KR20110111800A - 이동통신 단말기의 결제 보안 장치 및 방법 - Google Patents

이동통신 단말기의 결제 보안 장치 및 방법 Download PDF

Info

Publication number
KR20110111800A
KR20110111800A KR1020100031059A KR20100031059A KR20110111800A KR 20110111800 A KR20110111800 A KR 20110111800A KR 1020100031059 A KR1020100031059 A KR 1020100031059A KR 20100031059 A KR20100031059 A KR 20100031059A KR 20110111800 A KR20110111800 A KR 20110111800A
Authority
KR
South Korea
Prior art keywords
payment
mobile communication
communication terminal
unit
keypad
Prior art date
Application number
KR1020100031059A
Other languages
English (en)
Inventor
최준원
문장현
윤종선
박상준
홍성철
Original Assignee
에스케이 텔레콤주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이 텔레콤주식회사 filed Critical 에스케이 텔레콤주식회사
Priority to KR1020100031059A priority Critical patent/KR20110111800A/ko
Publication of KR20110111800A publication Critical patent/KR20110111800A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/02Digital computers in general; Data processing equipment in general manually operated with input through keyboard and computation using a built-in program, e.g. pocket calculators
    • G06F15/0225User interface arrangements, e.g. keyboard, display; Interfaces to other computer systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3229Use of the SIM of a M-device as secure element

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • Finance (AREA)
  • Telephone Function (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명은 이동통신 단말기의 결제 보안 장치 및 방법에 있어서, 이동통신 단말기를 이용한 모바일 결제 서비스가 가능하도록 지불카드를 구비하는 USIM과 이동통신 단말기 본체간 데이터 통신 과정에서 키패드로부터 입력되는 비밀번호 등과 같은 중요 데이터에 대해 보안상 문제를 발생시킬 수 있는 악의적인 소프트웨어를 모니터링하여 검출하고, 이를 차단시킴으로써 이동통신 단말기를 이용한 결제 서비스 수행 시 키패드로부터 발생되는 비밀번호 등과 같은 중요 데이터에 대한 무결성과 기밀성을 확보할 수 있도록 한다.

