WO2023167567A1

WO2023167567A1 - 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 장치 및 방법

Info

Publication number: WO2023167567A1
Application number: PCT/KR2023/002994
Authority: WO
Inventors: 유창훈
Original assignee: 주식회사 센스톤
Priority date: 2022-03-04
Filing date: 2023-03-04
Publication date: 2023-09-07

Abstract

인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 장치 및 방법 이 제공된다. 본 개시에 따른 서비스 서버는, 생체 정보 기반의 제1 인증을 통해 서비스 애플리케이션에 로그인이 완료된 상기 사용자 단말로부터 복수의 접근 요청이 순차적으로 수신되면, 상기 복수의 접근 요청 각각에 대해서 인증용 가상코드 기반의 제2 인증을 수행하고, 상기 제2 인증을 통해 상기 복수의 접근 요청 각각에 대해 정상적인 접근인지를 판단하는 프로세서;를 포함할 수 있다.

Description

인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 장치 및 방법

본 개시는 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 장치 및 방법에 관한 것이다.

코드형태 데이터는 많은 영역에서 이용되고 있다. 결제 시에 이용되는 카드번호, 계좌 번호뿐만 아니라 사용자 식별을 위한 IPIN번호, 주민등록번호 등이 코드형태 데이터이다.

그러나 이러한 코드데이터를 이용하는 과정에서 유출되는 사고가 많이 발생한다. 카드번호의 경우, 카드 표면에 실제 카드번호가 그대로 기재되어 있어서 타인에게 시각적으로 유출되며, 마그네틱을 이용한 결제 시에 카드번호가 그대로 POS장치로 전달되면서 유출된다.

실제코드가 그대로 유출되지 않도록 하기 위해 가상코드를 이용하고자 하는 시도가 많았으나, 가상코드에 대응되는 실제코드를 탐색하기 위해 사용자를 식별하기 위한 데이터가 필요하였다.

그러나 OTP(One Time Password)의 경우, 별도의 OTP생성 장치를 필요로 하여 불편함을 수반하고, 특히 사용자 단말기의 경우 OTP생성에 이용되는 시드 데이터의 유출로 보안상의 취약점 존재한다.

따라서 많은 사용자가 소지하고 있는 카드의 카드 데이터를 기반으로 사용자 인증에 필요한 가상 보안 코드를 생성하는 것과 같이 OTP코드를 생성하되, 별도의 OTP생성 장치를 필요로 하지 않고 동시에 시드 데이터가 유출되지 않도록 하여 보안을 높이는 방안이 필요하다.

본 개시에 개시된 실시예는 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 장치 및 방법을 제공하는데 그 목적이 있다.

본 개시가 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.

상술한 기술적 과제를 달성하기 위한 본 개시에 일 측면에 따른 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 서비스 서버는 사용자의 단말과 통신을 수행하는 통신 모듈 및 생체 정보 기반의 제1 인증을 통해 서비스 애플리케이션에 로그인이 완료된 상기 사용자 단말로부터 복수의 접근 요청이 순차적으로 수신되면, 상기 복수의 접근 요청 각각에 대해서 인증용 가상코드 기반의 제2 인증을 수행하고, 상기 제2 인증을 통해 상기 복수의 접근 요청 각각에 대해 정상적인 접근인지를 판단하는 프로세서를 포함하고, 상기 접근 요청은 거래 요청 시점에 발생되거나 주기적으로 발생될 수 있다.

또한, 상기 프로세서는, 상기 복수의 접근 요청 중 특정 접근 요청에 대해서 비정상적인 접근인 것으로 판단되면, 상기 판단된 시점에 상기 사용자 단말의 로그인 세션을 종료하고, 상기 시점 이후에 상기 사용자 단말로부터의 최초 접근에 대해서는 상기 제1 인증을 수행할 수 있다.

또한, 상기 프로세서는, 상기 복수의 접근 요청 중 특정 접근 요청에 대해서 정상적인 접근인 것으로 판단되면, 상기 특정 접근 요청에 포함된 거래 데이터를 기반으로 거래를 진행할 수 있다.

또한, 상기 인증용 가상코드는, 상기 접근 요청의 수신 시점에 상기 사용자 단말과 연결된 IP 주소 데이터를 기반으로 상기 사용자 단말에서 생성될 수 있다.

또한, 상기 인증용 가상코드는, 상기 사용자 단말에 부여된 고유값을 기반으로 상기 사용자 단말에서 생성되고, 상기 고유값은, 상기 사용자 단말이 상기 서비스 애플리케이션에 등록 시 상기 프로세서에 의해 생성되거나 상기 사용자 단말에 의해 생성되는 것일 수 있다.

또한, 상술한 기술적 과제를 달성하기 위한 본 개시에 다른 측면에 따른 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 사용자 단말은 서비스 서버와 통신을 수행하는 통신 모듈 및 서비스 애플리케이션에 로그인하기 위해 상기 서비스 서버로 생체 정보 기반의 제1 인증의 수행을 요청하고, 상기 로그인이 완료된 후 상기 서비스 서버로 복수의 접근 요청을 순차적으로 송신하되, 상기 복수의 접근 요청 각각에 대해서 인증용 가상코드 기반의 제2 인증의 수행을 요청하는 프로세서를 포함하고, 상기 접근 요청은 거래 요청 시점에 발생되거나 주기적으로 발생될 수 있다.

또한, 상기 제2 인증을 통해 상기 복수의 접근 요청 중 특정 접근 요청에 대해서 비정상적인 접근인 것으로 판단되면, 상기 판단된 시점에 상기 사용자 단말의 로그인 세션이 종료되고, 상기 프로세서는, 상기 시점 이후에 상기 서비스 서버로의 최초 접근에 대해서는 상기 서비스 서버로 상기 제1 인증의 수행을 요청할 수 있다.

또한, 상기 제2 인증을 통해 상기 복수의 접근 요청 중 특정 접근 요청에 대해서 정상적인 접근인 것으로 판단되면, 상기 특정 접근 요청에 포함된 거래 데이터를 기반으로 거래가 진행될 수 있다.

또한, 상기 프로세서는, 상기 접근 요청의 송신 시점에 상기 서비스 서버와 연결된 IP 주소 데이터를 기반으로 상기 인증용 가상코드를 생성할 수 있다.

또한, 상기 프로세서는, 상기 서비스 애플리케이션이 설치된 단말에 부여된 고유값을 기반으로 상기 인증용 가상코드를 생성하고, 상기 고유값은, 상기 서비스 애플리케이션에 등록 시 상기 서비스 서버에 의해 생성되거나 상기 프로세서에 의해 생성되는 것일 수 있다.

이 외에도, 본 개시를 구현하기 위한 방법을 실행하기 위한 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램이 더 제공될 수 있다.

이 외에도, 본 개시를 구현하기 위한 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체가 더 제공될 수 있다.

본 개시의 전술한 과제 해결 수단에 의하면, 서비스 애플리케이션에 생체 인증을 통해 로그인 한 후, 애플리케이션을 통한 거래 시 추가 생체 인증 절차가 불필요하므로 사용자에게 사용 편리성을 제공할 수 있다.

또한, 다차원 인증 필요 없이, 인증용 가상코드를 이용한 1차 인증만으로 사용자 및 디바이스 인증 처리가 가능하므로, 효율적으로 서비스를 제공할 수 있다.

편리하고 효율적인 서비스를 통해 사용자가 증가하여 수익 증대가 가능할 수 있다.

본 개시의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.

도 1은 본 개시에 따른 인증용 가상코드를 이용하여 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 시스템을 개략적으로 나타낸 도면이다.

도 2는 본 개시에 따른 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 서비스 서버 및 사용자 단말의 개략적인 구성도이다.

