KR20070081391A - 텔레뱅킹 전용 어코스틱 일회용 패스워드 시스템 - Google Patents
텔레뱅킹 전용 어코스틱 일회용 패스워드 시스템 Download PDFInfo
- Publication number
- KR20070081391A KR20070081391A KR1020060013346A KR20060013346A KR20070081391A KR 20070081391 A KR20070081391 A KR 20070081391A KR 1020060013346 A KR1020060013346 A KR 1020060013346A KR 20060013346 A KR20060013346 A KR 20060013346A KR 20070081391 A KR20070081391 A KR 20070081391A
- Authority
- KR
- South Korea
- Prior art keywords
- otp
- user
- server
- acoustic
- banking
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/10—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/02—Banking, e.g. interest calculation or account maintenance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Technology Law (AREA)
- Marketing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Telephonic Communication Services (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
본 발명은 피싱(Phishing) 및 파밍(Pharming)에 안전한 텔레뱅킹 전용 음파 일회용패스워드(이하:Acoustic OTP)시스템으로서,
피싱공격을 받았을 시에는 가짜 일회용패스워드(이하:OTP)를 입력하라는 취지의 피싱대응문구 및 가짜OTP출력수단이 구비된 Acoustic OTP토큰과, 상기 가짜OTP출력수단에 의해 발생된 가짜 OTP가 입력되었을 시에는 알람메시지를 사용자가 미리 등록해둔 연락처로 송출하는 Acoustic OTP시스템이 소개되어 있다.
Description
도 1은 본 발명에 따른 토큰의 예이다.
패스워드는 너무나 취약하여 최근에는 그 대안기술로서 OTP가 주목받고 있다. OTP란 일회용 패스워드로서 한번 쓰고 버리는 것이기 때문에 패스워드를 탈취당해도 다음 번에는 새로운 패스워드를 사용하게 되기 때문에 해킹에 안전하다고 판단되기 때문이다.
관련된 종래 기술로 Acoustic OTP를 소개하기로 한다. Acoustic OTP는 생성된 OTP를 보고 읽어 입력하는 과정에서의 불편함과 오류를 피할 수 있는 것으로서, OTP를 자동으로 DTMF신호로 변환, 출력하여 텔레뱅킹 등을 이용할 때 송화기에 갖다 대어 소리로써 입력토록 하여 편리성을 더 한 것이다. 물론 시각장애인도 쉽게 OTP를 사용할 수 있도록 하는 효과도 있다. 이 Acoustic OTP는 미국특허 "US6957185"에 자세히 소개되어 있다. 하지만, Acoustic OTP를 포함하여 종래의 OTP는 피싱(Phishing) 및 파밍(Pharming) 공격에 취약했었다. "본인확인을 위해서 당신의 OTP를 확인하고자 하니 OTP를 입력하세요" 라는 피싱에 많은 부주의한 사용자는 당할 수밖에 없다. 그렇게 입력받은 OTP는 60초 동안은 유용하여, 즉시 도용할 여지는 충분한 것이다. 물론 파밍은 이보다 더 심하다. 파밍은 가짜 사이트라는 의심을 할 이유가 전혀 없기 때문에 모든 접속자가 예외 없이 당할 수밖에 없는 것이다. 이런 문제를 해결하기 위한 OTP시스템으로서 대한민국 특허출원 "10-2005-0097818"들 수 있는데, 일종의 트랩시스템으로서, 1차 인증을 거친 후에 2차 인증에서 OTP를 인증하고 있으며, OTP서버와 OTP토큰이 사전에 가짜 OTP를 미리 설정해두고, 1차 인증 후 2차 OTP인증 때 가짜 사이트에서는 가짜OTP를 입력하면 가짜OTP를 입력받은 OTP서버에서는 현재 사용자가 공격자라는 것을 알 수 있다는 것이고, 공격자는 1차 인증을 통해 이미 타인을 도용했으므로 이 공격자를 추적하여 잡게 되면 법에 따라 벌을 줄 수도 있어, 공격자에게 매우 큰 위협을 가함으로써 피싱을 예방하는 시스템이다.