Description

이동통신 단말기의 결제 보안 장치 및 방법{PAYMENT SECURITY APPARATUS OF MOBILE COMMUNICATION TERMINAL AND METHOD THEREOF}
본 발명은 이동통신 단말기를 이용한 결제 서비스에 관한 것으로, 이동통신 단말기의 SIM(Subscriber Identification Module) 또는 USIM(Universal Subscriber Identity Module) 칩 카드(chip card)에 저장되어 있는 결제 인증 정보를 이용하여 결제 수행 시 금융권의 보안 규격 준수 및 이동통신 단말기의 키패드(key pad) 보안성을 검증하기 위해 칩 카드와 이동통신 단말기 본체간 인터페이스(interface)되는 데이터에 대한 모니터링(monitoring)을 수행하여 키패드와 칩 카드간의 데이터 전송을 해킹(hacking)하거나 해킹을 시도하는 악의적인 소프트웨어(software)를 검출하여 제거시킴으로써 이동통신 단말기를 이용한 안전한 결제가 수행 가능하도록 하는 이동통신 단말기의 결제 보안 장치 및 방법에 관한 것이다.
최근 들어, 물품의 구매에 따른 결제 시 스마트 카드(smart card) 기반의 접촉식 또는 비접촉식 방식의 신용결제와 신용카드 정보를 구비하는 이동통신 단말기를 이용한 결제가 광범위하게 사용되고 있다.
도 1은 종래 스마트 카드 기반의 결제 시스템의 구성을 도시한 것으로, 스마트 카드(smart card)기반의 접촉형, 또는 RF형 비접촉형 지불카드(100)(payment card)(신용카드, 선불카드, 체크카드 등등)를 소지한 사용자는 백화점 등의 상점에 설치된 카드 결제 단말기(102)에 지불카드(100)를 삽입(접촉형)하거나, 터치(touch)(비접촉형)를 통해 결제를 시도하게 된다.
그러면, 관련 결제 인증 데이터는 백화점 등의 상점의 카드 결제 단말기(102)를 통해 VAN(value added network) 등의 결제 네트워크를 거쳐 해당 카드사 서버(104)로 전달된 후, 내부 인증 과정을 거쳐 승인되며, 승인된 결과는 결제 인증 과정의 역으로 카드사 서버(104), 카드 결제 단말기(102)로 수신되어 카드 결제 인증 과정이 최종 수행된다. 이러한 과정에서 사용되는 카드 결제 단말기(102)의 생산 및 제작 과정에는 금융권에 요구하는 일정 기준의 인증 검사를 수행하게 된다.
즉, 예를 들어 카드 결제 단말기(102)의 경우, 도 2의 (a)에서 보여지는 바와 같이, 접촉식 카드 인증 방법(마그네틱 카드를 스와입(swipe)하거나, EMV(Europay, Master, Visa)카드를 슬롯(slot)에 넣은 후, 카드 PIN 입력), 또는 도 2의 (b)에서 보여지는 바와 같이 비접촉식 카드 인증 방법(근거리 통신을 이용하여 카드를 동글(dongle)에 비접촉으로 근접시켜 인증)에 대해서 모두 금융권(비자카드 또는 마스터카드 등)으로부터 마그네틱 접촉부, EMV칩 접촉부, 키패드 및 비접촉 통신방식 등 정보 처리 및 보안성에 대해서 인증을 받고 있다.
한편, 이동통신 단말기의 가입자 인증에 사용되는 SIM 또는 USIM에 지불카드(payment card), 멤버쉽 정보, 개인 인증관련 정보를 저장하여 이용하는 모바일 기반의 멀티 어플리케이션(multi-application) 환경이 보편화되고, 사용 또한 증가되고 있다. 또한, SIM 또는 USIM 등의 모바일 칩 카드 기반의 모바일 뱅킹(mobile banking), 모바일 증권 서비스(mobile trading service)는 중요한 금융 거래를 안전하고 편리하게 제공할 수 있다.
도 3은 종래 이동통신 단말기를 이용한 결제 시스템의 구성을 도시한 것으로, USIM 또는 SIM의 칩 카드에 지불카드가 탑재된 이동통신 단말기를 이용한 모바일 인증 및 결제 과정을 설명하기로 한다.
도 3을 참조하면, USIM 또는 SIM의 칩 카드에 지불카드가 탑재된 이동통신 단말기(300)를 소지한 사용자는 백화점 등의 상점에 설치된 카드 결제 단말기(304)에 연결된 동글(dongle)(302) 등에 이동통신 단말기(300)를 근접시켜 결제를 시도하게 된다. 그러면, 관련 결제 인증 데이터는 카드 결제 단말기(304)를 통해 VAN 등의 결제 네트워크를 거쳐 해당 카드사 서버(306)로 전달된 후, 내부 인증 과정을 거쳐 승인되며, 승인된 결과는 결제 인증 과정의 역으로 카드사 서버(306), 카드 결제 단말기(304)로 수신되어 카드 결제 인증 과정이 최종 수행된다.
