보색을 이용한 거래연동 OTP

맹영재(YoungJae Maeng),양대헌(DaeHun Nyang) 한국정보보호학회 2011 情報保護學會誌 Vol.21 No.7

악성 프로그램으로 인한 거래정보 변조공격은 국내에서는 아직 대응책이 마련되지 않은 보안위협이다. 거래정보 변조공격에 대응하기 위해 제안된 기법들은 아직 그 종류나 수가 많지 않고 새로이 제안되는 기법은 적용성, 편의성, 보안성을 동시에 충족시킬 수 있어야하기 때문에 접근이 쉽지 않다. 이 논문에서는 다양한 형태로 발생할 수 있는 거래정보 변조공격에 대해 알아보고 그에 대응하기 위한 새로운 접근방법인 보색을 이용한 거래연동 OTP를 소개한다. 제안하는 기법은 전자기기를 이용하지 않고 정적인 형태의 반투명한 재료로 구현될 수 있다는 점이 특징이다.

전자금융거래에서의 문서변조 취약점 분석 및 대응방법 고찰

맹영재(YoungJae Maeng),신동오(DongOh Shin),김성호(Sung-Ho Kim),양대헌(DaeHun Nyang) 한국정보보호학회 2010 情報保護學會誌 Vol.20 No.6

전자금융거래는 사용자의 컴퓨터에 악성 프로그램이 설치될 수 있다는 환경에서도 신뢰성 있는 서비스가 요구된다. 하지만 국내의 전자금융거래는 아직까지 MITB(Man-In-The-Browser)공격에 취약한 상태이다. 이 논문에서는 MITB 공격의 동작원리와 그 대응방법에 대해 논의하며, 이를 바탕으로 QR코드를 활용한 승인방법을 제안한다.

Single Sign-On 솔루션의 재전송 공격 취약점 분석

맹영재(YoungJae Maeng),양대헌(DaeHun Nyang) 한국정보보호학회 2008 정보보호학회논문지 Vol.18 No.1

Single Sign-On은 한 번의 로그인으로 여러 시스템에 인증된 상태로 접근할 수 있게 해주는 인증기술이다. 웹 서비스를 그룹단위로 통합하는 곳이 늘어감에 따라 이를 위해 다양한 Single Sign-On 솔루션이 개발되어 사용되고 있지만 이러한 솔루션들의 보안성은 대부분 쿠키에만 의존하기 때문에 공격자는 단순한 네트워크 도청과 재전송 공격을 통해 사용자의 세션을 가로채는 것이 가능하며 세션을 가로챈 이후 Single Sign-On이 적용된 타 사이트로도 이동할 수 있어 또 다른 보안문제를 발생시킬 수 있다. 본 논문에서는 유명 포털사이트 및 메신저에서 사용되고 있는 Single Sign-On 솔루션을 예로 들어 이러한 취약점을 분석하고 사용자의 세션을 보호하는 방법을 제안한다. Single Sign-On is an authentication scheme that enables a user to authenticate once and then to access to the resources of multiple software systems without re-authentication. As web services are being integrated into a single groupware, more web sites are adopting for user convenience. However, these Single Sign-On services are very dependent upon the cookies and thus, simple eavesdropping enables attackers to hiject the user's session. Even worse, the attacker who hijacked one session can move to another site through the Single Sign-On. In this paper, we show the vulnerabilities of the top ranked sites regarding this point of view and also propose a way to protect a user's session.

모바일 뱅킹에서 비밀퍼즐을 이용한 비밀증명방법과 거래승인방법

맹영재(YoungJae Maeng),양대헌(DaeHun Nyang),이경희(KyungHee Lee) 한국정보보호학회 2011 정보보호학회논문지 Vol.21 No.1

모바일뱅킹에서 사용자인증과 거래승인을 보호하는 것은 매우 중요하다. 스마트폰에 설치된 악성 프로그램은 사용자가 입력하는 비밀을 얻어내거나 거래내용을 조작하여 사용자에게 승인하도록 유도할 수도 있다. 이 논문에서는 사용자의 비밀과 거래승인을 보호하기 위한 연구들의 보안성과 편의성을 분석하고, 이를 바탕으로 사용자의 비밀을 보호하고 문서의 내용을 조작하는 공격에 대응하는 방법을 제안한다. Securing user authentication and transaction confirmation is very critical in mobile banking. Malicious software, which is installed in user's smart phone, can either steal user's password or induce user to confirm manipulated transaction by handling transaction resource. In this paper, we propose schemes, that are aimed to secure user's password or to secure transaction confirmation, based on the security and usability analysis of existing schemes.