도 3은 본 개시에 따른 서비스 서버에 의해 수행되는 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 방법의 순서도이다.

도 4a 및 도 4b는 본 개시에 따른 적어도 두 개의 카드를 사용하여 복수의 거래를 순차적으로 요청하는 것을 설명하기 위한 예시도이다.

도 5a 및 도 5b는 본 개시에 따른 로그인 세션이 종료된 이후 최초 접근에 대해서 인증을 수행하는 것을 설명하기 위한 예시도이다.

도 6은 본 개시에 따른 로그인 세션 유지 기간을 설명하기 위한 예시도이다.

도 7은 본 개시에 따른 사용자 단말에 의해 수행되는 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 방법의 순서도이다.

본 개시 전체에 걸쳐 동일 참조 부호는 동일 구성요소를 지칭한다. 본 개시가 실시예들의 모든 요소들을 설명하는 것은 아니며, 본 개시가 속하는 기술분야에서 일반적인 내용 또는 실시예들 간에 중복되는 내용은 생략한다. 명세서에서 사용되는 ‘부, 모듈, 부재, 블록’이라는 용어는 소프트웨어 또는 하드웨어로 구현될 수 있으며, 실시예들에 따라 복수의 '부, 모듈, 부재, 블록'이 하나의 구성요소로 구현되거나, 하나의 '부, 모듈, 부재, 블록'이 복수의 구성요소들을 포함하는 것도 가능하다.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 직접적으로 연결되어 있는 경우뿐 아니라, 간접적으로 연결되어 있는 경우를 포함하고, 간접적인 연결은 무선 통신망을 통해 연결되는 것을 포함한다.

또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.

명세서 전체에서, 어떤 부재가 다른 부재 "상에" 위치하고 있다고 할 때, 이는 어떤 부재가 다른 부재에 접해 있는 경우뿐 아니라 두 부재 사이에 또 다른 부재가 존재하는 경우도 포함한다.

제 1, 제 2 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위해 사용되는 것으로, 구성요소가 전술된 용어들에 의해 제한되는 것은 아니다.

단수의 표현은 문맥상 명백하게 예외가 있지 않는 한, 복수의 표현을 포함한다.

각 단계들에 있어 식별부호는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 실시될 수 있다.

이하 첨부된 도면들을 참고하여 본 개시의 작용 원리 및 실시예들에 대해 설명한다.

이하, 첨부된 도면을 참조하여 본 개시의 실시예를 상세하게 설명한다.

설명에 앞서 본 명세서에서 사용하는 용어의 의미를 간략히 설명한다. 그렇지만 용어의 설명은 본 명세서의 이해를 돕기 위한 것이므로, 명시적으로 본 개시를 한정하는 사항으로 기재하지 않은 경우에 본 개시의 기술적 사상을 한정하는 의미로 사용하는 것이 아님을 주의해야 한다.

본 명세서에서 “장치”는 연산처리를 수행하여 사용자에게 결과를 제공할 수 있는 다양한 장치들이 모두 포함된다. 예를 들어, 장치는, 컴퓨터, 서버 장치 및 휴대용 단말기를 모두 포함하거나, 또는 어느 하나의 형태가 될 수 있다.

여기에서, 상기 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop), 태블릿 PC, 슬레이트 PC 등을 포함할 수 있다.

상기 서버 장치는 외부 장치와 통신을 수행하여 정보를 처리하는 서버로써, 애플리케이션 서버, 컴퓨팅 서버, 데이터베이스 서버, 파일 서버, 게임 서버, 메일 서버, 프록시 서버 및 웹 서버 등을 포함할 수 있다.

상기 휴대용 단말기는 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), WiBro(Wireless Broadband Internet) 단말, 스마트 폰(Smart Phone) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치와 시계, 반지, 팔찌, 발찌, 목걸이, 안경, 콘택트 렌즈, 또는 머리 착용형 장치(head-mounted-device(HMD) 등과 같은 웨어러블 장치를 포함할 수 있다.

본 명세서에서 "문자"는 코드를 구성하는 구성요소로서, 대문자 알파벳, 소문자 알파벳, 숫자 및 특수문자 등의 전부 또는 일부를 포함한다.

본 명세서에서 "코드"는 문자가 나열된 문자열을 의미한다.

본 명세서에서 “인증용 가상코드”는 사용자 및 디바이스 중 적어도 하나의 인증을 위해 임시적으로 생성되는 OTAC(One Time Authentication Code)를 의미할 수 있다.

본 명세서에서 "가상코드 생성 함수"는 가상코드를 생성하는 함수를 의미한다. 예를 들어, OTP(One Time Password) 등을 포함하며, 이에 한정하는 것은 아니다.

본 명세서에서 "세부코드 생성 함수"는 가상코드를 구성하는 각각의 세부코드를 생성하는 함수를 의미한다.

본 명세서에서 "세부코드 결합 함수"는 복수의 세부코드를 조합 또는 결합하여 가상코드를 생성하는 함수를 의미한다.

본 명세서에서 "단위카운트"는 특정한 시간간격으로 설정되어, 상기 시간간격이 경과됨에 따라 변경되는 것으로 정의된 단위이다. 예를 들어, 1카운트 는 특정한 시간간격(예를 들어, 1.5초)으로 설정되어 사용될 수 있다.

본 명세서에서 “저장위치”는 사용자 등록이 요청된 시점에 해당하는 트랙 상 지점(카운트)을 의미한다.

본 명세서에서 “접근 요청”은 사용자 단말이 서비스 서버에 접속한(로그인 된) 후에, 그 접속을 유지하거나 거래를 진행하기 위한 인증 요청을 의미할 수 있다. 구체적으로, 접속한 후 그 접속을 유지하기 위해 주기적으로(예를 들어, 1분마다) 접근 요청(접속 유지를 위한 인증 요청)을 서비스 서버로 전송할 수 있고, 또는 거래를 진행하고자 할 때 접근 요청(거래를 위한 인증 요청)을 서비스 서버로 전송할 수 있다.

본 명세서에서 “거래”는 서비스 애플리케이션을 통해 이루어지는 결제, 보안 영역으로의 출입을 모두 포함하는 의미의 용어이다. 본 명세서에서는 편의를 위해 “거래”가 서비스 애플리케이션에 등록된 모바일 카드를 이용한 결제를 의미하는 경우로 한정하여 설명하지만, 명세서 내에서 설명되는 모든 내용은 서비스 애플리케이션에 등록된 출입 카드를 이용하여 보안 영역으로 출입하는 경우에도 적용될 수 있다.

기존에는 사용자가 앱을 통해 거래(결제)를 요청할 때마다 생체 인증(또는 코드 인증)을 수행해야만 했었다. 즉, 사용자가 앱에 로그인 한 후 카드를 이용하여 거래를 하려면 생체 인증을 수행해야 하고, 곧바로 다른 카드(또는 동일한 카드)를 이용하여 또 다른 거래를 하려고 할 때에도 생체 인증을 또다시 수행해야 하기 때문에, 사용자의 앱에 대한 사용성을 떨어뜨린다는 문제가 있었다.

이에, 본 개시에서는 사용자가 앱에 생체 인증을 통해 로그인 한 이후에, 앱을 통해 거래를 할 때마다 추가 생체 인증을 할 필요 없이(즉, 사용자가 직접 인증을 위한 액션을 하지 않아도), 앱과 서버 간의 데이터 송수신을 통해 인증용 가상코드 기반의 인증을 수행한다. 이로써, 사용자에게 사용 편리성을 제공할 수 있다.

