1. OTP(One Time Password)정의
– 시스템에서 사용자 인증을 위한 방법 중 하나로 매 세션마다 다른 패스워드를 사용
– 일정시간마다 비밀번호 변경을 통해 스니핑,스푸핑등 해킹기술에 대응하는 기술
2. OTP 개발배경
-사용자 ID와 정적인 비밀번호는 낮은 단계의 보안 수준으로 손쉽게 유출되는 단점이 있음
-End-point 보안을 위한 사용자 ID와 비밀번호 관리의 중요성이 부각됨에 따라 OTP 등장
3. OTP 개념과 원리
가. OTP 개념도
나. OTP 원리
– OTP생성 프로그램에 비밀키와 시퀸스 카운터를 입력
– 해쉬 알고리즘으로 암호화하고 OTP생성
– 사용자와 서버가 OTP생성기를 가져야 함
– 해커가 스니핑등을 이용하여 패스워드를 가로채더라도 계속 사용 불가
4. OTP 생성방식의 종류
질의응답 방식 시간동기화 방식
사용자가 로그인하면 서버는 Challenge Message를 사용자측에 전달- 사용자는 PIN과 Challenge를 이용, OTP를 생성하여 응답함- 서버는 동일한 Challenge와 등록된 사용자 정보를 이용해 OTP 생성- 사용자의 Response와 비교하여 사용자 인증 제공- 사용의 불편함으로 지금은 거의 사용되지 않고 있음
시간을 기준으로 One Time Password를 동기화- OTP 인증서버의 시간과 하드웨어 토큰의 시간을 기준으로 동기화함- 하드웨어 토큰은 항상 켜져 있으며,일정시간 단위로 Password가 지속적으로 변동되어 표시됨
이벤트동기화 방식
OTP 서버와 OTP 토큰 내부 자체 접속 카운터에 의해 동기화- 카운터 인터벌은 정해져 있지 않음- OTP생성 버튼을 누르면 패스워드를 바로 이용할 수 있음- 카운터 동기 오차로 인한 보상을 위해Window Margin를 가짐
<남태현 SBS 편집위원>
