857 Journal of The Korea Institute of Information Security & Cryptology VOL.26, NO.4, Aug. 2016 ISSN 1598-3986(Print) ISSN 2288-2715(Online) http://dx.doi.org/10.13089/JKIISC.2016.26.4.857 가상 온스크린 키보드를 이용한 비밀번호 입력의 취약점 분석* 보 부 르, 1† 김 혜 진, 1 이 경 희, 2‡ 양 대 헌 1 1 인하대학교, 2 수원대학교 Analysis on Vulnerability of Password Entry Using Virtual Onscreen Keyboard* Bobur Shakirov, 1† Hyejin Kim, 1 KyungHee Lee, 2‡ DaeHun Nyang 1 1 Inha University, 2 The university of Suwon 요 약 패스워드 기반 인증 시스템은 키 로그 모니터링을 통한 정보 유출 사고에 위협받아 왔다. 최근, 이를 예방하기 위한 한 방안으로 화면 상 가상 키보드를 이용한 키 로깅 방지 방법이 널리 사용되고 있다. 그러나 이러한 가상 키보드 또한 중대한 취약점을 내포하고 있으며, 그 중 대표적인 약점은 마우스 커서의 자취 추적을 통해 쉽게 비밀번호와 같은 주요 정보가 드러날 수 있다는 점이다. 이에 본 논문에서는 가상 키보드의 취약점을 확인하고, 이를 공격할 수 있는 가상의 공격 시나리오와 패스워드를 도출하는 방법을 제시했다. 이 논문에서 제안하는 기법의 성능 입증을 위한 예시로, 한 가 상 키보드에 대한 공격과 패스워드 딕셔너리를 이용한 크래킹 실험을 진행하였고, 그 결과를 분석하였다. ABSTRACT It is a well-known fact that password based authentication system has been threatened for crucial data leakage through monitoring key log. Recently, to prevent this type of attack using keystroke logging, virtual onscreen keyboards are widely used as one of the solutions. The virtual keyboards, however, also have some crucial vulnerabilities and the major weak point is that important information, such as password, can be exposed by tracking the trajectory of the mouse cursor. Thus, in this paper, we discuss the vulnerabilities of the onscreen keyboard, and present hypothetical attack scenario and a method to crack passwords. Finally to evaluate the performance of the proposed scheme, we demonstrate an example experiment which includes attacking and cracking by utilizing password dictionary and analyze the result. Keywords: virtual keyboard, onscreen, password cracking I. Introduction * Since last few decades, the phenomenon Received(05. 02. 2016), Modified(07. 12. 2016), Accepted(08. 04. 2016) * 이 논문은 2016년도 정부(교육부)의 재원으로 한국연구재 단의 지원을 받아 수행된 기초연구사업임(2014R1A1A20 59852) †주저자, shbobur2@gmail.com ‡ 교신저자, khlee@suwon.ac.kr(Corresponding author) of e-commerce has been developing at high speed providing a variety of online services, such as online banking, online shopping, e-tickets, etc, to clients. However, attackers have been widely using Keyloggers to gather sensitive data and passwords of users in e-commerce. A significant number of personal computers used for online transactions also fueled