지식기반인증과 소유기반인증, 패스워드 공격 유형, OTP

 

 

 

 

 

 

 

Type 1. 지식 기반 인증

 

지식기반인증은 사용자가 알고 있는 정보에 의존하는 인증기법입니다. 장점으로는 다양한 분야에서 사용이 가능하며 검증이 확실하다는 점이 있습니다. 또 관리비용이 저렴하며 몸에 지니고 다니지 않아도 되니 편리합니다. 그러나 단점도 존재합니다. 소유자가 패스워드를 까먹을 수 있습니다. 이것은 나중에 설명할 SSO의 등장 배경이 됩니다. 또 추측공격이 가능하여 공격자에게 해킹당할 위험이 있습니다. 여러 사회공학적 공격에 취약하기도 합니다. 사회공학적 공격이란 컴퓨터 공격 기술이 아닌 사람들간의 신뢰를 이용하여 정보를 획득하는 해킹 방법입니다. 사용자가 주의깊게 관리를 해야하는 부분도 존재합니다. 

 

패스워드 공격 유형

 

지식 기반 인증 정보를 탈취할 때 사용하는 여러가지 패스워드 공격 유형에 대하여 알아보겠습니다.

사전공격(Dictionary Attacks) : 패스워드 모음인 사전 파일(dictionary)를 이용하여 패스워드를 알아내는 해킹 방법입니다. 대응책으로는 salt사용이 있습니다. 솔트란 단방향 해시함수에서 다이제스트를 생성할 경우 추가되는 바이트 단위로 구성된 임의의 문자열입니다.

무차별공격 (Brute Force Attacks) : 계속적인 문자 조합으로 일치되는 패스워드를 찾는 방법이다. 대문자 26개와 소문자 26개, 숫자 10개, 특수문자 18개의 조합을 사용하여 패스워드를 찾아내는 방법입니다. 대응책으로는 Clipping Level, Delay Time 등이 있습니다. 

백도어 (Backdoor) : 시스템에 트로이 목마 등을 설치하여 키보드 입력을 후킹(Hooking)하는 방법입니다. (키로거 공격)

사회공학 (Social Engineering) : 신뢰관계나 개인의 심리를 이용한 공격기법으로 일반적으로 패스워드는 알아내는 방법입니다.

스니핑 (Sniffing) : 네트워크 상에서 평문(Plain Text) 패스워드를 훔치는 방법입니다.

패스워드 파일 접근 : 인증서버에 존재하는 패스워드 파일에는 수많은 패스워드가 저장되어 있습니다. 이 파일이 조작될 경우 손실이 아주 큽니다. 대응책으로는 접근통제 매커니즘이나 암호화 등이 있습니다. 

 

Type 2. 소유 기반 인증

 

소유기반인증은 실생활에서 사용하는 다양한 매체를 사용자 인증 방법으로 활용하는 것입니다. 장점으로는 다양한 수단을 사용하기 때문에 일반적입니다. 또 비용 측면에서 생체 인식방식보다 더 경제적입니다. 단점으로는 인증 매체가 사용이 불가능한 경우에 인증이 불가능합니다. 소유 기반 인증이기 때문에 소유물이 없을 경우 인증이 어렵습니다. 소유물이기 때문에 복제가 가능한 위험성도 있습니다. 사회 공학적 공격이 가능합니다. 

 

소유 기반 인증의 종류로는 메모리카드와 스마트카드, 일회용 패스워드가 있습니다. 메모리 카드는 정보를 저장할 수 있지만 처리는 불가능합니다. 스마트카드는 메모리카드보다 발전된 기술로 실질적으로 정보를 처리할 수 있습니다다. 일회용 패스워드는 OTP, One-Time Password라고도 불리며 OTP용 프로그램에서 사용자 비밀번호와 일회용 비밀번호 생성용 입력값을 입력하면 암호 알고리즘을 사용해서 일회용 패스워드를 생성하는 사용자 인증 방법입니다.

 

 

OTP 비동기화 방식과 동기화 방식의 차이점

 

OTP에 대해 더 자세히 알아보도록 하겠습니다. OTP는 비동기화 방식과 동기화 방식이 있습니다.

비동기화 방식은 시도응답 방식, 즉 Challenge Response 방식으로 인증서버가 사용자에게 challenge나 nonce라고 부르는 임의값을 보내는 시도를 합니다. 사용자는 임의의 값을 토큰장치에 입력하고 토큰장치는 사용자에게 일회용 패스워드로 값을 돌려줍니다. 사용자는 OTP와 사용자 이름을 인증 서버로 전송하고 인증서버는 이전에 보낸 값과 동일하면 사용자를 인증합니다. OTP 입력은 은행에서 전달받은 임의의 남수를 사용자가 직접 입력합니다. 비동기화 방식의 장점은 비교적 구조가 간단하며 OTP 생성 매체와 인증서버 간 동기화가 필요 없습니다. 단점으로는 사용자가 질의 값을 직접 입력해야 하므로 사용이 번거롭다는 점이 있습니다.

 

동기화 방식에서는 동기화 토큰장치의 인증과정 즉 시간 혹은 계수기를 이용한 인증서비스와 동기화가 핵심입니다. 토큰장치와 인증서비스는 반드시 동일한 비밀키를 공유하여 암,복호화에 사용됩니다. 동기화 방식에는 시간 동기화 방식과 이벤트 동기화 방식 두 가지가 있습니다. 시간 동기화 방식은 토큰장치와 비밀키에 나타나는 시간값은 OTP를 생성하는데 사용합니다. 사용자가 생성한 값과 ID를 컴ㅁ퓨터에 입력합니다. 이벤트 동기화 방식은 사용자가 토큰장치의 버튼을 누르면 다음 인증값이 나타나는 방식입니다. 인증값과 비밀키는 해시되어 사용자에게 보여지고 사용자는 이 결과값과 ID를 입력합니다.