하나를 클릭할 때마다 랜덤하게 재배열되는 키패드를 사용하는 것이 바람직하다.
도 9는 본 발명의 일 실시예에 의한 1채널 인증을 사용한 금융거래 과정을 나타낸 도면이다.
인터넷뱅킹을 이용한 금융거래에서의 1채널 인증이란 PC만을 이용하여 금융거래를 하는 것으로, 그래픽 보안카드는 기본적으로 PC만을 이용한 인터넷뱅킹 금융거래에서 사용된다. PC만을 이용하여 금융거래를 할 경우에 사용자가 금융거래를 요청하면 인증 서버에서 인터넷뱅킹 사이트를 통해 그래픽을 출력하고 사용자는 해당하는 값을 입력한다.
1채널 인증을 사용한 구체적인 금융거래 과정은 다음과 같다.
Step 1. 사용자는 인터넷뱅킹 사이트에 접속하여 공인인증서 인증 및 금융거래 정보를 입력한다(①).
Step 2. 그래픽 보안카드의 난수 값 입력을 위한 그래픽 창을 생성한다(②).
Step 3. 사용자는 인터넷뱅킹 화면에 나타난 그래픽에 해당하는 그래픽 보안카드의 난수 값을 마우스로 키패드를 클릭하여 입력한다(③).
Step 4. 인증 서버는 사용자가 입력한 값과 인증 서버의 데이터베이스에 있는 값을 비교한다(④).
Step 5. 비교 결과, 같은 값이라면 금융거래를 승인한다(⑤).
도 10은 본 발명의 일 실시예에 의한 2채널 인증을 사용한 금융거래 과정을 나타낸 도면이다.
인터넷뱅킹을 이용한 금융거래는 대부분 PC만을 사용하여 1채널 인증을 하지만 2채널 인증도 가능하다. 인터넷뱅킹에서의 2채널 인증이란 인터넷뱅킹을 이용 중인 PC 외에 유선전화, 휴대폰 등의 다른 채널을 통해 인증하는 것이다. 2채널 인증을 이용할 경우 1채널 인증을 이용하는 것보다 편리성은 저하되지만, 2013년 9월부터 전자금융사기예방 서비스가 전면 시행됨에 따라 2채널 인증을 사용함으로써 생기는 불편함은 고려하지 않도록 한다.
전자금융사기예방 서비스란 300만원 이상 인터넷 이체 시, 또는 공인인증서 재발급 시에는 휴대폰 SMS인증이나 유선전화 등 다른 채널을 통한 2채널 인증을 의무화한 것이다. 이러한 추세에 따라 본 발명에서는 2채널을 이용한 그래픽 보안카드 인증에 대해서도 설명한다.
2채널 인증을 사용한 구체적인 금융거래 과정은 다음과 같다.
Step 1. 사용자는 인터넷뱅킹 사이트에 접속하여 공인인증서 인증 및 금융거래 정보를 입력한다(①).
Step 2. 휴대폰으로 그래픽 보안카드의 난수 값을 전송하는 그래픽 보내기 창을 생성한다(②).
Step 3. 사용자가 그래픽 보내기 버튼을 클릭하면, 해당 사용자의 정보를 인증 서버로 전송한다(③).
Step 4. 인증 서버는 사용자의 정보를 확인한 후 정당한 사용자라고 판단되면, 사용자의 휴대폰으로 그래픽 보안카드의 난수 값 입력을 위한 그래픽을 전송한다(④).
Step 5. 사용자는 휴대폰으로 그래픽을 확인한 후, 인터넷뱅킹 화면에서 해당하는 그래픽 보안카드의 난수 값을 입력한다(⑤).
Step 6. 인증 서버는 사용자가 입력한 값과 인증 서버의 데이터베이스에 있는 값을 비교하여 같은 값이라면 금융거래를 승인한다(⑥).
본 발명에서 제안하는 그래픽 보안카드를 이용할 때 사용되는 랜덤한 키패드의 개념과 인증 방식 및 인증 과정에 대한 사용자의 이해를 돕기 위해 C#을 이용하여 랜덤한 키패드를 이용한 난수 값 입력과 입력된 난수 값이 올바른지 인증 서버에 저장된 데이터베이스와 비교하는 시뮬레이션을 구현하였다. 이를 통하여 사용자는 그래픽 보안카드를 이용할 때의 인증 과정에서 랜덤한 키패드를 사용하는 방식과 그래픽 보안카드가 이용되는 과정 및 인증 과정에 대한 이해를 쉽게 할 수 있다. 본 시뮬레이션은 예시의 그래픽 보안카드의 난수 값이 데이터베이스에 저장되어 있으며 입력된 난수 값이 데이터베이스의 난수 값과 서로 일치하는지 비교하여 인증 성공 유무를 팝업창으로 나타내는 기능을 제공한다.
기존 보안카드는 특정번호의 난수 값만 입력하도록 하여 사용자를 인증하도록 한다. 암호화 과정 없이 난수 값만 입력하는 기존 보안카드는 파밍으로 인해 사용자의 개인정보와 보안카드의 정보가 유출될 수 있다. 하지만 제안하는 그래픽 보안카드는 파밍에 대응하기 위해 그래픽을 추가하였다. 그래픽은 총 25가지이며, 한 그래픽 당 4등분으로 나눠져 랜덤한 그래픽을 입력하도록 한다. 따라서 본 시뮬레이션은 C#을 이용하여 그래픽과 난수 값을 통해 이루어지는 인증 과정을 구현하였으며, 올바른 난수 값을 입력하였을 시와 잘못된 난수 값을 입력하였을 시의 통신과정을 사용자가 이해할 수 있도록 보여준다.