그런데, 앞서 소개한 Acoustic OTP에서 적용할 시에는 기계적으로 일정하게 입력되는 진짜OTP와 가짜로 띄엄띄엄 입력하게 되는 OTP와는 차이가 분명할 수 있어, 공격자가 쉽게 속지 않을 수 있다는 문제가 있었다.
본 발명의 목적은 이러한 Acoustic OTP의 문제점을 해결하고자 하는 것이며, 더 나아가서는 인터넷뱅킹 및 텔레뱅킹을 통틀어서 피싱 및 파밍에 안전한 OTP시스템을 구현하는 데에 있다.
1. OTP토큰(이하, 토큰)
도 1은 본 발명에 따른 토큰의 예이다.
토큰에는 Acoustic OTP를 구현하도록 OTP를 음파로 전환해주는 장치와 스피커가 구비되어 있으며, OTP음파를 상황에 따라 두 가지로 낼 수 있도록 스위치가 구비되어 있다. 이 스위치는 하나는 진짜OTP 출력용이고, 또 하나는 가짜OTP출력용이다. 진짜OTP출력스위치가 눌려지면 OTP서버내에서 생성되는 OTP와 동일할 OTP가 생성 및 출력되며, 가짜OTP출력스위치가 눌려지면 OTP서버내에서 생성되는 OTP와 동일하지 않은 임의의 OTP가 생성된다. 또한, 이 토큰에는 피싱대응안내문구가 인쇄되어 있는데, 도 1에서 보는 문구는 그 좋은 예라고 할 수 있다.
이런 토큰을 받은 사용자는 OTP를 입력할 때 어떤 스위치를 눌러야 하는지 반드시 생각해야 하기 때문에 가짜 OTP 출력스위치의 용도를 비교적 잘 숙지하게 된다. 이렇게 가짜OTP출력스위치의 용도를 숙지하고 있는 사용자는 피싱을 접했을 때 가짜OTP출력스위치를 누르게 된다.
2. OTP서버
OTP서버는 입력되는 OTP가 OTP서버내에서 생성된 OTP와 동일할 때에는 사용자가 본인인 것으로 인증하고, 입력되는 OTP가 OTP서버내에서 생성된 OTP와 동일하지 않은 경우에는 사용자인증에 실패한 것으로 처리함과 동시에 사용자가 사전등록한 연락처로 알람메시지를 송출한다. 이 알람메시지에는 현재 OTP를 입력한 사용자 의 텔레뱅킹 중인 전화번호 등을 포함한다.
3. 응용서비스서버
텔레뱅킹 등 응용서비스의 서버에서는 사용자인증과정으로써 OTP를 DTMF(Dual Tone Multi Frequency)신호로 입력받는다. 이 DTMF신호를 숫자로 변환시켜 변환된 입력값을 OTP서버로 전달한다. 물론 DTMF신호를 입력받기 전에 해당 호를 OTP서버로 먼저 인계하여 OTP서버가 처리토록 시스템을 구성할 수도 있음은 자명하다.
이상의 시스템은 가짜OTP도 스위치만 누르면 진짜OTP처럼 간격이나 톤듀어레이션이 동일하게 입력되어 공격자를 완벽하게 속일 수 있게 되어, 공격자에게 효과적인 위협이 될 수 있다.
그러나, 이런 시스템으로도 인터넷뱅킹을 노리는 파밍공격에는 속수무책일 수밖에 없는데, 그 이유는 파밍공격을 당한 사람은 현재 자신이 접속한 사이트가 가짜 사이트일지도 모른다는 생각을 전혀 가질 필요가 없기 때문이다. 그렇기 때문에 파밍사이트에서는 가짜 OTP를 입력하지 않고 순순히 진짜 OTP를 입력하게 된다. 이를 해결하기 위해 본 발명이 제시하는 바는 아래와 같다.
