KR101015633B1 - 안전한 데이터 입력 방법 및 컴퓨터로 읽을 수 있는 기록매체 - Google Patents

Abstract

본 발명은 안전한 데이터 입력 방법에 관한 것으로서, 보다 구체적으로는 단말기에서 데이터를 입력하는 방법으로서, (1) 상기 단말기의 화면상에 입력 가능한 문자 배열을 표시하는 단계, (2) 사용자에게 상기 표시된 문자 배열에 대하여 수행하여야 할 동작을 음성으로 전달하는 음성 챌린지(challenge)를 제공하는 단계, (3) 상기 제공한 음성 챌린지에 따라 상기 사용자로부터 상기 표시된 문자 배열에 대한 변형 정보를 입력받는 단계, 및 (4) 상기 제공한 음성 챌린지와 상기 입력받은 변형 정보를 이용하여 사용자가 입력하고자 의도한 문자를 결정하는 단계를 포함하는 것을 특징으로 한다.

본 발명의 안전한 데이터 입력 방법에 따르면, 웹사이트 상에서 아이디나 패스워드의 입력, 인터넷 뱅킹 시의 비밀번호나 인증서 암호의 입력, 및 보안카드 정보 입력 시에 키보드 해킹 및 엿보기 공격에 대비한 안전한 데이터 입력 방법을 제공할 수 있다.

키보드 해킹, 엿보기 공격, shoulder surfing, 가상 키보드, 데이터 입력

Description

안전한 데이터 입력 방법 및 컴퓨터로 읽을 수 있는 기록매체{A METHOD AND A COMPUTER READABLE MEDIA FOR SECURE DATA INPUT}

본 발명은 데이터를 입력하는 방식에 관한 것으로서, 보다 구체적으로는 키보드해킹 및 엿보기 등으로부터 사용자의 입력 정보를 안전하게 보호하기 위한 안전한 데이터 입력 방법에 관한 것이다.

컴퓨터에서 정보를 입력하는 방법으로 흔히 사용되는 것은 키보드 및 마우스이다. 마우스는 보통 화면 중 한 영역을 가리키거나 여러 개의 객체를 선택할 때 등에 많이 사용되는 반면, 글자(문자 및 숫자)의 입력 시에는 사용의 편의성 및 입력 속도 등의 측면에서 키보드가 유리하므로 키보드가 많이 사용되고 있다. 그러나 특히 인터넷 뱅킹에서의 인증서 암호 및 계좌비밀번호 입력, 웹사이트 로그인 시의 패스워드 입력 등 특별한 보호가 요구되는 정보의 경우 단순히 키보드로 입력하게 되면 키보드 해킹에 의한 정보 유출의 위험에 노출되게 된다. 대부분의 키보드 해킹 프로그램은 사용자가 입력한 정보를 운영체제가 인터럽트 핸들러를 이용하여 처리하기 이전에 가로채는 방식을 이용하고 있다. 따라서 키보드 해킹 방지 프로그램은 이러한 키보드 해킹 프로그램이 인터럽트를 가로채는 것을 막기 위한 다 양한 방안을 포함하고 있으며, 대표적으로 인터럽트 처리를 위한 폴링(polling) 속도를 조절하는 것 등을 예로 들 수 있다. 그러나 이러한 방식은 근본적인 해결책이 될 수 없는데, 그것은 이러한 방어 프로그램이 사용하는 메커니즘을 해커가 정확히 파악할 경우 이를 우회하는 새로운 키보드 해킹 방법을 개발하는 것이 가능하기 때문이다.