이때, 지불카드는 USIM 또는 SIM 내부에 미리 로드(pre-loaded)될 수도 있고, 후 발급 형태로 무선 OTA(over the air)로 발급되어 저장될 수도 있으며, 지불카드의 형태는 신용카드(credit card), 데빗카드(debit card), 체크카드(check card), 선불카드(pre-paid card), 은행카드(bank card) 등 결제를 위해 은행 등 금융기관이 발급한 어떤 종류의 카드도 될 수 있다. 사용자는 소유하고 있는 이동통신 단말기(300)의 무선 인터넷 기능을 이용하여 온라인 쇼핑을 하거나, 온라인 뱅킹, 온라인 증권 거래 등 금융 거래를 할 때, USIM 또는 SIM에 저장되어 있던 지불카드를 이용하여 결제 인증을 수행하게 되며, 이 과정에서 이동통신 단말기(300)에 있는 키패드(key pad)를 통해 인증 과정에 필요한 패스워드(password) 또는 비밀번호(PIN)을 입력하게 되며, 이와 같은 데이터는 지불카드로 전달된다.
그러나, 위와 같은 이동통신 단말기를 이용한 결제 시, USIM(Universal Subscriber Identity Module), SIM(Subscriber Identification Module) 또는 UICC(Universal IC Card)같이 자체적으로 물리적 보안성을 갖고 있는 스마트 칩(smart chip)의 안정성에 비교하여, 키패드(key pad), 디스플레이(display), 이동통신 단말기의 소프트웨어(software), 인터페이스 모듈(interface module) 등의 스마트 칩을 활용하는 이동통신 단말기 전반의 구성요소들은 상대적으로 보안에 취약한 문제점이 있었다.
즉, 스마트 칩에 저장되어 있는 사용자 및 금융 정보를 이용한 인증 과정에서 USIM과 같은 칩에 인증 정보가 저장되고, 칩에 저장되어 있는 인증정보를 이용한 이동통신 단말기의 인증을 수행할 경우, 이동통신 단말기의 사용자에게 키패드를 통한 패스워드(password) 또는 비밀번호(PIN) 입력을 요구하게 되고, 키패드를 통해 입력된 데이터는 USIM에 전달된 후, 칩에 저장된 인증 정보 및 알고리즘에 따라 칩 내부에서의 인증과정이 수행되거나 키패드로부터 전달된 데이터와 칩 내부에 저장되어 있던 다른 정보와 조합 과정을 거쳐 또 다른 정보 데이터를 생성해서 칩 밖으로 응답(회신)하고, 이동통신 단말기는 이 정보를 카드사 서버로 전송한다.
이러한 과정에서, 이동통신 단말기의 키패드를 통해 금융정보의 패스워드 또는 비밀번호(PIN) 입력하는 것은 반드시 필요한 부분이며, 이 부분에 대한 보안 문제는 해결되어야 하는 과제이다. 특히, 일반적으로 오프라인(off-line) 상점 또는 은행에서 사용되는 금융 정보 단말기는 은행 및 카드사 등 금융권의 보안요구사항으로 키패드를 포함한 이동통신 단말기에 대한 사전 보안 안정성 확인을 위한 인증 검사(ex, 비자, 마스터카드의 경우, EMV인증을 받은 POS Terminal에서만 결제를 위한 인증 절차가 수행되도록 하고 있음)를 수행하고 있으나, 아직까지 이동통신 단말기의 생산 및 테스트(test) 과정에 있어서는 금융권에서 요구되는 기준에 따른 설계, 제작 및 테스트 등의 수행이 이루어지지 않고 있다.
따라서, 이동통신 단말기의 키패드에도 인증 검사를 적용해야 할 필요성이 대두되고 있으나, 이러한 인증 절차는 이동통신 단말기 제조사에게 단말생산 및 테스트 과정에서 상당한 추가적인 비용 증가를 발생시키게 되어, 이동통신 단말기 제조사가 별도의 매출(또는 수익) 증가로 귀결되지 않는 별도의 금융 보안성 인증 절차를 도입하는 것은 불가능한 상황이다.
따라서, 본 발명은 이동통신 단말기의 SIM 또는 USIM 칩 카드에 저장되어 있는 결제 인증 정보를 이용하여 결제 수행 시 금융권의 보안 규격 준수 및 이동통신 단말기의 키패드 보안성을 검증하기 위해 칩카드와 이동통신 단말기 본체간 인터페이스되는 데이터에 대한 모니터링을 수행하여 키패드와 칩카드간의 데이터 전송을 해킹하거나 해킹을 시도하는 악의적인 소프트웨어를 검출하여 제거시킴으로써 이동통신 단말기를 이용한 안전한 결제가 수행 가능하도록 하는 이동통신 단말기의 결제 보안 장치 및 방법을 제공하고자 한다.
상술한 본 발명은 이동통신 단말기의 결제 보안 장치로서, 상기 이동통신 단말기를 이용한 결제의 수행 시 상기 결제를 위한 사용자 정보의 키데이터를 발생시키는 키패드와, 상기 결제를 지원하는 지불카드를 구비하며 상기 키패드로부터 발생되는 상기 사용자 정보를 이용하여 결제를 수행하는 USIM부와, 상기 이동통신 단말기와 USIM부간 송/수신되는 데이터를 인터페이스하는 인터페이스부와, 상기 결제의 수행을 위한 상기 USIM부와의 데이터 통신 과정을 모니터링하여 상기 결제의 수행 시 사용되는 데이터에 대해 해킹을 시도하는 소프트웨어를 검출하고 이를 차단시키는 키패드 보안부를 포함한다.
