"마이크로소프트 10월호에 '해킹과 보안솔루션의 새로운 동향'이라는 커버스토리가 실렸습니다.
그 중 이니텍의 MOTP주제 파트에서 OTP와 관련된 몇 가지 이야기를 하고 있는데, U-OTP를 직접 언급하진 않았지만 실상은 U-OTP서비스를 대상으로 하였기에 오해가 있을 수 있는 부분이 있어 이곳에서 언급을 하려 합니다."
■ OTP는 어느 정도까지 믿을 수 있는가?
① 2006년 7월경, 미국 씨티은행에서는 OTP가 말그대로 뚫리는 "피싱"에 의한 해킹 사건이 발생합니다. (관련 내용 보기)
OTP의 경우 알고리즘 상으로, 그 일회용 비밀번호를 추측하는 방식은 수학적으로 불가능하다고 할 수 있습니다. 하지만 특정 알고리즘(Event 방식)의 경우 이런 피싱에 상당히 취약하다는 점을 보여주는 사건이었습니다.
Event방식에는 시간개념이 없으므로, 원리상으로는 오늘 생성한 OTP를 일주일 후에 (혹은 더 나중에) 사용해도 인증이 되기 때문이죠. Time/Event방식의 경우도 미국과 같은 경우는 우리나라(통상 1분)와는 달리 몇 분의 유효시간을 두는 곳이 많아 피싱에 성공할 시간적 여유가 더 생기게 된다는 점도 있었습니다.
② 이런 피싱 공격은 OTP라 할지라도 극복하기 어려운 취약점으로 볼 수 있습니다. (이는 OTP뿐만 아니라 웹 상에 정보를 입력해야 하는 경우 어떤 시스템도 극복하기 어려운 취약점인 것이라고 할 수 있습니다)
이에 대한 위험성을 줄이기 위해서는, 해커가 중간에서 OTP를 탈취하여 실제 사용자 모르게 로그인에 성공하기 까지의 시간을 줄이는 것이 하나의 해결책이 됩니다. (피싱 공격은 고도화된 '맨 인 더 미들(Man In the Middle)' 공격과는 좀 다르게 완전 자동화된 공격으로 연결되기는 힘들기 때문입니다)
③ U-OTP는 처음 금융권의 OTP와 마찬가지로 1분의 유효시간을 두는 것으로 개발이 시작되었습니다. 하지만 씨티은행의 사건과 국내외의 분석을 보면서, 30초라고 하는 시간까지 그 유효시간을 낮추게 됩니다.
시간을 너무 낮출 경우 정상적인 사용에 지장을 줄 수 있어 30초로 타협을 본 것이죠.
유효시간이 1분이면, U-OTP보다는 2배의 해킹 가능 시간을 보장해주는 것이며, 1분 30초라면 3배의 시간을 주는 것이라 할 수 있습니다.
④ 이렇듯 OTP는 몇 가지 취약점을 근본적으로 가지고 있긴 합니다. 시스템만 가지고서는 100%해결할 수 없는 부분인 것이죠. 오히려, "U-OTP 사용 10계명"에 나온 것처럼 "U-OTP의 생성 값은 '남은 시간'이 0초에 가까워 질 때 사용하게 되면, 좀 더 안전해질 수 있다"는 행동 수칙(?) 이나, 사이트의 패스워드는 OTP를 사용하고 있다 할지라도 주기적으로 바꿔주는 습관을 가지는 것이 OTP를 110% 잘 활용할 수 있는 방법이라 할 수 있을 것입니다.
■ 왜 휴대폰인가?
① 휴대폰을 OTP의 토큰으로 사용한 데에는 크게 2가지의 이유가 있습니다.
- OTP는 이중요소인증(Two-Factor Authentication)의 대표적인 예로 들 수 있는데요.. '내가 알고 있는 것(아이디/패스워드)'과 '가지고 있는 것(OTP토큰)'의 결합이죠. 이런 결합의 예로는 인터넷뱅킹을 할 때 사용하는 '보안카드'도 포함됩니다. 하지만 '보안카드'의 경우도 그 정보가 '고정'되어 있다는 단점으로 피싱이나 PC를 해킹하는 것과 같은 수단을 통해 수집(절취)을 할 경우 문제가 됩니다. 보안카드의 경우 지갑에 넣고 다니기가 불편하여 엑셀같은 곳에 저장해 두고 사용할 경우 그 엑셀 파일이 해킹툴에 의해 자신도 모르는 사이에 유출될 수 있는 것이죠. 하지만, OTP의 경우 말 그대로 일회용으로 사용된다는 점에서 좀 더 안전해지는 효과가 있습니다.
OTP는, PC상의 정보는 99.9% 노출(유출)될 수 있다는 가정을 하고 출발했다고 볼 수 있습니다. 은행에서 지급하는 OTP토큰과 같이 PC와는 물리적으로 분리된 매체에 정보가 담겨야 그나마 안전하다는 것이죠.
하지만 이런 OTP토큰은 (사용해 보신 분들은 아시겠지만) 가지고 다니기가 좀 불편한 점이 있습니다. 공급되는 가격도 문제가 되죠. (요즘 이런 가격의 문제나 이용율 문제로 OTP업계가 경영난에 어려움을 겪고 있다는 기사까지 나왔더군요.) 이런 이유로 U-OTP와 같이 휴대폰을 이용한 OTP가 나름 대안으로 나오게 된 것입니다.
