소프트웨어 기반의 OTP 생성방법에 관한 연구

보안이 요구되는 인간과 컴퓨터 사이의 상호작용에 있어서 가장 먼저 거쳐야 하는 과정은 사용자 인증이다. 따라서 사용자는 가장 먼저 사용자 인증 과정에서 HCI의 중요한 목적 중 하나인 사용성(usability)을 평가하게 되며, 이러한 이유로 사용자 인증은 HCI 보안에 있어서 중요한 역할을 하게 된다. 가장 일반적이고 보편적으로 사용되는 사용자 인증방법은 패스워드를 통한 사용자 인증방법이다. 하지만 일반적인 패스워드 인증방법의 경우 사용자가 패스워드를 입력하는 것을 어깨너머로 훔쳐보는 숄더-서핑(shoulder-surfing)공격에 취약한 점, 네트워크상에 흘러가는 정보를 수집해 패스워드를 알아내는 스니핑(sniffing) 공격에 취약한 점, 입력장치에 의해 입력된 값을 통해 패스워드를 알아내는 키로깅(key-logging) 공격에 취약한 점 등의 보안상 취약한 문제점들을 가지고 있다. 이러한 문제점들로 인하여, 강한 보안을 필요로 하는 인터넷 뱅킹과 같은 곳에서는 패스워드에 보안카드, OTP(One Time Password)와 같은 소유기반의 인증 매체들을 결합한 다중요소 사용자 인증의 형태를 취하게 되며, 이 중에서도 일회용 패스워드인 OTP는 가장 강력한 사용자 인증방법의 하나로써 주목받고 있다. 하지만 일반적인 OTP 인증 방법은 사용자에게 기본적으로 OTP token으로 불리는 OTP 생성기를 요구하게 되며, 이로 인한 휴대성, 비용, 유지보수, 분실과 같은 문제점들을 발생시킨다. 이에 대한 대안으로써 OTP token 없이 소프트웨어 적으로 OTP를 생성하고자하는 연구가 이루어지고 있으며, 이러한 OTP 생성방식들을 Tokenless OTP라고 부른다. 본 논문에서는 이러한 Tokenless OTP에 관한 연구 동향들을 살펴보고, 새로운 Tokenless OTP 생성방법에 대해서 제안하고자 한다.