도 1을 참조하면, 인증용 가상코드를 이용하여 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 시스템(이하, 시스템)은 서비스 서버(10), 사용자 단말(20) 및 이상 거래 감지 시스템(30)을 포함한다. 다만, 몇몇 실시예에서 시스템은 도 1에 도시된 구성요소보다 더 적은 수의 구성요소나 더 많은 수의 구성요소를 포함할 수도 있다.

서비스 서버(10)는 서비스 애플리케이션을 통해 사용자에게 금융, 결제, 거래와 관련된 서비스를 제공하는 서버 장치이다.

서비스 서버(10)는 사용자 단말(20)로부터 수신된 생체 정보와 기 저장된 사용자의 생체 정보의 비교를 통해 제1 인증을 수행할 수 있다. 두 정보가 일치하면 사용자는 서비스 애플리케이션에 로그인되어 서비스를 이용할 수 있다. 여기서, 로그인을 위한 제1 인증이 생체 정보를 이용하는 것으로 설명하였지만, 이에 제한되지 않고 사용자가 서비스 애플리케이션에 가입(등록) 시에 입력했던 정보 또는 앱에서 생성되는 코드 정보도 제1 인증에 이용될 수 있다.

서비스 서버(10)는 로그인된 사용자 단말(20)로부터 접근 요청이 수신되면, 인증용 가상코드를 이용한 제2 인증을 수행할 수 있다. 여기서, 접근 요청은 거래 요청 시점에 발생되거나 주기적으로(예를 들어, 1분마다) 발생될 수 있다. 서비스 서버(10)는 인증용 가상코드가 현시점에 정상적으로 생성된 것인지를 검증함으로써 제2 인증을 수행할 수 있다. 인증용 가상코드의 검증에 대해서는 후술하도록 한다.

서비스 서버(10)는 제2 인증이 완료된 접근 요청에 대해서만 후속 동작을 수행할 수 있다.

사용자 단말(20)은 서비스 서버(10)가 제공하는 서비스 애플리케이션을 통해 금융, 결제, 거래와 관련된 서비스를 이용하는 사용자의 단말 장치이다.

사용자 단말(20)은 서비스 서버(10)로 로그인 요청 및 생체 정보 기반의 제1 인증을 요청할 수 있다. 서비스 서버(10)에서 제1 인증이 완료되면(생체 정보가 정상적인 정보인 것으로 판단되면), 사용자 단말(20)은 서비스 애플리케이션에 로그인될 수 있다.

로그인이 완료된 후, 사용자 단말(20)은 서비스 서버(10)로 접근 요청 및 인증용 가상코드 기반의 제2 인증을 요청할 수 있다. 여기서, 접근 요청은 거래 요청 시점에 발생되거나 주기적으로(예를 들어, 1분마다) 발생될 수 있다. 서비스 서버(10)에서 제2 인증이 완료되면(인증용 가상코드가 정상적인 코드인 것으로 판단되면), 사용자 단말(20)이 요청한 내용에 대한 동작이 수행될 수 있다. 일 예로, 거래 요청 시점에 수신된 접근 요청에 대한 제2 인증이 완료되면, 해당 접근 요청에 대응하는 거래가 진행될 수 있다. 다른 예로, 특정 주기에 수신된 접근 요청에 대한 제2 인증이 완료되면, 해당 접근 요청에 대응하는 앱 실행 동작이 수행될 수 있다.

여기서, 접근 요청에는 인증용 가상코드 및 앱 실행 관련 데이터(예를 들어, 거래 데이터)가 포함될 수 있다.

인증용 가상코드는 하나 이상의 시드 데이터를 이용하여 사용자 단말(20)에서 생성될 수 있다. 시드 데이터는 사용자 고유값, 디바이스(사용자 단말 또는 서비스 애플리케이션) 고유값, 카드 데이터, 시간 데이터를 포함할 수 있지만, 이에 제한되는 것은 아니다.

거래 데이터는 사용자가 요청한 거래 관련한 데이터를 모두 포함할 수 있다. 예를 들어, 카드 정보, 카드사 정보, 금융사 정보, 사용자 정보, 금액 정보, 상품 정보, 판매자 정보를 포함할 수 있지만, 이에 제한되는 것은 아니다.

실시예에 따라, 서비스 애플리케이션에는 인증용 가상코드와 관련한 SDK(Software Development Kit)가 탑재되어 있을 수 있다. 사용자 단말(20)은 서비스 애플리케이션에 탑재된 SDK를 통해 인증용 가상코드와 관련된 모든 동작을 수행할 수 있다.

이상 거래 감지 시스템(Fraud Detection System, FDS)(30)은 서비스 서버(10)와 연동되어 이상 거래를 감지할 수 있다.

이상 거래 감지 시스템(30)은 서비스 서버(10)로 요청되는 접근 요청 중에서 정상적인 사용자가 아닌 외부(해커)로부터의 요청을 감지하고 이를 차단하는 역할을 수행할 수 있다.

구체적으로, 이상 거래 감지 시스템(30)은 제2 인증을 통한 접근 요청에 대해서는 따로 검증을 하지 않을 수 있다. 즉, 인증용 가상코드를 이용하여 인증이 수행되는 거래 요청은 제외하고, 나머지 접근에 대해서만 정상적인 접근인지를 판단하는 검증을 수행할 수 있다. 이로써, 이상 거래 감지 시스템(30)은 서비스 서버(10)로 들어오는 모든 요청을 검증할 필요가 없기 때문에(선택적으로 검증) 리소스를 효율적으로 활용할 수가 있게 된다.

이와 같이, 서비스 서버(10)에서 인증용 가상코드 기반의 제2 인증을 수행하고, 이와 함께 이상 거래 감지 시스템(30)에서 접근에 대한 검증을 수행함으로써 보안성을 강화할 수 있다.

도 1에서는 서비스 서버(10)와 이상 거래 감지 시스템(30)을 개별 구성요소로 도시하였지만, 실시예에 따라 이상 거래 감지 시스템(30)이 서비스 서버(10)에 포함될 수 있다.

서비스 서버(10), 사용자 단말(20) 및 이상 거래 감지 시스템(30)는 통신망을 통해 서로 각종 데이터, 신호 또는 정보를 송수신할 수 있다.

여기서, 통신망은 다양한 형태의 통신망이 이용될 수 있으며, 예컨대, WLAN(Wireless LAN), 와이파이(Wi-Fi), 와이브로(Wibro), 와이맥스(Wimax), HSDPA(High Speed Downlink Packet Access) 등의 무선 통신방식 또는 이더넷(Ethernet), xDSL(ADSL, VDSL), HFC(Hybrid Fiber Coax), FTTC(Fiber to The Curb), FTTH(Fiber To The Home) 등의 유선 통신방식이 이용될 수 있다.

한편, 통신망은 상기에 제시된 통신방식에 한정되는 것은 아니며, 상술한 통신방식 이외에도 기타 널리 공지되었거나 향후 개발될 모든 형태의 통신 방식을 포함할 수 있다.

도 2를 참조하면, 서비스 서버(10)는 통신 모듈(11), 메모리(12), 프로세서(13)를 포함할 수 있다. 프로세서(13)는 제1 인증 모듈(131) 및 제2 인증 모듈(132)을 포함할 수 있다. 다만, 몇몇 실시예에서 서비스 서버(10) 및 프로세서(13)는 도 2에 도시된 구성요소보다 더 적은 수의 구성요소나 더 많은 수의 구성요소를 포함할 수도 있다.

통신 모듈(11)은 상기 서비스 서버(10)와 사용자 단말(20) 사이, 상기 서비스 서버(10)와 이상 거래 감지 시스템(30) 사이, 상기 서비스 서버(10)와 외부 장치(미도시) 사이, 상기 서비스 서버(10)와 외부 서버(미도시) 사이, 상기 서비스 서버(10)와 통신망 사이의 무선 또는 유선 통신을 가능하게 하는 하나 이상의 모듈을 포함할 수 있다. 예를 들어, 유선통신 모듈, 무선통신 모듈, 근거리 통신 모듈, 위치정보 모듈 중 적어도 하나를 포함할 수 있다.

