모바일 센서 데이터 기반의 PIN과 사용자 접촉식별

전문가 제언

○ W3C 규격에서 모바일 브라우저는 사용자의 승인 없이 웹페이지에서 움직임 및 지향성 센서 데이터를 액세스하기 위해 자바스크립트를 허용하고 있지만 사용자 보안에 관련된 위험은 고려되지 않고 있다. 사용자 브라우저를 경유하는 센서 데이터 사용 시에는 사용자 보안을 고려할 필요가 있으며 움직임 및 지향성 센서 데이터 액세스에 관한 자바스크립트의 코드 승인 정책, 모바일 운영체제 플랫폼 기반의 다양한 브라우저에 관해서 검토할 필요가 있다.

 

○ 결과적으로 W3C의 표준과 모바일 운영체제, 사용자 보안에 관한 브라우저 액세스 제어 정책에 주요단점이 있음을 알 수 있다. 결국 보안과 사용성 간의 균형을 맞추기 위한 대책으로서 센서 데이터 액세스를 위한 효과적인 사용자 통보와 제어구조가 모바일 운영체제와 모바일 브라우저에서 구현되는 것을 제시하고 있음은 바람직하나 보안유지를 위한 구체적인 구현방법에 관한 연구 검토를 해야 한다.

 

○ 모바일 단말의 90% 이상이 터치서명과 개인 식별번호로 인증절차가 이루어지고 있다. 그러나 스미싱이나 악성 앱과 같은 위협으로 보안 유출 사고가 반복적으로 발생하고 있어. 모바일 웹 브라우저 상에서 이루어지는 센싱 데이터 입력에 대한 인증정보 노출 및 패스워드 취약성이 보안의 근본적인 문제점으로 대두되고 있다.

 

○ 보안유지를 위해서는 모바일 브라우저와 모바일 운영체제에서 센서 데이터 액세스 제어구조가 설계되어 함께 이루어져야 한다. 즉, 부트메모리 내에 신뢰성 확보를 위한 암호 키 구현과 모바일 운영체제 내에 보안 부팅 프로세스를 내장시켜 웹 브라우저와 운영체제 간의 센서 데이터 액세스를 위한 제어구조 기반의 서명 확인 절차가 이루어지도록 설계되어야 할 것이다. 그러나 모바일기기 운영체제 전문가, 보안전문가, 웹 브라우저 설계전문가 양성을 위한 연구개발 투자가 지속적으로 이루어져야 할 것이며 공동 연구개발센터 등의 운영방식도 바람직하다.

저자

Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti, Feng Hao

자료유형

니즈학술정보

원문언어

영어

기업산업분류

정보통신

연도

2016

권(호)

26()

잡지명

Security Journal

과학기술
표준분류

정보통신

페이지

23~38

분석자

조*팔

분석물

• 모바일 센서 데이터 기반의 PIN과 사용자 접촉식별.pdf [483,344 byte]

이미지변환중입니다.