현금 자동 입출금기 보안

이란 남서부 데즈풀의 현금 자동 입출금기

현금자동입출금기(ATM)는 사기, 강도, 기타 보안 침해의 대상이다. 과거에는 ATM의 주된 목적이 지폐의 형태로 현금을 전달하고, 해당 은행 계좌의 차변환을 하는 것이었다. 하지만 ATM은 점점 더 복잡해지고 있고, 그것들은 현재 수많은 기능들을 제공하고 있으며, 따라서 강도들과 해커들의 높은 우선순위 대상이 되고 있다.

소개

첨단 ATM은 고도의 보안 보호 조치를 통해 구현된다. 그들은 거래를 수행하기 위해 복잡한 시스템과 네트워크 아래에서 일한다. ATM에서 처리되는 데이터는 보통 암호화되지만 해커들은 신중한 해킹 장치를 이용해 계좌를 해킹하고 계좌 잔액을 인출할 수 있다. 그 대안으로, 숙련되지 않은 강도들은 은행 손님들에게 그들의 인출된 돈이나 계좌를 약탈하기 위해 무기로 위협한다.

ATM 약탈 방법

ATM 반달은 현금을 얻기 위해 ATM을 물리적으로 변조하거나 신용카드 계좌를 탈취하는 방법을 사용하여 사용자의 신용카드 계좌를 통제할 수 있다. 신용카드 사기는 키패드나 신용카드 판독기 위에 신중한 스키밍 장치를 삽입하는 방법으로 이루어질 수 있다. 신용카드 사기의 다른 방법은 키패드 근처에 숨겨져 있는 카메라와 같은 장치로 직접 PIN을 식별하는 것이다.

ATM의 보안 대책

로컬 트랜잭션에 대한 PIN 유효성 검사 체계

온라인 PIN 유효성 검사

온라인 PIN의 유효성 검사는 해당 단말기가 중앙 데이터베이스에 연결된 경우 발생한다. 고객이 제공한 PIN은 항상 금융기관에 기록된 참조 PIN과 비교된다. 그러나 한 가지 단점은 네트워크의 오작동으로 인해 ATM이 고쳐질 때까지 사용할 수 없게 된다는 것이다.

오프라인 PIN 유효성 검사

오프라인 PIN 유효성 검사에서 ATM이 중앙 데이터베이스에 연결되지 않음. 오프라인 PIN 유효성 검사를 위한 조건은 ATM이 고객이 입력한 PIN을 참조 PIN과 비교할 수 있어야 한다는 것이다. 단말기는 암호화 연산을 수행할 수 있어야 하며 필요한 암호화 키를 임의로 가지고 있어야 한다.

오프라인 유효성 검사 계획은 극도로 느리고 비효율적이다. ATM이 보호된 네트워크를 통해 중앙 서버에 연결되어 있기 때문에 오프라인 PIN 검증은 이제 더 이상 사용되지 않는다.

교환 트랜잭션에 대한 PIN 유효성 검사

고보안 교환 거래의 운용에 대해서는 3가지 PIN 절차가 있다. 제공된 PIN은 입력 단말기에서 암호화되며, 이 단계에서 비밀 암호키가 사용된다. 암호화된 PIN은 다른 거래요소에 추가하여 취득자의 시스템으로 전송된다. 그런 다음 암호화된 PIN은 취득자의 시스템에서 하드웨어 보안 모듈로 라우팅된다. 그 안에서 PIN은 해독된다. 교환에 사용되는 암호키를 사용하면 암호 해독된 키는 즉시 재암호화되어 정상적인 통신채널을 통해 발행자의 시스템으로 라우팅된다. 마지막으로, 라우팅된 PIN은 발급자의 보안 모듈에서 해독된 후 온라인 로컬 PIN 유효성 검사를 위한 기법에 기초하여 검증된다.