그 중 이니텍의 MOTP주제 파트에서 OTP와 관련된 몇 가지 이야기를 하고 있는데, U-OTP를 직접 언급하진 않았지만 실상은 U-OTP서비스를 대상으로 하였기에 오해가 있을 수 있는 부분이 있어 이곳에서 언급을 하려 합니다."
■ OTP는 어느 정도까지 믿을 수 있는가?
① 2006년 7월경, 미국 씨티은행에서는 OTP가 말그대로 뚫리는 "피싱"에 의한 해킹 사건이 발생합니다. (관련 내용 보기)
OTP의 경우 알고리즘 상으로, 그 일회용 비밀번호를 추측하는 방식은 수학적으로 불가능하다고 할 수 있습니다. 하지만 특정 알고리즘(Event 방식)의 경우 이런 피싱에 상당히 취약하다는 점을 보여주는 사건이었습니다.
Event방식에는 시간개념이 없으므로, 원리상으로는 오늘 생성한 OTP를 일주일 후에 (혹은 더 나중에) 사용해도 인증이 되기 때문이죠. Time/Event방식의 경우도 미국과 같은 경우는 우리나라(통상 1분)와는 달리 몇 분의 유효시간을 두는 곳이 많아 피싱에 성공할 시간적 여유가 더 생기게 된다는 점도 있었습니다.
② 이런 피싱 공격은 OTP라 할지라도 극복하기 어려운 취약점으로 볼 수 있습니다. (이는 OTP뿐만 아니라 웹 상에 정보를 입력해야 하는 경우 어떤 시스템도 극복하기 어려운 취약점인 것이라고 할 수 있습니다)
이에 대한 위험성을 줄이기 위해서는, 해커가 중간에서 OTP를 탈취하여 실제 사용자 모르게 로그인에 성공하기 까지의 시간을 줄이는 것이 하나의 해결책이 됩니다. (피싱 공격은 고도화된 '맨 인 더 미들(Man In the Middle)' 공격과는 좀 다르게 완전 자동화된 공격으로 연결되기는 힘들기 때문입니다)
③ U-OTP는 처음 금융권의 OTP와 마찬가지로 1분의 유효시간을 두는 것으로 개발이 시작되었습니다. 하지만 씨티은행의 사건과 국내외의 분석을 보면서, 30초라고 하는 시간까지 그 유효시간을 낮추게 됩니다.
시간을 너무 낮출 경우 정상적인 사용에 지장을 줄 수 있어 30초로 타협을 본 것이죠.
유효시간이 1분이면, U-OTP보다는 2배의 해킹 가능 시간을 보장해주는 것이며, 1분 30초라면 3배의 시간을 주는 것이라 할 수 있습니다.
④ 이렇듯 OTP는 몇 가지 취약점을 근본적으로 가지고 있긴 합니다. 시스템만 가지고서는 100%해결할 수 없는 부분인 것이죠. 오히려, "U-OTP 사용 10계명"에 나온 것처럼 "U-OTP의 생성 값은 '남은 시간'이 0초에 가까워 질 때 사용하게 되면, 좀 더 안전해질 수 있다"는 행동 수칙(?) 이나, 사이트의 패스워드는 OTP를 사용하고 있다 할지라도 주기적으로 바꿔주는 습관을 가지는 것이 OTP를 110% 잘 활용할 수 있는 방법이라 할 수 있을 것입니다.
■ 왜 휴대폰인가?
① 휴대폰을 OTP의 토큰으로 사용한 데에는 크게 2가지의 이유가 있습니다.
- OTP는 이중요소인증(Two-Factor Authentication)의 대표적인 예로 들 수 있는데요.. '내가 알고 있는 것(아이디/패스워드)'과 '가지고 있는 것(OTP토큰)'의 결합이죠. 이런 결합의 예로는 인터넷뱅킹을 할 때 사용하는 '보안카드'도 포함됩니다. 하지만 '보안카드'의 경우도 그 정보가 '고정'되어 있다는 단점으로 피싱이나 PC를 해킹하는 것과 같은 수단을 통해 수집(절취)을 할 경우 문제가 됩니다. 보안카드의 경우 지갑에 넣고 다니기가 불편하여 엑셀같은 곳에 저장해 두고 사용할 경우 그 엑셀 파일이 해킹툴에 의해 자신도 모르는 사이에 유출될 수 있는 것이죠. 하지만, OTP의 경우 말 그대로 일회용으로 사용된다는 점에서 좀 더 안전해지는 효과가 있습니다.
OTP는, PC상의 정보는 99.9% 노출(유출)될 수 있다는 가정을 하고 출발했다고 볼 수 있습니다. 은행에서 지급하는 OTP토큰과 같이 PC와는 물리적으로 분리된 매체에 정보가 담겨야 그나마 안전하다는 것이죠.
하지만 이런 OTP토큰은 (사용해 보신 분들은 아시겠지만) 가지고 다니기가 좀 불편한 점이 있습니다. 공급되는 가격도 문제가 되죠. (요즘 이런 가격의 문제나 이용율 문제로 OTP업계가 경영난에 어려움을 겪고 있다는 기사까지 나왔더군요.) 이런 이유로 U-OTP와 같이 휴대폰을 이용한 OTP가 나름 대안으로 나오게 된 것입니다.
댓글을 달아 주세요
퍼가용~ (퍼가도 되나.. ;;;)
감사히 읽고갑니다.
U-OTP에 대한 궁금증이 어느덧 풀렸네요..^^