또한, 상기 키패드 보안부는, 상기 USIM부와의 데이터 통신 과정에서 상기 결제의 수행 시 사용되는 데이터에 대해 해킹을 시도하는 소프트웨어를 검출하는 검출부와, 상기 검출부로부터 상기 소프트웨어가 검출되는 경우 상기 USIM부와의 데이터 통신을 종료시키는 종료부를 포함한다.
또한, 상기 키패드 보안부는, 상기 USIM부와의 데이터 통신 종료 시 상기 결제의 수행을 위해 사용되던 잔여 데이터를 삭제시키는 삭제부와, 상기 키패드로부터 발생되는 상기 결제의 수행을 위한 상기 사용자 정보를 암호화시키는 암호부를 더 포함하는 것을 특징으로 한다.
또한, 상기 키패드 보안부는, 상기 키패드로부터 임의의 키패드 입력 시 발생하는 키톤에 대해 미리 설정된 조건에 따라 상기 키폰의 발생을 제거시키는 톤삭제부를 더 포함하는 것을 특징으로 한다.
또한, 상기 지불카드는, 상가 결제의 수행을 위해 상기 이동통신 단말기의 사용자에 등록된 신용카드, 선불카드 또는 체크카드 중 어느 하나인 것을 특징으로 하며, 상기 사용자 정보는, 상기 결제에 사용되는 상기 이동통신 단말기의 사용자의 비밀번호인 것을 특징으로 한다.
또한, 본 발명은 이동통신 단말기의 결제 보안 방법으로서, 상기 이동통신 단말기를 이용한 결제의 수행 시 키패드로부터 사용자 정보의 키데이터를 입력받는 단계와, 상기 키데이터를 암호화시키는 단계와, 상기 이동통신 단말기와 USIM부간 상기 결제의 수행을 위한 데이터 통신 과정을 모니터링하는 단계와, 상기 모니터링을 통해 상기 결제의 수행 시 사용되는 데이터에 대해 해킹을 시도하는 소프트웨어를 검출하여 차단시키는 단계를 포함한다.
또한, 상기 차단 단계는, 상기 USIM부와의 데이터 통신 과정에서 상기 결제의 수행 시 사용되는 데이터에 대해 해킹을 시도하는 소프트웨어를 검출하는 단계와, 상기 소프트웨어가 검출되는 경우 상기 USIM부와의 데이터 통신을 종료시키는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 USIM부는, 상기 이동통신 단말기를 이용한 결제의 수행을 위해 상기 이동통신 단말기의 사용자에 등록된 지불카드를 포함하며, 상기 지불카드는, 상가 결제의 수행을 위해 상기 이동통신 단말기의 사용자에 등록된 신용카드, 선불카드 또는 체크카드 중 어느 하나인 것을 특징으로 한다.
본 발명에서는 이동통신 단말기의 결제 보안 장치 및 방법에 있어서, 이동통신 단말기를 이용한 모바일 결제 서비스가 가능하도록 지불카드를 구비하는 USIM과 이동통신 단말기 본체간 데이터 통신 과정에서 키패드로부터 입력되는 비밀번호 등과 같은 중요 데이터에 대해 보안상 문제를 발생시킬 수 있는 악의적인 소프트웨어를 모니터링하여 검출하고, 이를 차단시킴으로써 이동통신 단말기를 이용한 결제 서비스 수행 시 키패드로부터 발생되는 비밀번호 등과 같은 중요 데이터에 대한 무결성과 기밀성을 확보할 수 있도록 하는 이점이 있다.
도 1은 종래 지불카드를 이용한 카드 결제 시스템의 구성도,
도 2는 종래 지불카드의 카드 결제 방식을 예시한 도면,
도 3은 종래 이동통신 단말기를 이용한 카드 결제 시스템의 구성도,
도 4는 본 발명의 실시 예에 따른 결제 보안 장치를 구비하는 이동통신 단말기의 블록 구성도,
도 5는 본 발명의 실시 예에 따른 키패드 보안부의 상세 블록 구성도,
도 6은 본 발명의 실시 예에 따른 이동통신 단말기에서 결제 보안 처리 흐름도.
이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 4는 본 발명의 실시 예에 따른 키패드 보안이 가능한 이동통신 단말기의 블록 구성을 도시한 것이다.
이하, 도 4를 참조하여 이동통신 단말기의 각 구성요소에서의 동작을 상세히 설명하기로 한다.
먼저, RF부(410)는 고주파 처리부와 중간주파수 처리부 및 기저대역 처리부의 포괄적 구성부를 의미하며, 안테나(ANT)를 통해 수신되는 외부 무선 통신망으로부터의 음성 및 각종 멀티미디어 데이터를 무선통신 대역 주파수에서 1차적으로 처리하고, 이를 다시 낮은 주파수 대역으로 낮추는 중간주파수 처리와, 이를 다시 제어부(408)에서 처리 가능한 주파수 대역의 신호로 처리한다. 오디오부(412)는 제어부(408)의 제어를 받아 마이크(MIC)를 통해 입력되는 음성신호를 무선신호로 변조하고, 수신되는 무선신호를 복조하여 스피커(SPK)에 음성신호로서 송출한다.