공유 ATM

공유 ATM에는 PIN의 암호화와 관련하여 사용하는 거래 방법이 서로 다르며, 그 중 메시지 인증은 이른바 「구역 암호화」라고 한다. 이 방법에서는 은행 그룹을 대신하여 영업할 수 있는 신뢰할 수 있는 권한이 지정되어 ATM 결제 승인을 위한 메시지를 교환할 수 있다.^[1]

하드웨어 보안 모듈

은행과 ATM 사이의 성공적인 통신을 위해, 일반적으로 보안 모듈이라고 불리는 암호 모듈의 통합은 은행과 기계 사이의 적절한 연결을 유지하는 데 있어 중요한 요소다. 보안 모듈은 변조 방지가 가능하도록 설계되어 있다.^[2] 보안 모듈은 다양한 기능을 수행하며, 그 중에는 PIN 검증, 교환 PIN 변환, 키 관리, 메시지 인증 등이 있다. 인터체인지에 PIN을 사용하는 것은 보안 모듈이 PIN을 교환에 사용하는 형식으로 변환할 수 있기 때문에 보안상의 우려를 야기하고 있다. 더욱이, 보안 모듈은 사용자의 네트워크와 관련된 모든 키를 생성, 보호 및 유지하는 것이다.

인증 및 데이터 무결성

개인확인 과정은 사용자의 개인확인 정보 제공부터 시작된다. 이 정보에는 은행 계좌에 기록된 PIN과 제공된 고객 정보가 포함된다. 은행 카드에 암호키의 저장장치가 있는 경우에는 PK(Personal Key)라고 한다. 개인 식별 프로세스는 인증 매개변수(AP)로 할 수 있다. 그것은 두 가지 방법으로 작동할 수 있다. 첫 번째 옵션은 AP가 시간 변동을 일으킬 수 있는 곳이다. 두 번째 옵션은 AP가 시간변수일 수 있는 곳이다. 시간변수 정보와 거래요청 메시지 둘 다에 근거한 IP가 있는 경우가 있다. AP를 메시지 인증 코드(MAC)로 사용할 수 있는 경우, 메시지 인증을 사용하여 통신 경로로 라우팅될 수 있는 오래된 메시지 또는 가짜 메시지를 찾아내고, 사기성이 있고 비보안 통신 시스템을 통과할 수 있는 수정된 메시지를 탐지한다. 이 경우 AP는 두 가지 목적을 제공한다.

보안.

전자 자금 이체 시스템의 보안 침해는 그 구성요소를 구분하지 않고 행해질 수 있다. 전자 자금 송금 시스템은 통신 링크, 컴퓨터, 단말(ATM)의 세 가지 요소를 가지고 있다. 첫째, 통신연계는 공격받기 쉽다. 데이터는 데이터를 검색하기 위해 장치를 삽입하는 수동적 수단 또는 직접적 수단으로 노출될 수 있다. 두 번째 요소는 컴퓨터 보안이다. 원격 단말기나 카드 판독기 등 주변기기를 통해 컴퓨터에 접속하는 등 컴퓨터에 접속하는 데 활용할 수 있는 기법이 다르다. 해커는 시스템에 대한 무단 액세스를 얻었기 때문에 프로그램이나 데이터가 해커에 의해 조작되고 변경될 수 있다. 단말기 보안은 암호키가 단말기에 상주하는 경우에 중요한 구성요소다. 물리적 보안이 없는 경우, 남용자는 그 가치를 대체하는 키를 조사할 수 있다.^[3]

참고 항목

ATMIA(ATM Industrial Association)

참조

^ D.W. Davies & W. L. Price (1984). Security for computer networks : an introduction to data security in teleprocessing and electronic funds transfer. ISBN 0-471-90063-X.
^ Hole, Kjell J. (2007). Automatic Teller Machines (PDF). NoWires Research Group, Department of Informatics, University of Bergen. Archived from the original (PDF) on 2008-11-19. Retrieved 2009-03-16.
^ Ross Anderson (1992). Perspectives - Automatic Teller Machines. Cambridge University. Archived from the original on 2008-03-27. Retrieved 2008-03-16.

외부 링크

https://www.lightbluetouchpaper.org/ - 캠브리지 컴퓨터 연구소 보안 연구

[1] D.W. Davies & W. L. Price (1984). Security for computer networks : an introduction to data security in teleprocessing and electronic funds transfer. ISBN 0-471-90063-X.

[2] Hole, Kjell J. (2007). Automatic Teller Machines (PDF). NoWires Research Group, Department of Informatics, University of Bergen. Archived from the original (PDF) on 2008-11-19. Retrieved 2009-03-16.

[3] Ross Anderson (1992). Perspectives - Automatic Teller Machines. Cambridge University. Archived from the original on 2008-03-27. Retrieved 2008-03-16.

[1]

[2]

[3]

Search