행렬 상에서 문자 간 연산을 수행하는 패스워드 인증 기법

강전일(Jeonil Kang),맹영재(YoungJae Maeng),양대헌(DaeHun Nyang),이경희(KyungHee Lee),전인경(Inkyung Jeun) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.5

패스워드는 그 자체만으로도 낮은 복잡도를 가지고 있을 뿐만 아니라, 안전하지 않은 환경에서 그대로 키보드와 같은 입력 장치를 통하여 입력하는 행위는 훔쳐보기와 같은 공격으로 쉽게 노출될 수 있다. 이러한 문제를 극복하고자 사용자 비밀의 형태를 다른 것으로 바꾸거나 복잡한 입력과정을 통하여 입력을 수행하는 방법들이 제안되어 왔으나, 보안성과 사용자 편의성에 있어서 적합한 타협점을 찾지 못하고 있다. 이 논문에서는 행렬 상에 문자들 사이에서의 연산을 통하여 기존 형태의 패스워드를 비밀로 사용하는 인증 기법에 대해서 소개한다. 다양한 각도에서의 분석을 통하여 기법이 갖는 안전성을 보이고, 사용자 실험을 통하여 사용자들이 실제로 느끼는 기법에 대한 어려움 등을 확인할것이다. Besides the passwords have low complexity, they can easily be revealed by the shoulder-surfing attack when they are inputted through the input devices such like keyboard. To overcome these problems, many new authentication schemes, which change the user secret different form or let users input their secrets through the more complex manners, have been suggested, but it is still hard to find the balanced point between usability and security. In this paper, we introduce a new authentication scheme that use the traditional alpha-numeric password as user secret based on operation of them on matrix. We show the security strength of our proposal through the analyses in the various aspects and confirm the difficulty that users feel from our proposal through the user study.

피싱 및 파밍 방지를 위한 인지 기반의 접근 방법

김주현(JuHyun Kim),맹영재(YoungJae Maeng),양대헌(DaeHun Nyang),이경희(KyungHee Lee) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.1

현재 피싱 공격을 방지하는 여러 가지 기법들이 연구 되고 있다. 이들 중에서 작업관리창이나 브라우저의 주소창에서 피싱 사이트를 구별해 주는 프로그램들이 있으나 이런 프로그램들은 사이트의 도메인이나 IP주소로만 피싱 사이트를 판단한다. 이 접근 방법으로는 DNS 파밍 공격 등은 방어할 수 있지만 숨겨진 공격(Hidden Attack) 등의 HTML 코드를 변경하는 기법에는 취약하다. 이 논문에서는 프로그램이 IP 나 사이트의 도메인을 분석하여 피싱 및 파밍 여부를 판단하는 기존의 방식이 아닌 플러그인과 서버 사이에서 HTML 코드의 변경 유무를 파악하고 피싱 여부를 팝업이나 플래시 등으로 위조하기 어려운 시스템 트레이와 풍선도움말을 사용하여 접속 사이트와 시스템 트레이의 그림을 사용자가 비교함으로서 직접 피싱 및 파밍 여부를 쉽게 결정할 수 있도록 하는 이미지 비교를 통한 인지 기반의 접근 방법을 제시한다. Recently, lots of anti-phishing schemes have been developed. Several products identify phishing sites and show the results on the address bar of the internet browser, but they determine only by domain names or IP addresses. Although this kind of method is effective against recent DNS pharming attacks, there is still a possibility that hidden attacks which modifies HTML codes could incapacitate those anti-phishing programs. In this paper, the cognitive approach which compares images to decide phishing or pharming is presented, using system tray and balloon tips that are hard to fake with pop-ups or flash in order for users to compare pictures from connecting sites and system tray. It differs from an old method that a program analyzes IP or domains to judge if it is phishing or pharming, but observes if there were HTML code changing between plug-ins and a server.