통신망은 다양한 형태의 통신망이 이용될 수 있으며, 예컨대, WLAN(Wireless LAN), 와이파이(Wi-Fi), 와이브로(Wibro), 와이맥스(Wimax), HSDPA(High Speed Downlink Packet Access) 등의 무선 통신방식 또는 이더넷(Ethernet), xDSL(ADSL, VDSL), HFC(Hybrid Fiber Coax), FTTC(Fiber to The Curb), FTTH(Fiber To The Home) 등의 유선 통신방식이 이용될 수 있다.

유선 통신 모듈은, 지역 통신(Local Area Network; LAN) 모듈, 광역 통신(Wide Area Network; WAN) 모듈 또는 부가가치 통신(Value Added Network; VAN) 모듈 등 다양한 유선 통신 모듈뿐만 아니라, USB(Universal Serial Bus), HDMI(High Definition Multimedia Interface), DVI(Digital Visual Interface), RS-232(recommended standard232), 전력선 통신, 또는 POTS(plain old telephone service) 등 다양한 케이블 통신 모듈을 포함할 수 있다.

무선 통신 모듈은 와이파이(Wifi) 모듈, 와이브로(Wireless broadband) 모듈 외에도, GSM(global System for Mobile Communication), CDMA(Code Division Multiple Access), WCDMA(Wideband Code Division Multiple Access), UMTS(universal mobile telecommunications system), TDMA(Time Division Multiple Access), LTE(Long Term Evolution), 4G, 5G, 6G 등 다양한 무선 통신 방식을 지원하는 무선 통신 모듈을 포함할 수 있다.

근거리 통신 모듈은 근거리 통신(Short range communication)을 위한 것으로서, 블루투스(Bluetooth™), RFID(Radio Frequency Identification), 적외선 통신(Infrared Data Association; IrDA), UWB(Ultra Wideband), ZigBee, NFC(Near Field Communication), Wi-Fi(Wireless-Fidelity), Wi-Fi Direct, Wireless USB(Wireless Universal Serial Bus) 기술 중 적어도 하나를 이용하여, 근거리 통신을 지원할 수 있다.

메모리(12)는 본 서비스 서버(10)의 다양한 기능을 지원하는 데이터와, 프로세서(13)의 동작을 위한 프로그램을 저장할 수 있고, 입/출력되는 데이터들을 저장할 수 있고, 본 서비스 서버(10)에서 구동되는 다수의 응용 프로그램(application program 또는 애플리케이션(application)), 본 서비스 서버(10)의 동작을 위한 데이터들, 명령어들을 저장할 수 있다. 이러한 응용 프로그램 중 적어도 일부는, 무선 통신을 통해 외부 서버로부터 다운로드 될 수 있다.

이러한, 메모리(12)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), SSD 타입(Solid State Disk type), SDD 타입(Silicon Disk Drive type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(random access memory; RAM), SRAM(static random access memory), 롬(read-only memory; ROM), EEPROM(electrically erasable programmable read-only memory), PROM(programmable read-only memory), 자기 메모리, 자기 디스크 및 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다. 또한, 메모리(12)는 본 서비스 서버(10)와는 분리되어 있으나, 유선 또는 무선으로 연결된 데이터베이스가 될 수도 있다.

프로세서(13)는 통신 모듈(11)과 연결되어 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 동작을 수행할 수 있다.

프로세서(13)는 본 서비스 서버(10) 내의 구성요소들의 동작을 제어하기 위한 알고리즘 또는 알고리즘을 재현한 프로그램에 대한 데이터를 저장하는 메모리, 및 메모리에 저장된 데이터를 이용하여 전술한 동작을 수행할 수 있다. 이때, 메모리와 프로세서(13)는 각각 별개의 칩으로 구현될 수 있다. 또는, 메모리와 프로세서(13)는 단일 칩으로 구현될 수도 있다.

프로세서(13)의 제1 인증 모듈(131)은 생체 정보 기반의 제1 인증과 관련된 모든 동작을 수행할 수 있다.

프로세서(13)의 제2 인증 모듈(132)은 인증용 가상코드 기반의 제2 인증과 관련된 모든 동작을 수행할 수 있다.

도 2를 참조하면, 사용자 단말(20)은 통신 모듈(21), 메모리(22), 프로세서(23)를 포함할 수 있다. 프로세서(23)는 앱 실행 모듈(231), 접근 요청 모듈(232) 및 가상코드 생성 모듈(233)을 포함할 수 있다. 다만, 몇몇 실시예에서 사용자 단말(20) 및 프로세서(23)는 도 2에 도시된 구성요소보다 더 적은 수의 구성요소나 더 많은 수의 구성요소를 포함할 수도 있다.

통신 모듈(21)은 상기 사용자 단말(20)과 서비스 서버(10) 사이, 상기 사용자 단말(20)과 외부 장치(미도시) 사이, 상기 사용자 단말(20)과 외부 서버(미도시) 사이, 상기 사용자 단말(20)과 통신망 사이의 무선 또는 유선 통신을 가능하게 하는 하나 이상의 모듈을 포함할 수 있다. 예를 들어, 유선통신 모듈, 무선통신 모듈, 근거리 통신 모듈, 위치정보 모듈 중 적어도 하나를 포함할 수 있다. 통신망, 유선통신 모듈, 무선통신 모듈, 근거리 통신 모듈에 관한 설명은 상술한 바와 중복되므로 생략한다.

메모리(22)는 본 사용자 단말(20)의 다양한 기능을 지원하는 데이터와, 프로세서(23)의 동작을 위한 프로그램을 저장할 수 있고, 입/출력되는 데이터들을 저장할 수 있고, 본 사용자 단말(20)에서 구동되는 다수의 응용 프로그램(application program 또는 애플리케이션(application)), 본 사용자 단말(20)의 동작을 위한 데이터들, 명령어들을 저장할 수 있다. 이러한 응용 프로그램 중 적어도 일부는, 무선 통신을 통해 외부 서버로부터 다운로드 될 수 있다.

이러한, 메모리(22)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), SSD 타입(Solid State Disk type), SDD 타입(Silicon Disk Drive type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(random access memory; RAM), SRAM(static random access memory), 롬(read-only memory; ROM), EEPROM(electrically erasable programmable read-only memory), PROM(programmable read-only memory), 자기 메모리, 자기 디스크 및 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다. 또한, 메모리(22)는 본 사용자 단말(20)과는 분리되어 있으나, 유선 또는 무선으로 연결된 데이터베이스가 될 수도 있다.

프로세서(23)는 통신 모듈(21)과 연결되어 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 동작을 수행할 수 있다.

프로세서(23)는 본 사용자 단말(20) 내의 구성요소들의 동작을 제어하기 위한 알고리즘 또는 알고리즘을 재현한 프로그램에 대한 데이터를 저장하는 메모리, 및 메모리에 저장된 데이터를 이용하여 전술한 동작을 수행할 수 있다. 이때, 메모리와 프로세서(23)는 각각 별개의 칩으로 구현될 수 있다. 또는, 메모리와 프로세서(23)는 단일 칩으로 구현될 수도 있다.

프로세서(23)의 앱 실행 모듈(231)은 서비스 애플리케이션의 실행과 관련된 모든 동작을 수행할 수 있다.

프로세서(23)의 접근 요청 모듈(232)은 접근 요청과 관련된 모든 동작을 수행할 수 있다.

프로세서(23)의 가상코드 생성 모듈(233)은 가상코드 생성과 관련된 모든 동작을 수행할 수 있다.