본 발명에서 제안하는 그래픽 보안카드는 25개의 그래픽 중 선택된 2개의 각 그래픽에 할당된 4개의 값 중 하나씩을 요구하여 해당하는 그래픽의 난수 값을 입력받는 방식이다.
구현하고자 하는 그래픽 보안카드 시뮬레이션 소프트웨어는 5단계의 과정으로 구분되어 있으며 도 11과 같다.
Step 1. 사용자는 금융거래 시 1차 인증인 패스워드를 입력 후 2차 인증인 그래픽 보안카드를 사용한다.
Step 2. 사용자는 그래픽 보안카드를 사용하기 위해 생성 버튼을 눌러 그래픽을 출력한다.
Step 3. 출력된 그래픽과 사용자가 가진 그래픽 보안카드의 정보를 이용하여 해당하는 난수 값을 랜덤한 키패드를 이용하여 입력한다.
Step 4. 그래픽에 해당하는 올바른 난수 값을 입력 후 인증 버튼을 클릭한다.
Step 5. 서버 측에서는 사용자가 보낸 그래픽에 해당하는 난수 값을 비교하여 인증 결과를 출력한다.
도 12는 그래픽과 랜덤한 키패드를 생성하는 과정을 나타낸 도면이다. 우측 하단에 있는 생성 버튼을 누르면 그래픽 보안카드의 25개 그래픽 중 선택된 2개의 각 그래픽에 할당된 4개의 값 중 하나씩을 생성하며, 그래픽 우측에는 랜덤한 키패드를 생성한다.
도 13 내지 도 15는 그래픽 보안카드를 이용하여 인증을 하는 과정이다.
사용자가 생성 버튼을 눌러 그래픽 보안카드의 25개 그래픽 중 선택된 2개의 각 그래픽에 할당된 4개의 값 중 하나씩이 생성되면, 사용자는 도 6과 같이 생성된 그래픽의 난수 값에 해당하는 숫자를 찾아 랜덤한 키패드에서 마우스로 클릭하여 입력한다. 이 때, 숫자 하나를 클릭할 때마다 키패드 배열은 바뀐다.
도 14 및 도 15는 그래픽 생성 후 사용자에게서 난수 값을 입력받아 인증 버튼을 클릭했을 경우의 화면이다.
사용자가 랜덤한 키패드를 클릭하여 난수 값을 입력한 후 인증 버튼을 누르면, 올바른 난수 값과 사용자에게서 입력받은 난수 값을 비교하게 된다. 이 때 사용자에게서 입력받은 난수 값이 올바른 난수 값일 경우에는 도 14와 같이 "인증에 성공하였습니다."라는 창을 출력하며, 사용자에게서 입력받은 난수 값이 틀린 난수 값일 경우에는 도 15와 같이 "인증에 실패하였습니다."라는 창을 출력한다. 인증 실패 시에는 몇 번 실패했는지까지 출력하며, 일례로서 5회 실패 시에는 프로그램이 종료되도록 한다.
파밍 예방
공격자는 신종사기 수법인 파밍을 이용하여 금융 사이트에서 사용자의 그래픽 보안카드의 난수 값을 입력하도록 유도할 수 있다. 하지만 사용자가 사용하고 있는 보안카드의 난수 값이 공격자에게 유출되더라도, 그래픽 보안카드는 그래픽에 해당하는 난수 값을 사용하기 때문에 공격자는 그래픽의 위치 정보 없이 난수 값만으로 인증할 수 없다. 따라서 공격자가 해당 정보를 이용하여 결제를 시도하더라도 은행에서 요구하는 난수 값에 해당하는 그래픽의 위치를 알 수 없으므로 금융거래가 불가능하다. 따라서 파밍을 예방할 수 있으며 파밍 예방 흐름도는 다음 도 16과 같다.
도 16은 본 발명의 일 실시예에 의한 그래픽 보안카드를 통한 파밍 예방 과정을 나타낸 흐름도이다.
구체적인 그래픽 보안카드를 통한 파밍 예방 과정은 다음과 같다.
Step1. 공격자는 사용자의 PC에 악성코드를 유포한다(①).
Step2. 사용자는 악성코드에 감염된 PC를 이용하여 금융기관 사이트 접속한다(②).
Step3. 파밍을 통하여 사용자는 정상 사이트가 아닌 파밍 사이트로 유도된다(③).
Step4. 파밍 사이트는 사용자에게 보안승급 및 개인정보 요구한다(④).
Step5. 사용자는 보안승급을 하기 위해 이미지를 제외한 보안카드의 난수 값을 노출한다(⑤).
Step6. 공격자는 파밍으로 통하여 획득한 사용자의 금융정보를 이용하여 금융 결제를 시도한다(⑥).
Step7. 공격자는 사용자의 이미지를 알지 못하므로 금융 결제에 실패한다(⑦).
상술한 바와 같이, 인터넷뱅킹이 확대됨에 따라 이를 이용하는 고객 수 및 이용건수가 증가하고 있다. 최근 신종 금융사기 수법인 파밍의 등장으로 사용자의 인증 절차 중 난수 값으로만 쓰이는 기존의 보안카드의 안전성에 대한 문제점이 제기되었다. 기존의 보안카드만으로는 개인의 금융정보를 입력하도록 유도하는 파밍 공격에 대해 취약하기 때문에 이에 대응할 수 있는 안전성이 향상된 보안카드가 요구된다.
따라서 본 발명에서는 안전한 금융거래를 위한 그래픽 보안카드를 통해서 파밍 공격에 대응할 수 있으며, 기존의 보안카드보다 경우의 수를 높여 지속적인 훔쳐보기 공격에 대응할 수 있다.
이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.

