암호화 기법을 이용한 POS 시스템 보안강화
A POS System security enhancement using encryption
- 발행기관 서강대학교 정보통신대학원
- 지도교수 장직현
- 발행년도 2012
- 학위수여년월 2012. 2
- 학위명 석사
- 학과 및 전공 정보통신대학원 정보처리
- 실제URI http://www.dcollection.net/handler/sogang/000000047461
- 본문언어 한국어
- 저작권 서강대학교 논문은 저작원 보호를 받습니다.
초록/요약
POS 시스템의 개인신용정보 보호에 대한 보안연구 및 적용이 미흡한 상태이다. POS 시스템은 개인신용정보를 VAN(Value Added Network)사 와 네트워크를 통해 송ᆞ수신 하며 승인결과 등의 정보를 주고받는다. 이러한 특성상 운영체제, 소프트웨어, 어플리케이션 개발 등 성능 개선을 위한 다양한 기술들이 연구 및 개발되고 있으나 보안에 대한 체계적인 연구 및 적용이 제대로 이루어지지 않아 POS 시스템 내에 있는 개인정보 유출, 그에 따른 금전사고 및 시스템 품질저하 등 많은 문제점을 가지고 있다. 해커들은 POS 단말기에 불법으로 침투하여 해킹프로그램을 설치한 후 POS 단말기 내에 저장되어 있는 개인신용정보를 유출하고 있다. 이는 불법카드로 복제되어 해외에서 부정 사용되는 등 개인신용정보 보안사고는 정보화 기술이 발전됨에 따라 급격히 증가하고 있다. 첫째, 현재 POS 단말기에서 VAN사로 개인신용정보를 전달하는 인터넷 구간에는 공개키 암호화 보안이 적용되어 있으나, POS 단말기 내부에는 어떠한 암호화도 적용되지 않아 해커에게 개인신용정보를 유출되는 사례가 발생하고 있다. POS 단말기내에 개인정보가 암호화 되어있지 않은 상태이다. 즉, 평문으로 존재하고 있기 때문이다. 둘째, 이러한 문제점을 보완하기 위해 개인신용정보를 치환암호화 하는 보안모듈이 개발되어 있으나 POS 단말기에 적용시 사용중인 프로그램과 충돌, 잦은 다운증상이 발생해 설치가 중단된 상태이다. 더불어 다양하게 존재하는 수백여 가지의 POS 단말기 전부를 지원하지 못하여 저가 POS 사용자 및 영세업자들은 암호화 보안모듈을 적용하고 싶어도 설치하지 못하고 있다. 특히 RS485를 제외한 USB, RS232, PS/2 인터페이스만이 개발되어 있으며, 해당 인터페이스를 지원하더라도 충돌, 다운 증상이 발생해 POS 단말기 보안강화 일정이 늦춰지고 있다. 더욱이 RS485 인터페이스를 사용하는 점포는 전체의 20%를 차지하고 있는데, 해당 인터페이스는 개발되지 않은 상태이다. 본 논문에서는 암호화 기법을 이용해 POS 단말기 내부에서의 개인신용정보 암호화 및 RS485 인터페이스를 포함한 다양한 인터페이스를 지원하는 보안모듈을 제안하였다. 제안된 보안모듈은 개인신용정보를 MSR(Magnetic Stripe Reader)을 통해 입력함과 동시에 암호기법을 이용해 암호화 하여 POS 단말기에 사용ᆞ보관 한다. 더욱이 현재 사용중인 POS 단말기의 운영체제에 설치 및 어플리케이션에 단순한 수정만으로 적용 가능하며, 암호통신 표준 권장 사용값을 반영하여 현업에 바로 적용 가능하다. 또한 호환성이 높은 JAVA 언어로 구현되어 윈도우, 리눅스 및 기타 운영체제등 다양한 환경에서 작동할 수 있도록 구현되었다. 구현된 보안모듈은 다양한 운영체제 환경에서 높은 호환성을 바탕으로 작동하며, RS485 뿐만 아니라 RS232, USB, PS/2 등의 인터페이스 상에서도 암호화 보안모듈이 작동하는 것을 확인하였다. 검증결과 제안된 보안 모듈은 간단한 수정을 통해 실제 점포에서 사용중인 POS 단말기에 적용 가능한 것을 확인 하였고, 테스트를 통해 정상적인 암호화ᆞ복호화 결과를 얻었다. 이는 현재 보안 암호화 모듈이 적용 받지 못하고 있는 많은 POS 단말기에 적용할 수 있는 효과가 있었다.
more초록/요약
There have been few attempts to study and apply the security of personal financial information of POS system. POS system transfers and receives the personal financial information and other information such as the result of approval process via the network of VAN(Value Added Network) company. Due to such nature of POS system, various technologies have been studied and developed to improve the performance of operating system, software and application. However, there have been no appropriate systematic studies and applications for POS system security and thereby many problems are still found in POS system including the leaking of private information, consequential monetary trouble and deterioration of system quality. Hackers intrude to POS terminal, install a hacking program and steal the personal financial information stored in POS terminal. The security breach of personal financial information such as making copies of illegal credit card with stolen information to use them in overseas has rapidly increased due to development of information technology. Firstly, the encryption is applied to the personal financial information which uses internet section from POS terminal to VAN, no encryption is used in POS terminal and hackers tend to attack POS terminal to steal the personal financial information, that is because the personal financial information is not encrypted, meaning that it remains as a plain text in POS terminal. Secondly, the security module, which applies the substitution cipher on the personal financial information to compensate the defect, was developed, but its installation in POS terminal is ceased because of program conflicts, frequent shutting down of system. Moreover, as it does not support hundreds kinds of different POS terminal, retailers and POS users cannot install the security module on POS terminal. Especially, the security module is allowed to be applied in USB, RS232 and PS/2 interfaces except RS485 and even if the module supports the relevant interface, it often comes into conflict with other programs and shuts down the system and this leads to slow down the enhancement of POS terminal security. In addition, the stores which are using RS485 interfaces accounts for 20% of entire stores, but the security module for this interface has not yet been developed. In this thesis, we propose a security module that supports various interfaces including RS485 and the encryption of personal financial information within POS terminal using encryption. The encryption used in this security module encrypts the personal financial information upon its input through MSR(Magnetic Stripe Reader) and stores this encrypted information in POS terminal. In addition, our module can be installed on the operating system of existing POS system and applied to applications with a simple modification and deployed in the front line immediately by reflecting the available specifications of a cryptographic communication standard. It is also implemented in JAVA with good compatibility to run in various environments including Window, Linux and other operating systems. We demonstrated that this security module performs in a variety of operating systems based on its good compatibility and properly runs not only in RS485, but also in RS232, USB and PS/2 interfaces. We verified that our security module can be applied in existing POS terminals, which are currently used in actual fields, with only simple modification and also obtained the normal result of encryption and decryption in the test. In other words, this security module can be applied in various POS terminals that do not use the security encryption module at present.
more