情報保護學會論文誌 第 21 卷 第 6 號, 2011. 12 MITM 공격과 리버스 엔지니어링을 이용한 OTP 적용환경의 취약점 연구*  병 탁, † 김 휘  ‡ 려대학교 정보보호대학원 A study on the vulnerability of OTP implementation by using MITM attack and reverse engineering* Byung-Tak Kang, † Huy Kang Kim ‡ Graduate School of Information Security, Korea University 요 약 OTP (One Time Password) 인증방식은 국내 금융래나 포털 및 온라인임 은 인터넷 서비스에서 정 보안을 위한 수단으로 널리 이용되 있다. OTP 는 국내 금융 래 시 1등급 보안수단으로 지정될 만큼 보안성을 인 정받 있으나, OTP 인증을 구현한 서비스를 대상으로 한 다양한 해킹 방법들 역시 존재한다. 이러한 해킹 방법들은 대부분 OTP 알리즘 자체의 함을 찾아내어 하기보다는 OTP 인증방식을 구현한 방식이나 환에 따라 발생 가능한 취약점을 이용하는 이 일반적인데, 이 논문에서는 MITM (Man-in-the-Middle)  이 기존에 알 려져 있던 OTP 기반 인증방식을 대상으로 한 해킹기법 및 리버스 엔지니어링(Reverse Engineering)을 이용한 해 킹 방법들에 대해 논의하, 이에 대한 해방안을 제시하도록 한다. ABSTRACT OTP (One Time Password) is widely used for protecting accounts on Internet banking, portal services and online game services in Korea. OTP is very strong method for enforcing account security but there ar * e several ways for exploiting vulnerabilities caused by implementation errors. These attacks can work because of the weakness from OTP enabled system’s vulnerabilities, not for OTP’s algorithm itself. In this paper, we present the known attack scenarios such as MITM (Man-in-the-Middle) attack and various reverse engineering techniques; also, we show the test result of the attacks and countermeasures for these attacks. Keywords: OTP, Malware, Reverse Engineering, MITM attack, Internet Banking 접수일(2011년 3월 12일), 수정일(2011년 6월 4일), 재확정일(2011년 8월 1일) * 본 연구는 지식제부 및 정보통신산업진흥원의 대학 IT 연구센터 육성·지원사업의 연구로 수행되었음 (NIPA-2011-C1090-1001-0004) †주저자, window31@korea.ac.kr ‡교신저자, cenda@korea.ac.kr I. 서 론 최근 인터넷뱅킹, 포털 서비스, 온라인임서비스 등 다양한 인터넷 서비스 제자들이 들의 정 정보를 보호하기 위해 많은 보안 메커니즘을 적용하며 정도용방지에 노력을 기울이 있지만, 사용자 PC 에 설치되는 신종 키로(keylogger)나 지속적으로 발전하는 해킹 방법에 의하여 정정보가 유출되는 위