키패드(402)는 다수의 숫자키를 구비하고 있으며, 사용자가 소정의 키를 누를 때 해당하는 키데이터를 발생하여 제어부(408)로 출력한다. 위와 같은 키패드(402)는 제조사별, 국가별로 문자 배열의 차이가 있고, 또는 일부 스마트폰(smart phone)에서는 물리적인 키패드 대신, 소프트웨어 방식으로 필요시마다 표시부상에 터치 스크린(touch screen) 형식으로 표시되는 키패드를 제공하기도 한다.
표시부(406)는 제어부(408)의 제어에 따라 이동통신 단말기(400)의 각종 정보를 표시하며, 키패드(402)에서 발생되는 키데이터 및 제어부(408)의 각종 정보신호를 입력받아 디스플레이한다.
키패드 보안부(414)는 USIM부(418)에 구비되는 지불카드를 이용하여 결제를 수행하는 경우 USIM부(418)와 이동통신 단말기(400)의 본체간 인터페이스부(416)를 통해 송/수신되는 데이터, 특히 키패드(402)로부터 발생되는 비밀번호의 중요 정보 데이터에 대해 이를 해킹하거나 해킹을 시도하는 악의적인 소프트웨어가 존재하는지 모니터링을 수행하며, 키패드 데이터에 대한 해킹을 시도하는 소프트웨어가 검출되는 경우 해당 소프트웨어를 제거시켜 키패드(402)로부터 발생되는 결제 서비스를 위한 비밀번호 등에 대해 무결성을 확보시킨다.
인터페이스부(416)는 이동통신 단말기(400)의 본체와 USIM부(418)간 송/수신되는 데이터를 인터페이스한다.
USIM부(418)는 이동통신 단말기(400)의 사용자 인증 모듈을 포함한 통신에 필요한 기본 인증 정보를 저장, 관리, 제공하며, 이동통신 단말기(400)를 이용한 결제 서비스를 위해 신용카드, 선불카드, 체크카드 등의 은행 등 금융기관이 발급하는 지불카드를 구비한다. 또한, 통신관련 애플리케이션(application)외에 필요한 애플리케이션을 저장, 관리할 수 있도록 여분의 메모리와 연산장치를 포함한다.
제어부(408)는 메모리부(404)에 저장된 동작 프로그램에 따라 이동통신 단말기(400)의 전반적인 동작을 제어한다. 위와 같은 동작 프로그램은 이동통신 단말기(400)의 동작에 필요한 기본적인 운영 시스템(operating system) 뿐만 아니라, 표시부(406)와 키패드(402)를 연결하고, 데이터의 입/출력을 관리하거나, 이동통신 단말기(400)의 내부 애플리케이션 등을 동작시키도록 제조 시 미리 프로그램밍(programing)되는 소프트웨어를 통칭한다.
또한, 제어부(408)는 본 발명의 실시 예에 따라 USIM부(418)에 구비되는 지불카드를 이용한 모바일 결제 서비스 수행 시 키패드 보안부(414)를 통해 USIM부(418)와 이동통신 단말기(400)의 키패드(402)간 송/수신되는 비밀 번호 등의 결제 서비스를 위한 중요 데이터에 대해 해킹을 시도하는 악의적인 소프트웨어가 존재하는지를 모니터링하고, 키패드 보안부(414)를 통해 키패드(402)로부터 발생되는 결제에 사용되는 사용자 정보 중 하나인 비밀번호 등의 중요 데이터에 대한 해킹을 시도하는 소프트웨어의 존재 시 해당 소프트웨어를 차단시켜 키패드(402)로부터 입력되는 데이터에 대한 무결성을 확보시킨다.
도 5는 본 발명의 실시 예에 따른 키패드 보안부(414)의 상세 블록 구성을 도시한 것으로, 본 발명의 키패드 보안부(414)는 검출부(500), 삭제부(502), 종료부(504), 톤삭제부(506), 암호부(508)와 타이머(510)를 포함한다. 위와 같이 사용자가 키패드(402)를 통해 입력하는 데이터에 대한 보안의 기밀성(Confidentiality)과 무결성(Integrity)을 확보하기 위한 키패드 보안부(414)는 이동통신 단말기(400)에 사전 설치(Pre-loaded)되어 판매되거나, 사용자에 의해 다운로드(download)되어 설치될 수 있다.
이하, 도 5를 참조하여 키패드 보안부(414) 각 구성요소에서의 동작을 상세히 설명하기로 한다.
먼저, 검출부(detecting)(500)는 이동통신 단말기(400)의 동작 프로그램을 주기적으로 또는 필요한 시점 전후로 모니터링하여, 키패드(402)와 USIM부(418)간 송/수신되는 데이터를 해킹하거나, 데이터 보안의 기밀성과 무결성에 문제를 발생시킬 수 있는 PIN-disclosing bug 등의 악의적인 소프트웨어를 검출하거나, 그러한 해킹 시도를 검출한다. 또한, 이동통신 단말기(400)를 물리적으로 훼손하는 경우도 추가적으로 모니터링을 수행한다.
종료부(terminator)(504)는 키패드 보안부(414)의 내부 설정 조건에 따라 키패드(402)와 USIM부(418)간 데이터 통신(data communication)을 일시적으로 또는 해제 조건 및 신호가 발생될 때까지 종료시키거나, USIM부(418)의 읽기(read)/쓰기(write) 기능을 일시적으로 또는 해제 조건 및 신호가 발생될 때까지 불가능하게 하는 기능을 수행한다.
