Review of KIISC (정보보호학회지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지

전자금융거래에서의 문서변조 취약점 분석 및 대응방법 고찰

  • 맹영재 (인하대학교 정보공학과 정보보호연구실) ;
  • 신동오 (인하대학교 정보공학과 정보보호연구실) ;
  • 김성호 (인하대학교 정보통신대학원) ;
  • 양대헌 (인하대학교 정보공학과 정보보호연구실)
  • Published : 2010.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

전자금융거래는 사용자의 컴퓨터에 악성 프로그램이 설치될 수 있다는 환경에서도 신뢰성 있는 서비스가 요구된다. 하지만 국내의 전자금융거래는 아직까지 MITB(Man-In-The-Browser)공격에 취약한 상태이다. 이 논문에서는 MITB 공격의 동작원리와 그 대응방법에 대해 논의하며, 이를 바탕으로 QR코드를 활용한 승인방법을 제안한다.

Keywords

References

  1. 김성호, 강전일, 김기태, 양대헌, "문맥 기반의 캡차를 이용한 신뢰성 있는 인터넷 계좌 이체 방법", 한국정보보호학회 동계학술대회, 제 19권 제 2호, 319-323, 2009
  2. 임형진, 이정근, 김문성, "안전한 인터넷 뱅킹을 위한 트랜잭션 서명기법에 관한 연구", 인터넷정보학회논문지, 제9권, 제6호, 73-79, 2008
  3. 한국은행, "2010년 2/4분기 국내 인터넷뱅킹서비스 이용현황", http://bok.or.kr/contents/total/ko/boardView.action?boardBean.categorycd=0&boardBean.sdt=&boardBean.edt=&boardBean.searchColumn=title&boardBean.searchValue=&menuNaviId=559&boardBean.menuid=559&boardBean.brdid=72506&boardBean.rnum=24&boardBean.cPage=3, 2010
  4. 한국통신사업자연합회, http://stat.ktoa.or.kr/default_client.asp, 2010
  5. A. Hiltgen, T. Kramp and T. Weigold, "Secure Internet Banking Authentication", IEEE Security and Privacy, 2006
  6. D. Sharek, C. Swofford and M. Wogalter, "Failure to Recognize Fake Internet Popup Warning Messages", PROCEEDINGS of the HUMAN FACTORS AND ERGONOMICS SOCIETY 52nd ANNUAL MEETING, 557-560, 2008
  7. D.J. Steeves and M.W. Snyder, "Secure online transactions using a CAPTCHA image as a watermark", US 2007/0005500 A1, US Patent, Jan. 2007
  8. Guhring Philipp (2007). "Concepts against Man-in-the-Browser Attacks". http://www2.futureware.at/svn/sourcerer/CAcert/SecureClient.pdf
  9. NVHServer, http://www.nvhserver.com/
  10. Obfuscated code, http://en.wikipedia.org/wiki/Obfuscated_code
  11. P. d. Barros and Augusto, "O futuro dos backdoorsopior dos mundos", http://www.paesdebarros.com.br/backdoors.pdf, 2005
  12. QR code. http://en.wikipedia.org/wiki/QR_Code
  13. R.A. Gopalakrishna, "Authentication using a turing test to block automated attacks", US 2009/0199272 A1, US Patent, Aug. 2009
  14. ZTIC, http://www.zurich.ibm.com/ztic/