Claims (4)

  1. (a) 인증서버가, 그래픽 보안카드를 이용한 인증을 요청받는 단계;
    (b) 인증서버가, 그래픽 및 상기 그래픽에 해당하는 난수 값을 랜덤(random)하게 생성하여 사용자단말로 전송하는 단계; 및
    (c) 인증서버가, 상기 난수 값과 상기 사용자단말로부터 전송되는 난수 값을 비교하여 일치하면 금융거래를 승인하는 단계를 포함하는 그래픽 보안카드를 이용한 안전한 금융거래 기법.
  2. 제1항에 있어서,
    상기 단계 (a)는,
    사용자단말이 인터넷뱅킹 사이트에 접속한 후, 공인인증서 인증 및 금융거래를 요청하는 단계;
    금융기관이 공인인증서를 인증하고, 인증에 성공하면 금융거래에 필요한 금융거래 정보를 사용자단말로 요청하는 단계; 및
    사용자단말이 금융거래에 대한 정보를 입력하고, 상기 그래픽 보안카드에 의한 인증을 요청하는 단계를 포함하는 그래픽 보안카드를 이용한 안전한 금융거래 기법.
  3. 제2항에 있어서,
    상기 단계 (a) 이전에, 그래픽 보안카드를 발급 및 등록하는 단계를 더 포함하며,
    상기 그래픽 보안카드를 발급 및 등록하는 단계는,
    금융기관에서의 계좌 개설 및 인터넷뱅킹 가입 후, 사용자단말에서 해당 금융기관의 인터넷뱅킹 사이트에 접속하여 공인인증서 발급을 인증 서버로 요청하는 단계;
    상기 인증 서버가 정당 사용자라고 판단하면, 상기 사용자단말로 공인인증서를 발급하는 단계;
    상기 사용자단말에서 공인인증서 및 그래픽 보안카드 정보를 상기 인증 서버에 등록하는 단계; 및
    상기 인증 서버에서 상기 공인인증서 및 그래픽 보안카드 정보를 데이터베이스화하는 단계를 포함하는 그래픽 보안카드를 이용한 안전한 금융거래 기법.
  4. 제1항에 있어서,
    상기 그래픽 보안카드는,
    다수의 그래픽을 포함하며, 각 그래픽에는 다수의 난수 값이 포함되는 그래픽 보안카드를 이용한 안전한 금융거래 기법.
KR1020130134289A 2013-11-06 2013-11-06 그래픽 보안카드를 이용한 안전한 금융거래 기법 KR101583400B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130134289A KR101583400B1 (ko) 2013-11-06 2013-11-06 그래픽 보안카드를 이용한 안전한 금융거래 기법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130134289A KR101583400B1 (ko) 2013-11-06 2013-11-06 그래픽 보안카드를 이용한 안전한 금융거래 기법