삭제부(eraser)(502)는 키패드 보안부(414)의 내부 설정 조건에 따라 키패드(402)와 USIM부(418)간의 경로, 또는 해당 소프트웨어 프로그램 및 메모리에 남겨져 있는 금융 정보를 삭제하는 기능을 수행한다.
타이머(timer)(510)는 이동통신 단말기(400)를 이용한 결제 서비스 수행을 위한 데이터 처리 과정에서 타임 인터벌(time interval)을 모니터링하기 위한 타이머 기능을 수행한다.
톤삭제부(tone eraser)(506)는 키패드(402)의 버튼을 누를 때마다 발생되는 키톤(key tone)을 미리 설정된 조건에 따라 제거하여 키패드(402) 입력 시 키톤의 외부 발생에 따른 정보 유출의 가능성을 제거시킨다.
암호부(encryption)(508)는 이동통신 단말기(400)를 이용한 결제 서비스 수행 시 키패드(402)로부터 발생되는 비밀번호 등의 중요한 키데이터가 인터페이스부(416)를 통해 USIM부(418)로 전달되는 과정과 USIM부(418)와 표시부(406)간 데이터의 송/수신 과정에서 데이터의 보안성(기밀성+무결성)이 확보될 수 있도록 데이터 암호를 수행한다.
즉, 키패드 보안부(414)는 이동통신 단말기(400)를 이용한 결제 서비스 수행 시 키패드(402)로부터 발생되는 데이터에 대해서는 암호부(508)를 통해 암호화하여 데이터의 보안성을 제공하며, 검출부(500)를 통해 이동통신 단말기(400)상의 이상 상태 및 해킹 등의 문제가 될 수 있는 악의적인 소프트웨어를 검출하는 경우 종료부(504)를 통해 USIM부(418)와 이동통신 단말기(400) 본체간 데이터 통신을 종료시키고, 삭제부(502)를 통해 데이터 통신 중 남겨진 결제 서비스와 관련된 데이터를 삭제시킨다.
또한, 키패드(402)의 버튼 조작 시 발생되는 키톤이 발생되지 않도록 일시적으로 동작할 수 있으며, 타이머(510)를 통해 결제 및 인증을 위한 이동통신 단말기(400) 내부에서 이루어지는 과정 전체 프로세스 및 부분적인 프로세스의 소요시간을 모니터링하여 보안상 이상 유무를 추가적으로 검출하여 보안을 수행한다.
도 6은 본 발명의 실시 예에 따른 키패드 보안부(414)에서 이동통신 단말기(400)를 이용한 결제 서비스 수행 시 키패드(402)의 데이터에 대한 보안을 수행하는 동작 제어 흐름을 도시한 것이다. 이하, 도 4, 도 5 및 도 6을 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.
먼저, 키패드 보안부(414)는 이동통신 단말기(400)를 이용한 결제 서비스가 실행되어 USIM부(418)와 이동통신 단말기(400)의 본체간 데이터 통신이 수행되고, 결제를 위해 키패드(402)로부터 비밀번호 등의 중요 데이터가 발생되는 경우, (S600)단계에서 키패드(402)로부터 발생되는 데이터를 입력받는다.
이어, 키패드 보안부(414)는 (S602)단계에서 암호부(508)를 통해 키패드(402)로부터 입력된 데이터에 대해 암호화를 수행하고, (S604)단계에서 위와 같이 암호화된 데이터에 대해 이를 해킹하거나, 해킹을 시도하는 악의적인 소프트웨어가 있는지 또는 이동통신 단말기(400)상의 이상 상태 및 해킹 등의 문제가 될 수 있는 소프트웨어가 있는지 여부를 모니터링한다.
이때 만일, 암호화된 데이터에 대해 이를 해킹하거나, 해킹을 시도하는 악의적인 소프트웨어가 검출되거나 또는 이동통신 단말기(400)상의 이상 상태 및 해킹 등의 문제가 될 수 있는 소프트웨어가 검출되는 경우, 키패드 보안부(414)는 (S606)단계에서 (S608)단계로 진행해서 종료부(504)를 통해 USIM부(418)와 이동통신 단말기(400) 본체간 데이터 통신을 종료시키고, (S610)단계에서 삭제부(502)를 통해 데이터 통신 중 남겨진 결제 서비스와 관련된 데이터를 삭제시킨다.
상기한 바와 같이, 본 발명에서는 이동통신 단말기의 결제 보안 장치 및 방법에 있어서, 이동통신 단말기를 이용한 모바일 결제 서비스가 가능하도록 지불카드를 구비하는 USIM과 이동통신 단말기 본체간 데이터 통신 과정에서 키패드로부터 입력되는 비밀번호 등과 같은 중요 데이터에 대해 보안상 문제를 발생시킬 수 있는 악의적인 소프트웨어를 모니터링하여 검출하고, 이를 차단시킴으로써 이동통신 단말기를 이용한 결제 서비스 수행 시 키패드로부터 발생되는 비밀번호 등과 같은 중요 데이터에 대한 무결성과 기밀성을 확보할 수 있도록 한다.
한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
414 : 키패드 보안부 500 : 검출부
502 : 삭제부 504 : 종료부
506 : 톤삭제부 508 : 암호부
510 : 타이머

