문) OTP
답)
1. 아이디 도용 방지를 위한 OTP의 개요
가. OTP(One Time Password)의 정의
- 정적인 비밀번호 취약점 개선. 필요시 비밀번호를 생성하여 서버의 임의 비밀번호와 비교를 통해 사용자 검증 기술
나. OTP의 필요성
- 취약한 비밀번호 : 유추 가능 단어 조합 비밀번호, 짧은 비밀번호 도용
- 개인 식별 보안 강화 : 비밀번호 + OTP통한 본인 인증 신뢰도 향상
2. OTP의 종류 및 주요 기술
가. OTP의 종류
1) 시간동기화 : 분 단위의 1회용 비밀번호 생성 매커니즘 이용
OTP 토큰과 서버와 시간 동기화 필요. 예)RSA SecureID, 디지패스
2) Event 동기화 : 토큰의 클릭 횟수에 따라 임시 비밀번호 생성
별도의 이벤트 생성 난수 동기화 필요. 대표사례)HW토큰, SEED 동기화 필요
3) 질의응답방식 : 서버의 Challenge에 대한 응답으로 식별
난수표나 암호표를 이용한 질의에 대한 응답 입력하는 불편
예)금융권의 시크릿카드, 보안토큰 카드
나. OTP의 주요기술(동작방식/동기화 메커니즘의 그림도 가능)
- TempProof : 자기보호 기능, 분해나 불법 접근시 클리어 또는 파손
- 동기화 : 시간, Event 재동기화 기술, 갭 확인 알고리즘, 서버 갭 보관
- 키 생성 : 난수/1회용 암호 생성 위한 Key보관 및 생성기술
3. OTP 활용의 고려사항 및 전망
가. OTP 전송과 매체는 동일 기기 활용 불가함. 기술적 보완 통한 휴대기기의 OTP활용 방안 보완 필요
나. OTP 인증센터의 ITSM인증을 통해 OTP의 공신력 및 신뢰도 향상 베터리 한계 극복 위한 저전력 및 자연 에너지 활용 필요.
끝.