인터넷 파밍사이트에서는 토큰에서 OTP를 읽어 입력하게 되는 것인데, 사람이 직접 읽지 못하도록 만든, 파밍공격에 절대 안전한 Acoustic 전용 OTP를 텔레뱅킹 전용으로 사용하는 것이다. 토큰에서 출력수단을 단지 스피커시스템으로만 하는 것인데, 즉, 숫자를 눈으로 확인할 수 있도록 출력하는 화면모니터를 탑재하지 않음으로써, 숫자를 직접 읽어 입력하게 되는 인터넷에서는 사용 자체를 불가능하게 하여 파밍공격에 당하지 않게 할 수 있는 것이다. 대부분의 사람들은 DTMF신호를 숫자로 인식할 수 있는 능력이 없기 때문에 그러한 요구 자체가 매우 황당한 요구일 수밖에 없어서 누구나 이상하게 생각할 수 있기 때문에 공격이 먹히지 않게 되는 것이다. 이때 인터넷뱅킹시에 사용할 사용자인증은 파밍에 안전한 별개의 사용자인증방법으로 병행하면 된다. 파밍에 안전하면서도 텔레뱅킹에는 사용하기 어려운 사용자인증방법은 얼마든지 있을 수 있기 때문에 이런 조합은 현실적으로 불가능한 것이 아니다. 예를 들어, 대한민국 특허출원 "10-2004-0081564" 소개되어 있는 미로방식은 파밍에 비교적 안전하지만 화면모니터를 반드시 필요로 하는 방식이어서 텔레뱅킹에는 사용할 수 없는 방식이다. 즉, 인터넷뱅킹에는 파밍에 안전한 인증시스템을 적용하고 텔레뱅킹에는 Acoustic 전용 OTP를 적용하여 이원적으로 운용함으로써 피싱 공격이나 파밍 공격에 안전한 뱅킹 시스템을 구현할 수 있는 것이다.
이와 같이 본 발명은 피싱 및 파밍에 안전한 OTP시스템을 구현 가능하게 해주는 효과가 탁월하다.
Claims (1)
- OTP시스템에 있어서,토큰은,OTP서버내의 OTP와 동일한 OTP를 생성하는 OTP생성부와,생성된 OTP를 화상출력 없이 DTMF 등의 소리신호로 출력하는 Acoustic OTP출력부와,OTP서버내의 OTP와 동일할 OTP를 생성 및 출력하는 진짜OTP출력스위치 및 OTP서버내의 OTP와는 다른 임의의 OTP를 생성 및 출력하는 가짜OTP출력스위치와,피싱대응안내문구표시부로 이루어져 있고,OTP서버는,사용자의 접속전화번호를 수집 및 저장하는 사용자정보 기록부와,사용자의 토큰에서 생성되는 OTP와 동일한 OTP를 생성하는 OTP생성부와,OTP서버내에서 생성된 OTP와 사용자에게 입력받은 OTP가 동일하면 인증성공으로, 동일하지 않으면 인증실패로 처리하는 OTP인증부와,OTP인증실패일 때에는, 상기 사용자정보 기록부에 기록된 사용자의 정보를 포함하는 알람메시지를, 사용자의 미리 등록된 연락처로 송출하는 알람부로 이루어진 것을 특징으로 하는 OTP시스템
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060013346A KR20070081391A (ko) | 2006-02-11 | 2006-02-11 | 텔레뱅킹 전용 어코스틱 일회용 패스워드 시스템 |
| PCT/KR2007/000733 WO2007091872A2 (en) | 2006-02-11 | 2007-02-09 | Acoustic one-time-password system for tele-banking only |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060013346A KR20070081391A (ko) | 2006-02-11 | 2006-02-11 | 텔레뱅킹 전용 어코스틱 일회용 패스워드 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20070081391A true KR20070081391A (ko) | 2007-08-16 |
Family
ID=38345564
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020060013346A KR20070081391A (ko) | 2006-02-11 | 2006-02-11 | 텔레뱅킹 전용 어코스틱 일회용 패스워드 시스템 |
Country Status (2)
| Country | Link |
|---|---|
| KR (1) | KR20070081391A (ko) |
| WO (1) | WO2007091872A2 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5994136B2 (ja) * | 2011-06-15 | 2016-09-21 | 株式会社フィールドシステム | 認証システム及び認証方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL128720A (en) * | 1999-02-25 | 2009-06-15 | Cidway Technologies Ltd | Method for confirming actions performed over the phone |
| KR20020063440A (ko) * | 2001-01-29 | 2002-08-03 | 주식회사 어니언소프트웨어 | 일회용 비밀번호 제공 방법, 일회용 비밀번호 관리 시스템및 이를 이용한 개인 비밀번호 유출 방지 방법 |
| AU2002345935A1 (en) * | 2001-06-26 | 2003-03-03 | Enterprises Solutions, Inc. | Transaction verification system and method |
| KR100503924B1 (ko) * | 2004-12-08 | 2005-07-25 | 주식회사 브리지텍 | 전화망 정보보호 시스템 및 방법 |