한편 최근에는 키보드 해킹을 막기 위해 비교적 새로운 접근 방법을 사용한 프로그램들이 등장하고 있는데, 글자를 직접 입력하는 대신, 가상 키보드(virtual keyboard)를 화면상에 보여주고 가상 키(virtual key)를 마우스로 클릭하게 하는 방식이다. 이는 키보드에 대한 해킹보다 마우스 정보에 대한 해킹이 훨씬 더 어렵다는 사실에 착안한 것으로, 안전성을 더욱 높이기 위해 가상 키보드 상의 키 배열을 랜덤하게 바꾸는 방식도 제안된 바 있다. 그러나 이러한 방식은 또 다른 측면에서 새로운 문제를 야기하게 되었는데, 그것은 화면에 나타나는 정보가 주변에서 쉽게 파악 가능하므로 키보드 입력에 비해 어깨너머로 엿보는 공격(shoulder surfing attack)에 취약하다는 점이다. 특히 인터넷 카페나 도서관 등 개방된 공간에서 컴퓨터를 사용하는 경우 이런 취약점은 더 심각해 큰 문제가 되고 있다.

본 발명은 기존에 제안된 방법들의 상기와 같은 문제점들을 해결하기 위해 제안된 것으로서, 개방된 공간에서 컴퓨터를 사용하는 경우에 화면에 나타나는 정보를 통한 어깨너머로 엿보는 공격 및 키보드로 입력되는 정보에 대한 키보드 해킹을 방지할 수 있도록 하는 것을 그 목적으로 한다.

상기한 목적을 달성하기 위한 본 발명의 특징에 따른 안전한 데이터 입력 방법 및 컴퓨터로 읽을 수 있는 기록 매체는, 단말기에서 데이터를 입력하는 방법으로서,

(1) 상기 단말기의 화면상에 입력 가능한 문자 배열을 표시하는 단계;

(2) 사용자에게 상기 표시된 문자 배열에 대하여 수행하여야 할 동작을 음성으로 전달하는 음성 챌린지(challenge)를 제공하는 단계;

(3) 상기 제공한 음성 챌린지에 따라 상기 사용자로부터 상기 표시된 문자 배열에 대한 변형 정보를 입력받는 단계; 및

(4) 상기 제공한 음성 챌린지와 상기 입력받은 변형 정보를 이용하여 사용자가 입력하고자 의도한 문자를 결정하는 단계를 포함하는 것을 그 구성상의 특징으로 한다.

바람직하게는, 상기 결정된 사용자가 입력하고자 의도한 문자를 다시 상기 사용자에게 음성으로 제공하여 재확인을 받는 단계를 더 포함할 수 있다.

바람직하게는, 입력 가능한 문자 배열을 표시하는 상기 단계 (1)은, 사용자가 입력 가능한 문자들을 순서대로 제시한 기준 배열과, 사용자가 위치를 변경하여 실제 입력에 사용하도록 한 이동 배열의 두 가지 배열을 화면상에 표시할 수 있다.

더욱 바람직하게는, 음성 챌린지(challenge)를 제공하는 상기 단계 (2)는, 상기 기준 배열 중 기준 문자의 위치를 음성으로 전달할 수 있다.

더더욱 바람직하게는, 사용자로부터 변형 정보를 입력받는 상기 단계 (3)은, 상기 사용자가 상기 이동 배열을 변형하여 원하는 입력 문자를 상기 전달받은 기준 문자의 위치와 일치시켜 입력할 수 있다.

상기한 목적을 달성하기 위한 본 발명의 다른 특징에 따른 컴퓨터에서 판독 가능한 기록 매체는, 상기 어느 한 항의 방법을 실행하기 위한 프로그램을 기록할 수 있다.

본 발명의 안전한 데이터 입력 방법에 따르면, 웹사이트 상에서 아이디나 패스워드의 입력, 인터넷 뱅킹 시의 비밀번호나 인증서 암호의 입력, 및 보안카드 정보 입력 시에 키보드 해킹 및 엿보기 공격에 대비한 안전한 데이터 입력 방법을 제 공할 수 있다.

이하에서는 첨부된 도면들을 참조하여, 본 발명에 따른 실시예에 대하여 상세하게 설명하기로 한다.

