최근 대다수의 국내 은행들은 스마트폰뱅킹 서비스를 제공한다. 스마트폰뱅킹을 이용하기 위해서는 PC에 보관된 공인인증서와 개인키를 스마트폰으로 복사해야 한다. 하지만 사용자가 USB 케이블을 이용해 PC에서 스마트폰으로 직접 복사하는 방법은 편의성이 떨어지기 때문에 이를 해결하기 위해 다수의 보안 솔루션 기업은 중개서버를 두어 공인인증서를 복사해주는 방법을 택하고 있다. 이 논문에서는 공인인증서 복사 프로토콜의 보안성을 분석하고 이를 토대로 한 공격을 보인다. 우리는 네트워크 도청을 통해 사용자의 공인인증서와 개인키를 추출할 수 있었다. 또한, 공인인증서를 안전하게 복사하기 위한 방법을 모색한다.
Most of banks in Korea provide smartphone banking services. To use the banking service, public key certificates with private keys, which are stored in personal computers, should be installed in smartphones. Many banks provides intermediate servers that relay certificates to smartphones over the Internet, because the transferring certificates via USB cable is inconvenient. In this paper, we analyze the certificate transfer protocol between personal computer and smartphone, and consider a possible attack based on the results of the analysis. We were successfully able to extract a public key certificate and password-protected private key from encrypted data packets. In addition, we discuss several solutions to transfer public key certificates from personal computers to smartphones safely.
