이용 PC 지정 서비스의 안전성 평가방법 연구

Abstract

이용 PC 지정 서비스는 기존의 인증방식에서 발생하는 인증정보의 노출과 같은 한계점을 극복하 고자 장치의 고유한 정보를 기반으로 디바이스를 인증하는 기술이며, 이를 통하여 더욱 안전하게 사 용자를 인증한다. 하지만 이러한 장점에도 불구하고 이용 PC 지정 서비스에 대한 안전성 평가는 부 재한 실정이며, 안전성을 평가하기 위한 연구가 시급하다. 따라서, 본 논문은 이용 PC 지정 서비스 의 보안에 필요한 요구사항들을 분석하였으며, 도출한 보안 요구사항을 기반으로 안전성 평가방법을 도출함으로써 이용 PC 지정 서비스에 대한 안전성 평가를 원하는 도입자와 이를 평가하는 평가자 입장에서 필요한 항목을 서술하였다. 이를 위하여, 이용 PC 지정 서비스의 동작과정을 상세히 분석 하고, 그 결과를 기반으로 발생 가능한 공격 시나리오를 도출하였다. 도출된 공격 시나리오를 토대 로, 이용 PC 지정 서비스의 안전성을 평가하기 위한 방법을 프로세스, 네트워크, 소프트웨어 모듈, 단말 영역 환경으로 분류하였으며, 각각의 보안 요구사항, 평가방법, 그리고 평가방법의 일례를 도 출하였다. 평가방법은 총 4개의 영역, 18개의 공격 및 공격에 대한 보안 요구사항, 49개의 평가방 법 일례를 상세히 도출하였으며, 이를 기반으로 이용 PC 지정 서비스의 핵심적인 기술 중 일부분인 하드웨어 직접제어 방지와 역공학 방지에 대한 평가방법 및 탐지 일례를 개념검증도구를 구현하여 그 실효성을 검증하였다. 특히, 도출한 평가방법은 집과 사무실 등에서 주로 인증을 요구하는 업무 를 처리하는 PC, 그리고 스마트폰, 태블릿과 같이 사용자가 주로 사용하고 공간에 제약받지 않는 단말에 적용이 가능할 것으로 사료됩니다.

In this paper, we analyze security requirements for the designated PC solution and describe security criteria for a adopter or an assessor who wants to assess the security of the designated PC solution by security assessment methods based on analyzed security requirements. Based on analyzed results, we verify the security of the designated PC solution by the implemented proof-of-concept tool, for example, a prevention method of hardware direct control and a prevention method of reverse engineering, which are parts of the key techniques of the designated PC solution