WSN에서의 협력적인 공개키 인증 프로토콜

아지즈(Abedelaziz Mohaisen),맹영재(YoungJae Maeng),양대헌(DaeHun Nyang) 한국정보보호학회 2007 정보보호학회논문지 Vol.17 No.3

최근의 8비트 무선 센서노드에서 ECC(Elliptic Curve Cryptography)를 포함한 공개키 연구는 긍정적인 결과를 보였다. 하지만 공개키는 대칭키에 비해 더 많은 연산 능력과 메모리를 필요로 하며 공개키 환경에서 각각의 공개키는 사전에 인증을 받아야 하는 단점이 있다. 자원이 제한적인 센서노드에서 공개키 인증의 부담을 줄이고자 이 논문에서는 협력적인 공개키 인증 기법을 소개한다. 이 기법에서 각 노드는 다른 노드의 해시된 키를 저장하고 공개키 인증이 필요할 때 이키들을 저장하고 있는 노드들은 협력적인 방법으로 인증을 돕는다. 센서노드의 제한된 자원과 보안레벨 은 트레이드오프 관계이다. 이 논문에서는 제안하는 프로토콜에 대한 여러 공격 시나리오를 바탕으로 분석과 평가를 보이고 작은 범위의 인증 오류에도 견딜 수 있도록 확장하여 보인다. We follow the promising recent results of deploying the public key cryptography in sensor networks. Recent results have shown that the public key algorithms are computationally feasible on the typical sensor nodes. However, once the public key cryptography is brought to the sensor network, security services such like key authentication will be critically required. In this paper we investigate the public key authentication problem in the sensor network and provide several authentication protocols. Our protocols are mainly based on the non-solvable overhearing in the wireless environment and a distributed voting mechanism. To show the value of our protocols, we provide an extensive analysis of the used resources and the resulting security level. As well, we compare our work with other existing works. For further benefit of our protocols, we list several additional applications in the sensor network where our protocols provide a sufficient authentication under the constrained resources.

복수의 이미지를 합성하여 사용하는 이미지 기반의 캡차와 이를 위한 안전한 운용 방법

강전일(Jeonil Kang),맹영재(YoungJae Maeng),김군순(KoonSoon Kim),양대헌(DaeHun Nyang),이경희(KyungHee Lee) 한국정보보호학회 2008 정보보호학회논문지 Vol.18 No.4

현재 인터넷의 발달과 봇의 사용이 활발해짐에 따라 컴퓨터와 사람을 분류할 수 있는 수단인 캡차(CAPTCHA)가 많이 활용되고 있다. 글자를 이미지 형태로 출력한 후 이를 변형시키는 방법이 많이 사용되는 캡차는 많은 연구 활동에 의하여, 인공지능 기법을 사용하면 쉽게 무력화 될 수 있음이 알려져 있다. 이에 대한 대안으로 이미지를 활용하는 캡차가 주목받고 있고 그에 따라 여러 형태의 이미지 기반 캡차가 제안 및 구현되었다. 그러나 이미지를 활용하는 캡차 또한 각각의 여러 다른 문제가 있는 것도 사실이다. 이 논문에서는 이러한 문제점에 대해서 짚어보고 이를 해결하기 위한 방안으로 복수의 이미지를 합성하는 캡차를 제안하였다. 또한 안전한 캡차의 운용을 위하여 가상 세션을 사용하지 않는 통신 프로토콜을 제안하였으며, 이에 따른 세부 사항에 대해서 논의하였다. According to the growth of the internet and the usage of software agents, the CAPTCHA that is a method for taking apart humans and computers has been widely deployed and used. As the results of many research activities, the CAPTCHA, which is spoken for a distorted image material including random text, has known to be easily breakable via artificial intelligence techniques. As one of alternatives for those text-based CAPTCHAs, methods using photos are concerned and various image-based CAPTCHAs are suggested. However, image-based CAPTCHAs still have some problems. In this paper, we discuss what are the problems in each image-based CAPTCHA and propose a new image-based CAPTCHA using image composition as the solution of those problems. Furthermore, for the secure operation of the CAPTCHA, we suggest a communication protocol that works without the virtual session and consider possible security and usability problems in the protocol.

인터넷 익스플로러에서 사용자 정보 유출 가능성

이상호(SangHo Lee),맹영재(YoungJae Maeng),양대헌(DaeHun Nyang),이경희(KyungHee Lee) 한국통신학회 2013 韓國通信學會論文誌 Vol.38 No.12(네트워크)