이하에서는, 도 3 내지 도 6을 참조하여, 서비스 서버(10)에 의해 수행되는 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 방법을 설명하도록 한다. 이하에서는 접근 요청이 거래 요청 시점마다 발생되는 앱 실행 요청(거래 요청)인 것으로 설명하지만, 이에 제한되지 않고 접근 요청은 기 설정된 주기마다 발생되는 앱 실행 요청일 수도 있다. 따라서, 밑에서 개시될 내용은 접근 요청이 주기적으로 발생되는 앱 실행 요청인 경우에도 모두 적용 가능하다. 여기서, 주기는 1분으로 설정될 수 있지만, 이에 제한되지는 않는다.

도 3을 참조하면, 서비스 서버(10)의 프로세서(13)는 제1 인증 모듈(131)을 통해 사용자 단말(20)로부터의 로그인 요청에 따라 제1 인증을 수행할 수 있다(S110).

여기서, 제1 인증은 생체 정보를 기반으로 하는 사용자 인증을 의미할 수 있다. 사용자는 사용자 단말(20)의 화면에 자신의 손가락을 일정 시간 이상 접촉하거나, 사용자 단말(20)의 카메라를 통해 자신의 눈동자 또는 얼굴을 촬영함으로써 생체 정보를 입력할 수 있다. 이렇게 입력된 생체 정보는 서비스 서버(10)로 전송되어, 프로세서(13)가 기 저장되어 있던 사용자의 생체 정보와 비교하는 데 사용된다. 프로세서(13)는 두 개의 생체 정보가 일치하면 정상적인 사용자로 판단하고 로그인을 승인할 수 있다.

이렇게 로그인이 완료되면, 프로세서(13)는 사용자 단말(20)에 설치된 서비스 애플리케이션 내에서 사용자에 대한 로그인 세션이 기 설정된 기간 동안 유지되도록 한다. 사용자는 로그인 세션이 유지되는 기간(예를 들어, 한시간) 동안 서비스 애플리케이션을 더 이상의 제1 인증 없이(추가 로그인 하지 않고) 사용할 수 있게 된다. 기 설정된 기간이 끝나면 로그인 세션이 종료되어 서비스 애플리케이션에서 로그아웃되고, 사용자는 서비스 애플리케이션을 더 이용하기 위해 다시 로그인을 수행하게 된다.

도 3을 참조하면, 서비스 서버(10)의 프로세서(13)는 통신 모듈(11)을 통해 로그인이 완료된 사용자 단말(20)로부터 복수의 거래 요청을 순차적으로 수신할 수 있다(S120).

구체적으로, 프로세서(13)는 로그인이 완료된 사용자 단말(20)로부터 로그인 세션의 유지 기간 동안 복수의 거래 요청을 순차적으로 수신할 수 있다.

이때, 복수의 거래 요청은, 서비스 애플리케이션에 등록된 사용자의 복수의 카드 중 적어도 두 개의 카드를 교대로 이용하여 각 거래가 진행되도록 하는 요청일 수 있다. 즉, 사용자는 서비스 애플리케이션에 여러 개의 카드를 등록해놓고, 각 상황에 따라 다른 카드를 이용하여 결제를 진행할 수 있다.

사용자가 세 개의 카드(A, B, C)를 등록해 놓은 경우를 예로 들어 도 4a 및 도 4b를 설명하도록 한다.

도 4a를 참조하면, 프로세서(13)는 사용자 단말(20)로부터 세션 유지 기간 동안 3개의 거래 요청을 순차적으로 수신했는데, 이때 거래 요청 1은 카드 A를 이용한 요청이고, 거래 요청 2는 카드 B를 이용한 요청이고, 거래 요청 3은 카드 C를 이용한 요청일 수 있다.

도 4b를 참조하면, 프로세서(13)는 사용자 단말(20)로부터 세션 유지 기간 동안 3개의 거래 요청을 순차적으로 수신했는데, 이때 거래 요청 1은 카드 A를 이용한 요청이고, 거래 요청 2는 카드 B를 이용한 요청이고, 거래 요청 3은 다시 카드 A를 이용한 요청일 수 있다.

도 3을 참조하면, 서비스 서버(10)의 프로세서(13)는 제2 인증 모듈(132)을 통해 복수의 거래 요청 각각에 대해 제2 인증을 수행할 수 있다(S130).

프로세서(13)는 이렇게 로그인 세션의 유지 기간 동안 수신된 거래 요청에 대해서 각각 제2 인증을 수행하고, 제2 인증을 통해 복수의 거래 요청 각각에 대해 정상적인 접근인지를 판단할 수 있다.

여기서, 제2 인증은 인증용 가상코드를 기반으로 하는 사용자 및 디바이스 인증을 의미할 수 있다.

상술한 바와 같이, 인증용 가상코드는 하나 이상의 시드 데이터를 이용하여 사용자 단말(20)에서 생성될 수 있다. 시드 데이터는 사용자 고유값, 디바이스(사용자 단말 또는 서비스 애플리케이션) 고유값, 카드 데이터, 시간 데이터를 포함할 수 있다.

여기서, 사용자 고유값은 사용자가 서비스 애플리케이션에 등록(가입) 시에 설정한 ID, 비밀번호, 주민등록번호 및 서비스 애플리케이션에 등록(가입) 시 부여된 회원 번호를 포함할 수 있다.

디바이스 고유값은 사용자 단말(20) 또는 사용자 단말(20)에 설치된 서비스 애플리케이션을 식별하기 위한 값으로서, 서비스 애플리케이션에 등록(가입) 시 프로세서(13)에 의해 생성되어 메모리(12)에 저장되고 사용자 단말(20)로 제공될 수 있다. 그러나 이에 제한되지 않고, 실시예에 따라, 디바이스 고유값은 서비스 애플리케이션에 등록(가입) 시 사용자 단말(20)에 의해 생성되어 사용자 단말(20)에 저장되고 서비스 서버(10)로 제공될 수 있다.

카드 데이터는 거래를 위해 선택된 카드의 카드번호, CVC번호를 포함할 수 있다.

시간 데이터는 거래 요청 시점 또는 인증용 가상코드 생성 시점의 시간 데이터를 의미할 수 있다.

실시예에 따라, 인증용 가상코드는 상기 사용자 단말(20)과 상기 서비스 서버(10)가 현시점에 연결된 IP 주소 데이터를 시드 데이터로 이용하여 생성될 수 있다.

사용자 단말(20)은 IP 주소 데이터를 시드 데이터로 사용하여 OTAC 기반의 인증용 가상코드를 생성하여 전송하고, 서비스 서버(10)는 인증용 가상코드를 수신하는 시점에 사용자 단말(20)과 연결된 IP 주소 정보를 함께 활용하여 검증을 수행한다. 즉, 인증용 가상코드 내에 포함되어 수신된 수신 OTP와 비교하기 위한 서버 내 생성 OTP 생성 시에 현시점에 연결된 IP 주소를 활용한다. 이를 통해, 현시점에 생성된 인증용 가상코드를 탈취하여 다른 디바이스가 인증에 활용하고자 시도하는 경우에 사용자 단말(20)과 서비스 서버(10)간에 연결되는 IP주소가 달라짐에 따라 검증이 실패하여 정상적인 접근이 아닌 것을 인증할 수 있다. 따라서, 중간에서 인증값을 탈취하여 정상적인 접근처럼 해커가 접근하는 중간자공격(Man-in-the-middle Attack)을 막을 수 있다.

그러나 이에 한정되지 않고, IP 주소 이외에도, 서버(10)와 사용자 단말(20) 간의 연결 시에 사용자 단말(20) 내에서만 고유하게 생성 또는 이용되는 값이 시드 데이터로 이용될 수 있다.