Claims (12)

  1. 이동통신 단말기의 결제 보안 장치로서,
    상기 이동통신 단말기를 이용한 결제의 수행 시 상기 결제를 위한 사용자 정보의 키데이터를 발생시키는 키패드와,
    상기 결제를 지원하는 지불카드를 구비하며 상기 키패드로부터 발생되는 상기 사용자 정보를 이용하여 결제를 수행하는 USIM부와,
    상기 이동통신 단말기와 USIM부간 송/수신되는 데이터를 인터페이스하는 인터페이스부와,
    상기 결제의 수행을 위한 상기 USIM부와의 데이터 통신 과정을 모니터링하여 상기 결제의 수행 시 사용되는 데이터에 대해 해킹을 시도하는 소프트웨어를 검출하고 이를 차단시키는 키패드 보안부
    를 포함하는 이동통신 단말기의 결제 보안 장치.
  2. 제 1 항에 있어서,
    상기 키패드 보안부는,
    상기 USIM부와의 데이터 통신 과정에서 상기 결제의 수행 시 사용되는 데이터에 대해 해킹을 시도하는 소프트웨어를 검출하는 검출부와,
    상기 검출부로부터 상기 소프트웨어가 검출되는 경우 상기 USIM부와의 데이터 통신을 종료시키는 종료부
    를 포함하는 것을 특징으로 하는 이동통신 단말기의 결제 보안 장치.
  3. 제 2 항에 있어서,
    상기 키패드 보안부는,
    상기 USIM부와의 데이터 통신 종료 시 상기 결제의 수행을 위해 사용되던 잔여 데이터를 삭제시키는 삭제부를 더 포함하는 것을 특징으로 하는 이동통신 단말기의 결제 보안 장치.
  4. 제 2 항에 있어서,
    상기 키패드 보안부는,
    상기 키패드로부터 발생되는 상기 결제의 수행을 위한 상기 사용자 정보를 암호화시키는 암호부를 더 포함하는 것을 특징으로 하는 이동통신 단말기의 결제 보안 장치.
  5. 제 2 항에 있어서,
    상기 키패드 보안부는,
    상기 키패드로부터 임의의 키패드 입력 시 발생하는 키톤에 대해 미리 설정된 조건에 따라 상기 키폰의 발생을 제거시키는 톤삭제부를 더 포함하는 것을 특징으로 하는 이동통신 단말기의 결제 보안 장치.
  6. 제 1 항에 있어서,
    상기 지불카드는,
    상가 결제의 수행을 위해 상기 이동통신 단말기의 사용자에 등록된 신용카드, 선불카드 또는 체크카드 중 어느 하나인 것을 특징으로 하는 이동통신 단말기의 결제 보안 장치.
  7. 제 1 항에 있어서,
    상기 사용자 정보는,
    상기 결제에 사용되는 상기 이동통신 단말기의 사용자의 비밀번호인 것을 특징으로 하는 이동통신 단말기의 결제 보안 장치.
  8. 이동통신 단말기의 결제 보안 방법으로서,
    상기 이동통신 단말기를 이용한 결제의 수행 시 키패드로부터 사용자 정보의 키데이터를 입력받는 단계와,
    상기 키데이터를 암호화시키는 단계와,
    상기 이동통신 단말기와 USIM부간 상기 결제의 수행을 위한 데이터 통신 과정을 모니터링하는 단계와,
    상기 모니터링을 통해 상기 결제의 수행 시 사용되는 데이터에 대해 해킹을 시도하는 소프트웨어를 검출하여 차단시키는 단계
    를 포함하는 이동통신 단말기의 결제 보안 방법.
  9. 제 8 항에 있어서,
    상기 차단 단계는,
    상기 USIM부와의 데이터 통신 과정에서 상기 결제의 수행 시 사용되는 데이터에 대해 해킹을 시도하는 소프트웨어를 검출하는 단계와,
    상기 소프트웨어가 검출되는 경우 상기 USIM부와의 데이터 통신을 종료시키는 단계
    를 포함하는 것을 특징으로 하는 이동통신 단말기의 결제 보안 방법.
  10. 제 8 항에 있어서,
    상기 USIM부는,
    상기 이동통신 단말기를 이용한 결제의 수행을 위해 상기 이동통신 단말기의 사용자에 등록된 지불카드를 포함하는 것을 특징으로 하는 이동통신 단말기의 결제 보안 방법.
  11. 제 10 항에 있어서,
    상기 지불카드는,
    상가 결제의 수행을 위해 상기 이동통신 단말기의 사용자에 등록된 신용카드, 선불카드 또는 체크카드 중 어느 하나인 것을 특징으로 하는 이동통신 단말기의 결제 보안 방법.
  12. 제 8 항에 있어서,
    상기 사용자 정보는,
    상기 결제에 사용되는 상기 이동통신 단말기 사용자의 USIM의 비밀번호 또는 금융카드의 비밀번호인 것을 특징으로 하는 이동통신 단말기의 결제 보안 방법.
KR1020100031059A 2010-04-05 2010-04-05 이동통신 단말기의 결제 보안 장치 및 방법 KR20110111800A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100031059A KR20110111800A (ko) 2010-04-05 2010-04-05 이동통신 단말기의 결제 보안 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100031059A KR20110111800A (ko) 2010-04-05 2010-04-05 이동통신 단말기의 결제 보안 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20110111800A true KR20110111800A (ko) 2011-10-12