도 1은 본 발명의 일실시예에 따른 안전한 데이터 입력 방법의 흐름도이다. 도 1에 도시된 바와 같이, 본 발명의 일실시예에 따른 안전한 데이터 입력 방법은 입력 가능한 문자 배열을 표시하는 단계(S110), 사용자에게 음성 챌린지(challenge)를 제공하는 단계(S120), 사용자로부터 표시된 문자 배열에 대한 변형 정보를 입력받는 단계(S130), 사용자가 입력하고자 의도한 문자를 결정하는 단계(S140), 및 입력하고자 의도한 문자를 다시 사용자에게 음성으로 제공하는 단계(S150)를 포함하는 것을 특징으로 한다.

단계 S110에서는, 입력 가능한 문자 배열을 표시한다. 본 단계는 사용자의 단말기 화면상에 입력 가능한 문자 배열을 표시하는 단계로서, 입력 가능한 소정 개수의 문자들을 화면상에 순서대로 배열하되 같은 문자 배열을 하나 더 생성하여 나란히 배열하게 된다. 이러한 문자 배열 중 하나는 사용자에게 입력 가능한 문자들을 순서대로 제시한 기준 배열이고, 다른 하나는 사용자가 위치를 변경하여 실제 입력에 사용하도록 할 이동 배열이다. 따라서 사용자의 단말기 화면상에서 기준 배열과 이동 배열이 나란히 한 화면에 나타나게 된다.

단계 S120에서는, 사용자에게 음성 챌린지(challenge)를 제공한다. 음성 챌린지란, 단계 S110을 통해 사용자의 화면상에 표시된 문자 배열에 대하여 안전한 사용자 인증 및 기타의 비밀 번호 등록을 위해 수행하여야 할 동작을 음성으로 전달하는 과정을 말한다. 즉, 화면상에 표시된 배열에 대해 사용자가 수행하여야 할 동작을 음성으로 전달하는 것으로서, 단계 S110에서 화면에 제공된 기준 배열 중 기준 문자의 위치를 음성으로 전달하는 방식으로 이루어질 수 있다. 이때 음성의 전달은 주변에 있는 공격자가 들을 수 없는 방식으로 헤드 셋, 이어폰 등을 이용하여 수행되어야 한다.

본 발명에 따른 안전한 데이터 입력 방법은, 컴퓨터에서 화면 정보와 음성 정보를 함께 제공함으로써 사용자로 하여금 이들 두 가지 정보를 조합하여 입력하도록 하는 방식이다. 음성 정보는 헤드 셋이나 이어폰 등을 이용하여 컴퓨터 사용자 1인에게만 안전하게 전달되며, 공격자는 음성 정보를 알지 못하면 사용자의 입력을 눈으로 확인하거나 심지어 사용자의 입력 화면을 캡처하여도 사용자가 실제로 입력하고자 하는 내용을 확인할 수 없으므로 안전한 데이터 입력 방법을 제공할 수 있게 된다.

단계 S130에서는, 사용자로부터 표시된 문자 배열에 대한 변형 정보를 입력받는다. 이때 사용자는 상기 단계 S110에서 배열된 문자열을 단계 S120에서 음성 챌린지에 의해 요구된 사항에 따라 적절히 변형하게 되는데, 이때 키보드 상의 방향키, 마우스 등 다양한 입력 수단이 사용될 수 있다. 단계 S130에서 입력되는 변형 정보에 따라 기준 배열에 대한 이동 배열의 값(문자, 숫자 등)들이 결정되며, 결정된 값들에 따라 다음 단계 S140에서 사용자가 의도한 문자를 파악할 수 있다.