구체적으로, 인증용 가상코드는 가상코드 생성 함수를 이용하여 상기 하나 이상의 시드 데이터를 기반으로 생성될 수 있다.

실시예에 따라, 가상코드 생성 함수는 사용자의 서비스 애플리케이션 등록(가입) 시점에 구동이 시작될 수 있다. 이 경우 카드에 상관없이 모든 거래 요청에 대해서 동일한 함수를 이용하여 인증용 가상코드가 생성되게 된다.

실시예에 따라, 가상코드 생성 함수는 사용자의 모바일 카드 등록 시점에 구동이 시작될 수 있다. 이 경우, 카드 A를 이용한 거래 요청 1에 대한 인증용 가상코드는 카드 A 등록 시 구동 시작된 함수 A를 이용하여 생성되고, 카드 B를 이용한 거래 요청 2에 대한 인증용 가상코드는 카드 B 등록 시 구동 시작된 함수 B를 이용하여 생성될 수 있다.

프로세서(13)는 제2 인증 모듈(132)을 통해 각 거래 요청 별로 생성된 인증용 가상코드를 검증하여, 각 거래 요청이 정상적인 접근인지를 판단할 수 있다.

프로세서(13)는 가상코드 생성 시에 이용된 가상코드 생성 함수와 대응하는 가상코드 검증 함수를 이용하여 인증용 가상코드를 검증할 수 있다.

여기서, 가상코드 검증 함수는 가상코드 생성 함수의 구동 시작 시점과 동일한 시점에 구동 시작될 수 있다. 즉, 사용자가 서비스 애플리케이션에 등록(가입) 시 또는 카드 등록 시에 서로 대응하는 가상코드 생성 함수와 가상코드 생성 함수가 각각 사용자 단말(20) 및 서비스 서버(10)에서 구동이 시작될 수 있다.

프로세서(13)는 가상코드 검증 함수를 이용하여 수신된 시드 데이터와 기 저장된 시드 데이터 간의 비교를 수행하고, 두 데이터의 일치 여부에 따라 인증용 가상코드가 현 시점에 정상적인 사용자 단말에서 생성된 것인지를 판단할 수 있다.

실시예에 따라, 프로세서(13)는 제2 인증 모듈(132)을 통해 상기 인증용 가상코드를 기반으로 사용자 고유값 또는 디바이스 고유값의 저장 위치를 탐색하여 상기 사용자 고유값 또는 디바이스 고유값을 추출하고, 상기 추출한 고유값을 상기 인증용 가상코드에 포함된 고유값과 비교하여 검증을 수행할 수 있다.

실시예에 따라, 프로세서(13)는 제2 인증 모듈(132)을 통해 인증용 가상코드를 수신한 시점의 시간 데이터와, 인증용 가상코드의 시드 데이터로 이용된 시간 데이터를 비교하여 인증용 가상코드를 검증할 수 있다. 두 데이터가 서로 오차 범위 내에 있는 경우, 프로세서(13)는 해당 거래 요청이 정상적인 접근인 것으로 판단할 수 있다.

도 3을 참조하면, 서비스 서버(10)의 프로세서(13)는 제2 인증을 통해 정상적인 것으로 판단된 거래 요청에 대한 거래를 진행할 수 있다(S140).

프로세서(13)는 복수의 거래 요청 중 특정 거래 요청에 대해서 정상적인 접근인 것으로 판단되면, 상기 특정 거래 요청에 포함된 거래 데이터를 기반으로 거래를 진행할 수 있다. 상술한 바와 같이, 거래 데이터는 카드 정보, 카드사 정보, 금융사 정보, 사용자 정보, 금액 정보, 상품 정보, 판매자 정보를 포함할 수 있다.

구체적으로, 프로세서(13)는 거래 데이터에 포함된 카드 정보, 카드사 정보, 금액 정보를 기반으로, 통신 모듈(11)을 통해 결제 서버(예를 들어, 카드사 서버)로 해당 거래의 진행을 요청할 수 있다.

또한, 프로세서(13)는 통신 모듈(11)을 통해 사용자 단말(20)로 해당 거래의 진행 정보(예를 들어, 결제 완료 정보)를 제공할 수 있다.

한편, 프로세서(13)는 복수의 거래 요청 중 특정 거래 요청에 대해서 비정상적인 접근인 것으로 판단되면, 상기 판단된 시점에 상기 사용자 단말(20)의 로그인 세션을 종료하고, 상기 시점 이후에 상기 사용자 단말(20)로부터의 최초 접근에 대해서는 제1 인증 또는 제2 인증을 수행할 수 있다.

도 5a를 참조하여, 로그인 세션이 종료된 후의 최초 접근이 거래 요청인 경우 제1 인증 및 제2 인증을 수행하는 것을 설명하도록 한다.

사용자 단말(20)의 로그인 요청에 따라 프로세서(13)가 제1 인증 모듈(131)을 통해 제1 인증을 수행하고, 제1 인증을 통해 정상적인 사용자(서비스 가입자)인 것으로 확인되면 로그인 세션이 시작된다. 로그인 세션이 시작된 이후, 사용자 단말(20)로부터 거래 요청 1이 수신되어 제2 인증 모듈(132)을 통해 제2 인증을 수행한다. 제2 인증을 통해 거래 요청 1이 정상적인 요청인 것으로 판단된다. 이후에 사용자 단말(20)로부터 다시 거래 요청 2이 수신되어 제2 인증 모듈(132)을 통해 제2 인증을 수행한다. 제2 인증을 통해 거래 요청 2가 비정상적인 요청인 것으로 판단되면, 프로세서(13)는 로그인 세션의 유지 기간이 남아 있어도 로그인 세션을 종료한다. 로그인 세션이 종료된 후, 사용자 단말(20)로부터 거래 요청 3이 수신되면, 프로세서(13)는 제1 인증 모듈(131)을 통해 로그인을 위한 제1 인증을 수행하고, 제2 인증 모듈(132)을 통해 거래를 위한 제2 인증을 수행한다.

도 5b를 참조하여, 로그인 세션이 종료된 후의 최초 접근이 로그인 요청인 경우 제1 인증을 수행하는 것을 설명하도록 한다.

사용자 단말(20)의 로그인 요청에 따라 프로세서(13)가 제1 인증 모듈(131)을 통해 제1 인증을 수행하고, 제1 인증을 통해 정상적인 사용자(서비스 가입자)인 것으로 확인되면 로그인 세션이 시작된다. 로그인 세션이 시작된 이후, 사용자 단말(20)로부터 거래 요청 1이 수신되어 제2 인증 모듈(132)을 통해 제2 인증을 수행한다. 제2 인증을 통해 거래 요청 1이 정상적인 요청인 것으로 판단된다. 이후에 사용자 단말(20)로부터 다시 거래 요청 2이 수신되어 제2 인증 모듈(132)을 통해 제2 인증을 수행한다. 제2 인증을 통해 거래 요청 2가 비정상적인 요청인 것으로 판단되면, 프로세서(13)는 로그인 세션의 유지 기간이 남아 있어도 로그인 세션을 종료한다. 로그인 세션이 종료된 후, 사용자 단말(20)로부터 로그인 요청이 수신되면, 프로세서(13)는 제1 인증 모듈(131)을 통해 로그인을 위한 제1 인증을 수행한다. 그리고, 이후에 사용자 단말(20)로부터 거래 요청 3이 수신되면, 제2 인증 모듈(132)을 통해 제2 인증을 수행한다.