Publications (2)

Publication Number Publication Date
KR20150052919A true KR20150052919A (ko) 2015-05-15
KR101583400B1 KR101583400B1 (ko) 2016-01-11

Family

ID=53389630

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130134289A KR101583400B1 (ko) 2013-11-06 2013-11-06 그래픽 보안카드를 이용한 안전한 금융거래 기법

Country Status (1)

Country Link
KR (1) KR101583400B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080055774A (ko) * 2008-05-30 2008-06-19 주식회사 네오플 연산을 통한 비밀번호 입력 방법 및 장치
KR100861675B1 (ko) * 2007-06-12 2008-10-06 어드밴텍테크놀로지스(주) 인터넷 금융거래를 위한 일회용 인증번호 처리 시스템
KR20100049882A (ko) * 2008-11-04 2010-05-13 (주)에이티솔루션 휴대전화기를 이용한 인터넷 뱅킹 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100861675B1 (ko) * 2007-06-12 2008-10-06 어드밴텍테크놀로지스(주) 인터넷 금융거래를 위한 일회용 인증번호 처리 시스템
KR20080055774A (ko) * 2008-05-30 2008-06-19 주식회사 네오플 연산을 통한 비밀번호 입력 방법 및 장치
KR20100049882A (ko) * 2008-11-04 2010-05-13 (주)에이티솔루션 휴대전화기를 이용한 인터넷 뱅킹 방법

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
[1] "2012년 중 국내 인터넷뱅킹 서비스 이용현황", 한국은행 금융결제국, 2013년 02월.
[2] 유정각, 송주민, "인터넷뱅킹 호환성을 고려한 보안기술 적용방안", 금융정보보호센터, 2011년 8월.
[3] 유한나, 이재식, 김정재, 박재표, 전문석, "인터넷뱅킹 환경에서 사용자 인증 보안을 위한 Two-Channel 인증 방식", 한국통신학회논문지, 2010년 7월.
[4] "파밍에 대한 보안 지침", 한국정보통신기술협회, 2012년 12월.
[5] 김재봉, 오영근, 이은모, "신종 인터넷 사기번죄에 관한 연구", 석사학위논문, 한양대학교, 2008년 8월.

Also Published As

Publication number Publication date
KR101583400B1 (ko) 2016-01-11

Similar Documents

Publication Publication Date Title
US20210409397A1 (en) Systems and methods for managing digital identities associated with mobile devices
US8661520B2 (en) Systems and methods for identification and authentication of a user
EP3614325A1 (en) Method for approving use of card by using blockchain-based token id and server using method
US20060123465A1 (en) Method and system of authentication on an open network
US20090228370A1 (en) Systems and methods for identification and authentication of a user
CN113038471A (zh) 用于设备推送供应的系统和方法
CN101751629A (zh) 使用变化唯一值的多因素认证的方法和系统
CN105357196A (zh) 网络登录方法与系统
WO2006039364A9 (en) System and method for electronic check verification over a network
WO2008127431A2 (en) Systems and methods for identification and authentication of a user
KR20110002968A (ko) 생체 인증을 이용한 금융 거래 서비스 제공 방법 및 시스템과 그를 위한 휴대용 저장 장치
KR20170133307A (ko) 실물카드를 이용한 온라인 금융거래 본인인증 시스템 및 방법
Yu et al. Security issues of in-store mobile payment
CN101425901A (zh) 一种在处理终端中用于对用户身份验证的控制方法及装置
KR101611099B1 (ko) 본인 실명 확인을 위한 인증 토큰 발급 방법, 인증 토큰을 이용하는 사용자 인증 방법 및 이를 수행하는 장치
KR101583400B1 (ko) 그래픽 보안카드를 이용한 안전한 금융거래 기법
KR20110002967A (ko) 생체 인증을 이용한 실명 인증 서비스 제공 방법 및 시스템과 그를 위한 휴대용 저장 장치
KR20160008012A (ko) 휴대단말기에서의 사용자 인증방법
KR101857731B1 (ko) 간편인증방법 및 간편결제서버의 간편인증서비스 제공방법
KR20180037168A (ko) Otp를 이용한 상호 인증 방법 및 시스템
RU2568057C2 (ru) Способ совершения электронных транзакций между удаленными сторонами при обмене информацией по каналам связи
Mirza et al. Users' acceptance of using biometric authentication system for Bahrain mobile banking
KR101619282B1 (ko) 클라우드 기반 비밀번호 통합관리 시스템 및 이의 제어 방법
KR101079740B1 (ko) 단말기를 이용한 정보 입력 시스템 및 방법
KR101062363B1 (ko) Otp를 이용한 사용자 정의 인증 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20190102

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191230

Year of fee payment: 5