단계 S140은, 사용자가 입력하고자 의도한 문자를 결정하는 과정으로서, 단계 S110 내지 단계 S130에서 수행된 작업을 종합하여 사용자가 실제로 입력하고자 의도한 문자를 결정하게 된다. 즉, 단계 S110에서 사용자에게 제시된 화면상의 문자 배열과 단계 S120에서 음성 챌린지에 의해 사용자에게 음성으로 제공(제시)된 기준 문자에 따라, 단계 S130에서 사용자에게 제시하였던 기준 문자 아래에 있는, 이동 배열상에서 해당 위치에 최종적으로 위치한 글자를 사용자가 입력하고자 의도한 글자로 인식하는 것이다. 사용자가 음성 챌린지를 통해 제공받은 기준 문자의 위치와, 이와 연동되는 이동 배열에 대한 변형 정보를 입력하는 방법 및 이에 의해 사용자가 입력하고자 의도한 문자가 어떤 문자인지를 파악하는 방법은 도 2를 통해 설명한다.

단계 S150은, 입력하고자 의도한 문자를 다시 사용자에게 음성으로 제공하는 단계로서, 단계 S140에서 결정된 사용자의 실제 입력은 공격자가 들을 수 없는 방식으로 사용자에게 다시 전달되어 사용자가 재확인할 수 있도록 할 수 있다.

도 2는 본 발명의 일실시예에 따른 안전한 데이터 입력 방법에서 입력 가능한 문자 집합이 영문 알파벳 소문자 a 내지 z와 숫자 0 내지 9일 경우의 데이터 입력을 실행하는 과정을 나타낸 도면이다. 도 2에 도시된 바와 같이, 본 발명의 일실시예에 따른 안전한 데이터 입력 과정의 실행은, 도 1의 단계 S110에 따라 입력 가능한 36개의 문자들을 화면상에 순서대로 배열하되 같은 문자들을 나란히 두 개씩 배열한다(210). 다음에 컴퓨터는 도 1의 단계 S120에 따라 사용자가 수행해야 할 동작을 음성으로 전달하는데, 예를 들어 “아래 줄에 있는 문자들 중 입력하려는 문자를 윗줄의 문자들 중 s의 아래쪽으로 맞추시오”와 같이 전달할 수 있으며, 숙달된 사용자의 경우 간단히 “s”로 전달할 수 있다. 그러면 이런 음성 챌린지를 제공받은 사용자는 도 1의 단계 S130에 따라 자신이 입력하고자 하는 문자를 이와 같은 음성 챌린지에 따라 적절히 이동시키는데, 두 가지 문자 배열 중 아래쪽에 위치한 이동 배열, 즉 도 2에서 회색으로 표시된 부분을 사용자의 키보드, 마우스, 또는 기타 입력 장치를 이용한 방향 키 입력에 따라 한 칸씩 이동하게 된다. 예를 들어 사용자가 입력하고자 하는 문자가 ‘e’라 할 때, 오른쪽으로 두 칸(220, 230), 아래로 한 칸(240)을 움직이면 s 아래에 위치시킬 수 있고, 이렇게 원하는 위치에 맞춘 후 입력을 완료한다.

마지막으로 컴퓨터는 도 1의 단계 S140에 따라, 음성 챌린지로 사용자에게 제시하였던 ‘s’ 아래에 최종적으로 위치한 글자가 ‘e’임을 파악하고 사용자 입력을 ‘e’로 인식한다. 이렇게 인식된 입력 ‘e’는 다시 안전한 음성 채널을 통 해 사용자에게 피드백되어 사용자의 오류를 줄이도록 할 수 있다. 즉, 사용자는 본인이 입력하고자 하였던 문자와 다른 문자가 피드백으로 올 경우, 오류를 인식하고 문자를 재입력하면 된다.

엿보기 공격을 시도하는 공격자는 음성 챌린지를 알지 못하므로, 사용자가 실제로 의도하는 입력이 ‘e’라는 것을 알지 못한다. 예를 들어, 도 2의 최종 입력 화면(240)에 대해서 음성 챌린지가 ‘a’였을 경우 기준 배열 ‘a'의 위치에 대하여 해당 위치의 이동 배열 문자는 ’w'가 된다. 이 경우, a를 입력하더라도 실제 입력하고자 의도한 문자는 ‘w’가 되고, 음성 챌린지가 ‘b’였을 경우 실제 입력하고자 의도한 문자는 ‘x’가 되는 것이다. 이와 같이 다양한 가능성을 가지고 입력되는 문자들이 변화하게 되므로, 음성 챌린지를 알지 못하는 상태에서 공격자는 가능한 36가지 조합 중 어느 것이 실제 입력인지 알아낼 수가 없다. 즉, 사용자 입력 화면을 보지 않은 상태로 무작위로 입력을 시도하는 것에 비해 이득이 없게 된다.

