전자거래 안전성 강화 종합대책의 함정 !
정통부에서 “전자거래 안전성 강화 종합대책”을 발표했습니다. 보안카드의 안전성을 제고하는 방법으로 제시된 것이 2개 번호의 조합을 이용하는 방식인데요…
기존에는 “3번에 해당하는 값을 입력하세요”와 같은 질문을 던졌다면, 강화된 보안방식으로는 “3번의 앞 두자리와 35번의 뒤 두자리를 입력하세요”와 같은 질문을 던지게 됩니다.
정통부 고시 자료에 보면, 생성가능 경우의 수는 35*34 = 1190 으로 표시가 되어있습니다. 하지만, 이 계산은 질의값을 보내는 통신채널과 응답값이 전달되는 채널이 다른 경우에만 가능한 얘기입니다.
만약, 같은 채널을 사용하게 된다면, 경우의 수를 다시 계산해봅시다. (아래 표기에서 F는 보안카드의 네자리 숫자중 앞 두자리, S는 뒤 두자리를 의미합니다. 즉, F1은 첫번째 질의값에 해당하는 응답값의 앞 두자리를 의미합니다.)
(첫번째 질의값, 두번째 질의값, 첫번째 응답값, 두번째 응답값)의 형태로 표현하면,
(1, 2, F1, S2)
(1, 3, F1, S3)
…
(1, 35, F1, S35) -> 여기까지 F1과 S2~S35 값을 모두 알게됨
(2, 1, F2, S1) ( 이때 F2의 값을 알게되고, 첫번째 질의값이 2인 경우의 모든 값을 알 수 있음 (왜냐하면, 이전단계까지 S2~S35 값을 모두 알고 있으므로)
이후에는 (3, 1)인 경우, (4, 1)인 경우에만 알 수 없으므로 총 경우의 수는
첫번째 질의값이 1인 경우의 수 = 34개
첫번째 질의값이 2~35인 경우의 수 = 34개
즉, 총 경우의 수는 68개입니다. 따라서, 2개 번호를 조합하는 방식을 쓰는 경우에 경우의 수를 1190개로 만들려면, 질의값을 전송하는 채널과 응답값을 보내는 채널이 달라야합니다.
댓글 1개:
키로깅이 가능하다는 전제하에서 하지 말고 아예 키로깅이 불가능하도록 마우스를 이용한 "키보드 자판"을 플러그인으로 제공하는게^^ (자바스크립트용으로도 가능
댓글 쓰기