| KR200399212Y1 (ko) * | 2005-08-08 | 2005-10-19 | (주)링스텔레콤 | 디티엠에프 톤 형태의 일회용 패스워드 발생장치, 상기일회용 패스워드 발생장치를 이용한 전화 거래 인증 시스템 |
-
2006
- 2006-02-11 KR KR1020060013346A patent/KR20070081391A/ko not_active Application Discontinuation
-
2007
- 2007-02-09 WO PCT/KR2007/000733 patent/WO2007091872A2/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007091872A3 (en) | 2007-10-11 |
| WO2007091872A2 (en) | 2007-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9654976B2 (en) | Telephone caller authentication | |
| US20180151182A1 (en) | System and method for multi-factor authentication using voice biometric verification | |
| Parno et al. | Phoolproof phishing prevention | |
| Shrestha et al. | The sounds of the phones: Dangers of zero-effort second factor login based on ambient audio | |
| US20110219427A1 (en) | Smart Device User Authentication | |
| US9860248B2 (en) | Computer implemented method, communications system and computer programs products for securing operations in authentication and authorization systems using biometric information | |
| US20090199272A1 (en) | Authentication using a turing test to block automated attacks | |
| JP4633059B2 (ja) | 携帯機器を用いた電気通信網における認証の方法及びデバイス | |
| CN102144381A (zh) | 在电话网络中验证语音邮件参与者的真实性 | |
| KR101238687B1 (ko) | 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 | |
| JPH10341224A (ja) | データ伝送システムにおける認証方法および認証方法を実施するための装置 | |
| TW200838256A (en) | Method and device for secure phone banking | |
| WO2016141972A1 (en) | Two-factor authentication based on ambient sound | |
| Shrestha et al. | Listening watch: Wearable two-factor authentication using speech signals resilient to near-far attacks | |
| CN114072796A (zh) | 具有远程验证的硬件认证令牌 | |
| Aravindhan et al. | One time password: A survey | |
| KR101297118B1 (ko) | 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 | |
| KR101243101B1 (ko) | 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템 | |
| Abiew et al. | Design and implementation of cost effective multi-factor authentication framework for ATM systems | |
| Zhan et al. | Authentication using multi-level social networks | |
| GB2510378A (en) | Simultaneously providing caller ID information and encrypted caller ID information for Telephony caller authentication | |
| KR20070081391A (ko) | 텔레뱅킹 전용 어코스틱 일회용 패스워드 시스템 | |
| WO2016144806A2 (en) | Digital voice signature of transactions | |
| KR101310043B1 (ko) | 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 방법 | |
| Alhanahnah et al. | Boosting usability for protecting online banking applications against APTs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| N231 | Notification of change of applicant | ||
| E90F | Notification of reason for final refusal | ||
| E601 | Decision to refuse application |