"마이크로소프트 10월호에 '해킹과 보안솔루션의 새로운 동향'이라는 커버스토리가 실렸습니다.
그 중 이니텍의 MOTP 주제 파트에서 OTP와 관련된 몇 가지 이야기를 하고 있는데, U-OTP를 직접 언급하진 않았지만 U-OTP의 서비스 내용과 많이 유사한 점이 있고, 오해가 있을 수 있는 부분이 있어 이곳에서 언급을 하려 합니다."
(♣ 참고로, 현재 모바일을 이용한 OTP솔루션을 제공하고 있는 곳(제작사 기준으로)은 에이티솔루션의 U-OTP, 이니텍의 MOTP, RSA의 SecureID, 그리고 최근에 서비스를 오픈한 WoW의 모바일인증기가 있습니다.
U-OTP의 경우 한게임, 엠게임, 넥슨, 싸이월드, T월드, 11번가에서 서비스되고 있으며, MOTP의 경우 십이지천, 던전앤파이터, 파천일검, NC소프트 등이 있습니다. RSA의 SecureID는 기업용으로 주로 제공되고 있으며, 최근에 WoW가 자체적으로 모바일인증기 서비스를 시작하였습니다.)
■ OTP생성 방식에 대하여..
① 마소에는 Time Sync방식의 OTP의 경우 유효시간동안 동일 OTP로 무제한 로그인이 가능하다는 취약점을 보고하고 있습니다.
② 하지만 현재 OTP솔루션 업체들은 Time Sync방식의 해당 취약점을 이미 알고 있으며, 이 취약점을 해결하기 위해 '연속인증거부'라고하는 운영방식을 적용합니다.
③ '연속인증거부'는 동일한 OTP번호에 대해 두 번 이상의 인증요청이 들어올 경우, 최초 1회 이후에는 인증을 거부하는 방식 또는 최초 1회 이후 유효시간안에 또 다른 인증요청이 들어올 경우 이를 거부하는 방식 등으로 운영됩니다.
④ 이렇게 Time Sync방식이 가지는 취약점을 보완하였기 때문에 금융권에서도 Time Sync방식이 채택되고 있습니다. (금융보안연구원 창간지(2007.1.8) "OTP통합인증센터에서 수용가능한 인증방식"에서 설명됨.)
⑤ 오히려, Time/Event Sync방식의 경우 Event방식이 적용되어 있어 유효시간 내에 Event가 발생할 때마다 생성되는 OTP값이 모두 유효하게 되는 문제가 있을 수 있습니다. 그래서 통상 Event방식을 함께 사용하는 시스템에서도 이런 취약점을 극복하고자 Event의 횟수(10회 정도?) 에 제한을 두어 무제한 사용되는 취약점을 해결하게 됩니다.
⑥ 이런 운영방식의 적용은 '사용자의 편의'와 'OTP솔루션이 가져야 하는 보안성'을 모두 만족시킬 수 있는 범위 내에서 각 솔루션 업체마다 나름의 노-하우를 가지고 운영되고 있습니다.
...다음에 계속 됩니다.
그 중 이니텍의 MOTP 주제 파트에서 OTP와 관련된 몇 가지 이야기를 하고 있는데, U-OTP를 직접 언급하진 않았지만 U-OTP의 서비스 내용과 많이 유사한 점이 있고, 오해가 있을 수 있는 부분이 있어 이곳에서 언급을 하려 합니다."
(♣ 참고로, 현재 모바일을 이용한 OTP솔루션을 제공하고 있는 곳(제작사 기준으로)은 에이티솔루션의 U-OTP, 이니텍의 MOTP, RSA의 SecureID, 그리고 최근에 서비스를 오픈한 WoW의 모바일인증기가 있습니다.
U-OTP의 경우 한게임, 엠게임, 넥슨, 싸이월드, T월드, 11번가에서 서비스되고 있으며, MOTP의 경우 십이지천, 던전앤파이터, 파천일검, NC소프트 등이 있습니다. RSA의 SecureID는 기업용으로 주로 제공되고 있으며, 최근에 WoW가 자체적으로 모바일인증기 서비스를 시작하였습니다.)
■ OTP생성 방식에 대하여..
① 마소에는 Time Sync방식의 OTP의 경우 유효시간동안 동일 OTP로 무제한 로그인이 가능하다는 취약점을 보고하고 있습니다.
② 하지만 현재 OTP솔루션 업체들은 Time Sync방식의 해당 취약점을 이미 알고 있으며, 이 취약점을 해결하기 위해 '연속인증거부'라고하는 운영방식을 적용합니다.
③ '연속인증거부'는 동일한 OTP번호에 대해 두 번 이상의 인증요청이 들어올 경우, 최초 1회 이후에는 인증을 거부하는 방식 또는 최초 1회 이후 유효시간안에 또 다른 인증요청이 들어올 경우 이를 거부하는 방식 등으로 운영됩니다.
④ 이렇게 Time Sync방식이 가지는 취약점을 보완하였기 때문에 금융권에서도 Time Sync방식이 채택되고 있습니다. (금융보안연구원 창간지(2007.1.8) "OTP통합인증센터에서 수용가능한 인증방식"에서 설명됨.)
⑤ 오히려, Time/Event Sync방식의 경우 Event방식이 적용되어 있어 유효시간 내에 Event가 발생할 때마다 생성되는 OTP값이 모두 유효하게 되는 문제가 있을 수 있습니다. 그래서 통상 Event방식을 함께 사용하는 시스템에서도 이런 취약점을 극복하고자 Event의 횟수(10회 정도?) 에 제한을 두어 무제한 사용되는 취약점을 해결하게 됩니다.
⑥ 이런 운영방식의 적용은 '사용자의 편의'와 'OTP솔루션이 가져야 하는 보안성'을 모두 만족시킬 수 있는 범위 내에서 각 솔루션 업체마다 나름의 노-하우를 가지고 운영되고 있습니다.
...다음에 계속 됩니다.
댓글을 달아 주세요
관리자만 볼 수 있는 댓글입니다.
안녕하세요. U-OTP 관리자입니다.
필요한 내용을 정확히 말씀해 주시거나, U-OTP 고객센터로 연락 주시면 도움을 드릴 수 있도록 하겠습니다.
-연락처 02-380-3738 ( 업무시간 - 평일 09:00~18:00 / 점심시간 12:00~13:00 )
감사합니다.
좋은글감사합니다 블로그로 퍼갑니다^^
관리자만 볼 수 있는 댓글입니다.
안녕하세요. U-OTP 관리자입니다.
event 방식의 OTP를 말씀하시는 것 같습니다. U-OTP에서 그럴 염려는 하지 않으셔도 됩니다.자세한 사항은 오른쪽에 메뉴 중 "about U-OTP"를 참고해 주시기 바랍니다.
감사합니다.