I. 신원 확인 및 검증, Challenge-Response 방식의 개념
- 신원 확인을 위해 검증자가 먼저 Challenge, 사용자 Response를 통해 사용자 식별 방식
- ID/PW 방식의 취약점 개선 위해 OTP기반 신원확인에 활용
II. Challenge-Response 메커니즘 및 OTP 생성 방식 유형
가. Challenge-Response 메커니즘
| 항목 | 상세 내용 | |
|---|---|---|
| 동작 개념도 | ||
| ① | 인증 요청 | 인증 위해 User ID 서버 전송 |
| ② | Challenge 생성 | User ID 검증 및 난수 생성 |
| ③ | Challenge 전송 | 서버 → 사용자, 난수 전송 |
| ④, ⑤ | Response 생성 | 양측 난수 대칭키 암호화, 생성 |
| ⑥ | Response 전송 | 사용자 → 서버, 암호화 난수 |
| ⑦ | 인증 여부 결정 | 수신난수와 생성난수 비교 검증 |
나. OTP 생성 방식 유형
| 방식 | 개념 | 절차 |
|---|---|---|
| 시간 동기화 | 난수 대신 시간을 입력값으로 사용 | ① 자체 시간 기반 OTP입력 ② 서버 시간 기준 검증 |
| 이벤트 동기화 | 동일 카운트 값 기준 비밀번호 | ① 토큰 내부 이벤트 정보 ② 서버 자체 이벤트 검증 |
| 시간-이벤트 조합 | OTP 입력값 시간 카운터 모두 사용 | ① 토큰 내부 시간-이벤트 ② 서버 시간-이벤트 검증 |
III. Challenge-Response 방식의 보안성 제고 방안
| 구분 | 구성요소 | 설명 |
|---|---|---|
| 추가 인증 | 2-Factor 인증 | – 지식, 소유, 생체, 특성 중 2가지 |
| 2-Channel 인증 | – 서비스 채널과 인증 채널 분리 | |
| OTP 개선 | 스마트 OTP | – IC 칩 탑재 스마트카드 NFC 탑재 스마트폰에 태깅 |
- 미국 RSA사 OTP 해킹 및 디아블로3 유저계정 해킹이 발생하여 안정성 논란 발생