이와 같이, 로그인 세션의 유지 기간이 남아있어도, 중간에 비정상적인 거래 요청이 발생되면 로그인 세션은 종료된다. 그리고 종료된 후 최초로 제1 인증이 완료되어 정상적인 접근인 것으로 판단된 시점에 다시 로그인 세션이 시작되어 기 설정된 기간 동안 유지될 수 있다.

도 6를 참조하면, 기 설정된 로그인 세션 유지 기간(A-B) 중간에 비정상 거래 요청이 발생되면, 해당 시점(C)에 로그인 세션이 종료된다. 그 이후의 최초 접근에 대한 제1 인증이 완료되어 정상 사용자로 확인되면, 해당 시점(A')부터 로그인 세션이 시작되어 기 설정된 유지 기간(A'-B')동안 세션이 유지되게 된다.

이하에서는, 도 7을 참조하여, 사용자 단말에 의해 수행되는 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 방법을 설명하도록 한다.

도 7을 참조하면, 사용자 단말(20)의 프로세서(23)는 통신 모듈(21)을 통해 서비스 서버(10)로 로그인을 위한 제1 인증의 수행을 요청할 수 있다(S210).

로그인이 완료된 후, 사용자 단말(20)의 프로세서(23)는 통신 모듈(21)을 통해 서비스 서버(10)로 복수의 거래 요청을 순차적으로 송신하고, 각 요청에 대한 제2 인증의 수행을 요청 요청할 수 있다(S220).

프로세서(23)는 거래 요청 모듈(232)(또는, 도시되지는 않았지만 인증 요청 모듈)을 통해 서비스 애플리케이션에 로그인하기 위해 상기 서비스 서버(10)로 생체 정보 기반의 제1 인증의 수행을 요청할 수 있다.

로그인이 완료된 후, 프로세서(23)는 거래 요청 모듈(232)(또는, 도시되지는 않았지만 인증 요청 모듈)을 통해 상기 서비스 서버(10)로 복수의 거래 요청을 순차적으로 송신하되, 상기 복수의 거래 요청 각각에 대해서 인증용 가상코드 기반의 제2 인증의 수행을 요청할 수 있다.

프로세서(23)는 서비스 애플리케이션에 등록된 사용자의 복수의 카드 중 적어도 두 개의 카드를 교대로 이용하여 각 거래가 진행되도록 복수의 거래 요청을 송신할 수 있다.

복수의 거래 요청 각각에는 인증용 가상코드 및 거래 데이터가 포함될 수 있다.

여기서, 인증용 가상코드는 서비스 애플리케이션이 설치된 단말에 부여된 고유값(사용자 고유값 및 디바이스 고유값 중 적어도 하나)을 기반으로 생성될 수 있으며, 고유값은 상기 서비스 애플리케이션에 등록(가입) 시 상기 서비스 서버(10)에 의해 생성되거나 프로세서(23)에 의해 생성될 수 있다.

도 7에 도시된 사용자 단말(20)에 의해 수행되는 방법은 상기에서 도 3 내지 도 6을 참조하여 설명한 서비스 서버(10)에 의해 수행되는 방법과 그 수행 주체만 다를 뿐 구체적인 내용을 동일하므로 상세한 설명은 생략하도록 한다.

한편, 상기에서는 로그인 요청 시 생체 정보 기반의 제1 인증이 수행된다고 설명하였으나, 이에 제한되지 않고, 실시예에 따라, 로그인 세션 유지 기간 중 최초 거래 요청에 대해서도 제1 인증이 수행될 수도 있다. 이 경우, 첫 번째 거래 요청은 제1 인증으로 정상 여부를 판단하고, 두 번째 이후의 거래 요청에 대해서는 제2 인증으로 정상 여부를 판단할 수 있다.

이하에서는 가상코드 생성 장치로서의 역할을 수행하는 사용자 단말(20)이 인증용 가상코드를 생성하는 방법에 대해서 구체적으로 설명하도록 한다.

서비스 애플리케이션에 탑재된 SDK는 하나 또는 복수의 세부코드를 생성할 수 있다. 세부코드는 인증용 가상코드를 구성하는 일부 코드를 의미하는데, 인증용 가상코드는 세부코드만으로 구성될 수도 있으며, 또는 OTP함수에 의해 생성된 가상보안코드에 하나 또는 복수의 세부코드를 결합하여 최종 가상코 드(OTAC)의 형태로 형성될 수도 있다.

SDK는 인증용 가상코드를 생성하는 가상코드 생성 함수를 포함하고, 가상코드 생성 함수는 하나 이상의 세부코드를 생성하는 세부코드 생성 함수와, 상기 세부코드를 결합하여 가상코드를 생성하는 세부코드 결합 함수(즉, 복수의 세부코드를 조합하는 규칙)를 포함한다.

즉, 인증용 가상코드가 복수의 세부코드를 포함하는 경우, 가상코드 생성 함수는 복수의 세부코드 생성 함수를 이용하여 복수의 세부코드를 생성하고, 상기 세부코드 결합 함수를 통해 상기 복수의 세부코드를 기 설정된 조합으로 결합하여 인증용 가상코드를 생성한다.

복수의 세부코드 간에는 서비스 서버(10)가 사용자 또는 디바이스를 식별할 수 있는 정보의 저장공간을 탐색하기 위해 이용되는 상관관계를 가진다. 즉, 서비스 서버(10)는 탐색 알고리즘(저장공간탐색알고리즘)을 구비하고, 상기 탐색 알고리즘은 인증용 가상코드에 포함된 복수의 세부코드를 추출하고, 상기 복수의 세부코드의 상관관계를 기반으로 사용자 또는 디바이스에 부여된 고유값(식별 정보)의 저장공간을 탐색한다. 상기 복수의 세부코드가 가지는 상관 관계에 대한 일 실시예로, 탐색 알고리즘은 복수의 세부코드 중 하나 이상의 세부코드에 대응하는 경유지점으로부터 상기 복수의 세부코드 간의 상관 관계를 기반으로 연산하여 상기 사용자 또는 디바이스의 고유값의 저장위치를 탐색할 수 있다. 이때, 상기 경유지점은 하나 또는 복수일 수 있으며 개수 및 순서에 제한은 없다.

또한, 복수의 세부코드의 일 실시예로, 복수의 세부코드는 제1코드 및 제2코드를 포함할 수 있고, SDK는 세부코드 생성 함수로 제1함수 와 제2함수를 포함하여, 제1코드 및 제2코드를 생성한다. 제1코드와 제2코드는 서비스 서버(10) 내에서 사용자 또는 디바이스의 고유값의 저장공간을 탐색하기 위한 상관관계를 가지나, SDK는 보안성을 높이기 위해 제1코드를 생성하는 제1함수와 제2코드를 생성하는 제2함수를 세부코드 생성 함수로 포함할 뿐, 제1코드와 제2코드의 상관관계에 대한 데이터를 포함하지 않을 수 있다.

제1코드와 제2코드의 상관관계의 구체적인 예로, 제1코드와 제2코드는 상기 고유값의 저장공간을 탐색하기 위한 각각의 역할을 수행할 수 있다. 즉, 제1코드는 상기 경유지점에 대한 정보를 포함하고, 제2코드는 상기 경유 지점으로부터 상기 고유값의 저장공간에 도달할 수 있는 연산에 필요한 정보를 포함할 수 있다.

한편, 본 개시의 일 실시예로 제1코드는 제1카운트를 기반으로 생성 되며, 제2코드는 제2카운트를 기반으로 생성될 수 있다. 이때, 제1카운트는 서비스 서버(10)에서 가상코드 검증 함수가 구동된 최초시점으로부터 인증용 가상코드가 생성된 시점까지 경과된 단위 카운트의 개수이고, 제2카운트는 사용자 또는 디바이스의 고유값이 서비스 서버(10)에 저장된 시점으로부터 경과된 단위 카운트 개수를 포함할 수 있다.