상기 과정은 입력하고자 하는 데이터가 문자가 아닌 숫자로만 이루어진 경우, 즉 개인 식별 번호 입력이나 비밀번호 입력에도 같은 방법으로 적용 가능하며, 문자나 숫자 이외에 도형을 입력하고자 할 때도 적용 가능하다. 또한 입력 방법의 적용 대상도 일반 컴퓨터 이외에 노트북 컴퓨터, PDA, 휴대전화, KIOSK를 포함하여 사용자로부터의 데이터 입력이 가능한 모든 장치에 적용 가능하다.

이상 설명한 본 발명은 본 발명이 속한 기술분야에서 통상의 지식을 가진 자에 의하여 다양한 변형이나 응용이 가능하며, 본 발명에 따른 기술적 사상의 범위는 아래의 특허청구범위에 의하여 정해져야 할 것이다.

도 1은 본 발명의 일실시예에 따른 데이터 입력 방법을 나타낸 순서도.

도 2는 본 발명의 일실시예로 입력 가능 문자가 영문 알파벳 소문자 a 내지 z와 숫자 0 내지 9인 경우 문자 ‘e’를 입력하는 과정을 도시한 도면.

<도면의 주요 부분에 대한 부호의 설명>

S110: 화면상에 입력 가능한 문자 배열을 표시하는 단계

S120: 음성 챌린지를 제공하는 단계

S130: 사용자로부터 상기 표시된 문자 배열에 대한 변형 정보를 입력받는 단계

S140: 사용자가 입력하고자 의도한 문자를 결정하는 단계

S150: 사용자가 입력하고자 의도한 문자를 다시 상기 사용자에게 음성으로 제공하여 재확인을 받는 단계

Claims (6)

1. 단말기에서 데이터를 입력하는 방법으로서,

   (1) 상기 단말기의 화면상에 입력 가능한 문자 배열을 표시하는 단계;

   (2) 사용자에게 상기 표시된 문자 배열에 대하여 수행하여야 할 동작을 음성으로 전달하는 음성 챌린지(challenge)를 제공하는 단계;

   (3) 상기 제공한 음성 챌린지에 따라 상기 사용자로부터 상기 표시된 문자 배열에 대한 변형 정보를 입력받는 단계; 및

   (4) 상기 제공한 음성 챌린지와 상기 입력받은 변형 정보를 이용하여 사용자가 입력하고자 의도한 문자를 결정하는 단계; 및

   (5) 상기 결정된 사용자가 입력하고자 의도한 문자를 다시 상기 사용자에게 음성으로 제공하여 재확인을 받는 단계를 포함하되,

   입력 가능한 문자 배열을 표시하는 상기 단계 (1)은, 사용자가 입력 가능한 문자들을 순서대로 제시한 기준 배열과, 사용자가 위치를 변경하여 실제 입력에 사용하도록 한 이동 배열의 두 가지 배열을 화면상에 표시하며,

   음성 챌린지(challenge)를 제공하는 상기 단계 (2)는, 상기 기준 배열 중 기준 문자의 위치를 음성으로 전달하는 것을 특징으로 하는 안전한 데이터 입력 방법.
2. 삭제
3. 삭제
4. 삭제
5. 제1항에 있어서,

   사용자로부터 변형 정보를 입력받는 상기 단계 (3)은, 상기 사용자가 상기 이동 배열을 변형하여 원하는 입력 문자를 상기 전달받은 기준 문자의 위치와 일치시켜 입력하는 것을 특징으로 하는 안전한 데이터 입력 방법.
6. 제1항 또는 제5항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.

Images