[감리사] [2021년 기출풀이] [보안] 102번

102. OTP(One-Time Password)는 고정된 비밀번호 대신 일회용으로 생성되는 패스워드를 사용하는 사용자 인증 방식이다. 다음 설명에 해당하는 OTP 생성 방식으로 가장 적절한 것은?

서버에서 난수 생성 등을 통해 임의의 수를 생성하고 클라이언트에 임의의 수를 전송하게 된다. 클라이언트는 전송받은 임의의 수를 사용하여 OTP를 생성하여 사용한다.

 

① S/KEY 방식

② 시간 동기화 방식

③ 도전-응답 방식

④ 이벤트 동기화 방식

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[해설]

▣ OTP(One Time Password)

1) 기본 개념

• 일회용 비밀번호로 한 번 사용된 OTP는 다시 사용할 수 없으며 같은 비밀번호가 생성되지 않는 인증 수단

2) 생성 및 인증 방식

구분		설명	장/단점
비동기식 (Async)	S/KEY 방식	•    벨 통신 연구소에서 개발한 OTP 생성 방식으로 유닉스 계열 운영 체제에서 인증에 사용 •    해시 체인에 기반, 해시 함수의 역연산을 하기 어렵다는 점 이용	[장점] •  안전성이 높음 •  사용자, 서버 양뱡향 인증   [단점] •  복잡한 인증 절차로 속도 느림
	도전-응답 방식	•    서버에서 난수 생성 등을 통해 임의의 수를 생성하고 클라이언트에 그 값을 전송 •    클라이언트가 그 값으로 OTP를 생성해 응답한 값으로 인증하는 방식
동기식 (Sync)	시간 동기화 방식	•    OTP를 생성하기 위해 사용하는 입력 값으로 시각을 사용하는 방식	[장점] •  간편, 속도빠름   [단점] •  사용자→서버 단방향 인증
	이벤트 동기화 방식	•    서버와 클라이언트가 카운트 값을 동일하게 증가시켜 가며, 해당 카운트 값을 입력값으로 OTP를 생성해 인증하는 방식

 

 

S/KEY 방식

시도/응답 방식

 

동기식 방식

 

 

 

[관련 기출] – 정보시스템 감리사 2017년

101. 일회용 비밀번호(OTP: One-Time Password)에 대한 설명으로 가장 적절한 것은?

① 벨 연구소(Bell Lab.)에서 개발한 S/KEY 방식은 유닉스 계열 운영체제의 인증에 사용된다.

② 생성되어 한번 사용된 인증 값이 노출되는 경우 재사용이 가능하다.

③ 이벤트 동기화 방식은 OTP를 생성하기 위해 입력 값으로 시각을 사용하는 방식이다.

④ 도전-응답(challenge-response) 방식은 OTP를 생성 하기 위해 카운트 값을 동일하게 증가시켜 입력 하는 방식이다.

④ 완성된 소프트웨어를 역으로 분석하는 방법이다.