즉, 제1코드를 생성하는 제1함수는 제1카운트에 대응되는 특정한 코 드값을 제공하는 함수이고, 제2코드를 생성하는 제2함수는 제2카운트에 대응되는 특정한 코드값을 제공하는 함수이다.

이하에서는, 가상코드 검증 장치로서의 역할을 수행하는 서비스 서버(10)가 인증용 가상코드를 검증하는 방법에 대하여 구체적으로 설명하도록 한다.

본 개시의 일 실시예로, 서비스 서버(10)가 상기 사용자 단말(20)로부터 상기 인증용 가상코드를 수신하면, 상기 인증용 가상코드를 수신한 시간 데이터 및 상기 인증용 가상코드의 시간 데이터를 비교하여 상기 인증용 가상코드를 검증할 수 있다.

구체적으로, 서비스 서버(10)에서 인증용 가상코드가 정상적으로 생성된 것인지를 검증한다. 즉, 서비스 서버(10)는 인증용 가상코드를 수신한 후 서비스 서버(10)에 저장된 정보(즉, 가상코드 검증 함수 및 시드 데이터)를 바탕으로 상기 수신한 인증용 가상코드가 현 시점에 정상적으로 생성된 것인지를 확인하여 인증용 가상코드의 정상여부를 판단한다. 서비스 서버(10)는 인증용 가상코드에 가상코드 생성 함수의 역함수를 적용하여 인증용 가상코드가 생성된 시점에 상응하는 카운트를 찾아낸다. 인증용 가상코드의 전송시간이나 딜레이에 의해 인증용 가상코드가 생성된 시점과 서비스 서버(10)가 인증용 가상코드를 수신한 시점의 차이가 존재함에 따라 서비스 서버(10)가 인증용 가상코드를 수신한 카운트와 인증용 가상코드에 해당하는 OTP번호를 생성한 카운트가 일치하지 않을 수도 있으므로, 서비스 서버(10)는 인증용 가상코드를 수신한 카운트로부터 오차범위를 허용한다.

한편, 본 개시의 일 실시예로 서비스 서버(10)는 상기 인증용 가상코드를 기반으로 사용자 또는 디바이스의 고유값의 저장 위치를 탐색하여 상기 사용자 또는 디바이스의 고유값의 추출하고, 상기 추출한 고유값을 기반으로 사용자 또는 디바이스 인증을 수행할 수 있다.

도 3 및 도 7은 단계들을 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 3 및 도 7에 기재된 순서를 변경하여 실행하거나 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이므로, 도 3 및 도 7은 시계열적인 순서로 한정되는 것은 아니다.

한편, 상술한 설명에서, 도 3 및 도 7에 기재된 단계들은 본 개시의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다.

한편, 개시된 실시예들은 컴퓨터에 의해 실행 가능한 명령어를 저장하는 기록매체의 형태로 구현될 수 있다. 명령어는 프로그램 코드의 형태로 저장될 수 있으며, 프로세서에 의해 실행되었을 때, 프로그램 모듈을 생성하여 개시된 실시예들의 동작을 수행할 수 있다. 기록매체는 컴퓨터로 읽을 수 있는 기록매체로 구현될 수 있다.

컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터에 의하여 해독될 수 있는 명령어가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다.

이상에서와 같이 첨부된 도면을 참조하여 개시된 실시예들을 설명하였다. 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자는 본 개시의 기술적 사상이나 필수적인 특징을 변경하지 않고도, 개시된 실시예들과 다른 형태로 본 개시가 실시될 수 있음을 이해할 것이다. 개시된 실시예들은 예시적인 것이며, 한정적으로 해석되어서는 안 된다.

Claims

사용자의 단말과 통신을 수행하는 통신 모듈; 및

생체 정보 기반의 제1 인증을 통해 서비스 애플리케이션에 로그인이 완료된 상기 사용자 단말로부터 복수의 접근 요청이 순차적으로 수신되면, 상기 복수의 접근 요청 각각에 대해서 인증용 가상코드 기반의 제2 인증을 수행하고, 상기 제2 인증을 통해 상기 복수의 접근 요청 각각에 대해 정상적인 접근인지를 판단하는 프로세서;를 포함하고,

상기 접근 요청은, 거래 요청 시점에 발생되거나 주기적으로 발생되는,

인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 서비스 서버.
제1 항에 있어서,

상기 프로세서는, 상기 복수의 접근 요청 중 특정 접근 요청에 대해서 비정상적인 접근인 것으로 판단되면, 상기 판단된 시점에 상기 사용자 단말의 로그인 세션을 종료하고,

상기 시점 이후에 상기 사용자 단말로부터의 최초 접근에 대해서는 상기 제1 인증을 수행하는,

인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 서비스 서버.
제1 항에 있어서,

상기 프로세서는, 상기 복수의 접근 요청 중 특정 접근 요청에 대해서 정상적인 접근인 것으로 판단되면, 상기 특정 접근 요청에 포함된 거래 데이터를 기반으로 거래를 진행하는

인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 서비스 서버.
제1 항에 있어서,

상기 인증용 가상코드는, 상기 접근 요청의 수신 시점에 상기 사용자 단말과 연결된 IP 주소 데이터를 기반으로 상기 사용자 단말에서 생성되는,

인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 서비스 서버.
제1 항에 있어서,

상기 인증용 가상코드는, 상기 사용자 단말에 부여된 고유값을 기반으로 상기 사용자 단말에서 생성되고,

상기 고유값은, 상기 사용자 단말이 상기 서비스 애플리케이션에 등록 시 상기 프로세서에 의해 생성되거나 상기 사용자 단말에 의해 생성되는 것인,

인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 서비스 서버.
서비스 서버와 통신을 수행하는 통신 모듈; 및

서비스 애플리케이션에 로그인하기 위해 상기 서비스 서버로 생체 정보 기반의 제1 인증의 수행을 요청하고, 상기 로그인이 완료된 후 상기 서비스 서버로 복수의 접근 요청을 순차적으로 송신하되, 상기 복수의 접근 요청 각각에 대해서 인증용 가상코드 기반의 제2 인증의 수행을 요청하는 프로세서;를 포함하고,

상기 접근 요청은, 거래 요청 시점에 발생되거나 주기적으로 발생되는,

인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 사용자 단말.
제6 항에 있어서,

상기 제2 인증을 통해 상기 복수의 접근 요청 중 특정 접근 요청에 대해서 비정상적인 접근인 것으로 판단되면, 상기 판단된 시점에 상기 사용자 단말의 로그인 세션이 종료되고,

상기 프로세서는, 상기 시점 이후에 상기 서비스 서버로의 최초 접근에 대해서는 상기 서비스 서버로 상기 제1 인증의 수행을 요청하는,

인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 사용자 단말.
제6 항에 있어서,

상기 제2 인증을 통해 상기 복수의 접근 요청 중 특정 접근 요청에 대해서 정상적인 접근인 것으로 판단되면, 상기 특정 접근 요청에 포함된 거래 데이터를 기반으로 거래가 진행되는,

인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 사용자 단말.
제6 항에 있어서,

상기 프로세서는, 상기 접근 요청의 송신 시점에 상기 서비스 서버와 연결된 IP 주소 데이터를 기반으로 상기 인증용 가상코드를 생성하는,

인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 사용자 단말.
제6 항에 있어서,

상기 프로세서는, 상기 서비스 애플리케이션이 설치된 단말에 부여된 고유값을 기반으로 상기 인증용 가상코드를 생성하고,

상기 고유값은, 상기 서비스 애플리케이션에 등록 시 상기 서비스 서버에 의해 생성되거나 상기 프로세서에 의해 생성되는 것인,

인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 사용자 단말.