Family

ID=45027752

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100031059A KR20110111800A (ko) 2010-04-05 2010-04-05 이동통신 단말기의 결제 보안 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20110111800A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013122912A1 (en) * 2012-02-15 2013-08-22 Cardinalcommerce Corporation Authentication platform for pin debit issuers

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013122912A1 (en) * 2012-02-15 2013-08-22 Cardinalcommerce Corporation Authentication platform for pin debit issuers
US10810584B2 (en) 2012-02-15 2020-10-20 Cardinalcommerce Corporation Authentication platform for pin debit issuers
US11868920B2 (en) 2012-02-15 2024-01-09 Cardinalcommerce Corporation Authentication platform for pin debit issuers

Similar Documents

Publication Publication Date Title
US11657384B2 (en) Apparatus and method for emulating transactional infrastructure with a digital transaction processing unit (DTPU)
US9312923B2 (en) Personal point of sale
US11620633B2 (en) Biometric reader in card
US9218557B2 (en) Portable e-wallet and universal card
US9177241B2 (en) Portable e-wallet and universal card
US9129199B2 (en) Portable E-wallet and universal card
US8671055B2 (en) Portable E-wallet and universal card
US11580527B2 (en) Battery life estimation
US20200356984A1 (en) Transaction recording
KR20160008614A (ko) 지불 크리덴셜들 공급 방법 및 시스템
WO2013112839A1 (en) Portable e-wallet and universal card
US20150242844A1 (en) System and method for secure remote access and remote payment using a mobile device and a powered display card
US10019704B2 (en) Personal point of sale
US20190043045A1 (en) Limited operational life password for digital transactions
US20190087813A1 (en) Validating transactions
KR20130142864A (ko) 신용카드를 이용한 휴대정보 단말기에서의 모바일 카드 발급방법 및 이를 위한 신용카드
TWI795351B (zh) 外部控制數位交換處理單元的裝置與方法
WO2015107346A1 (en) Authentication method and system
KR20110111800A (ko) 이동통신 단말기의 결제 보안 장치 및 방법
AU2017210750A1 (en) Digital transaction apparatus and method
CA3027034A1 (en) Personal point of sale
TWI837075B (zh) 以數位交易處理單元仿效交易基礎架構的裝置與方法
CN111383011A (zh) 一种处理中继攻击的方法以及安全单元
AU2017212145A1 (en) Apparatus and method for directly communicating with a digital transaction processing unit (DTPU)
KR20150146463A (ko) 금융 자동화 기기, 카드사 서버, 모바일 단말, 컴퓨터 판독 가능한 기록 매체 및 그들의 제어 방법

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
E902 Notification of reason for refusal
X601 Decision of rejection after re-examination