- PS/2 키보드에서의 RESEND 명령을 이용한 패스워드 유출 취약점 분석
- ㆍ 저자명
- 이경률,임강빈,Lee. Kyung-Roul,Yim. Kang-Bin
- ㆍ 간행물명
- 情報保護學會論文誌
- ㆍ 권/호정보
- 2011년|21권 3호|pp.177-182 (6 pages)
- ㆍ 발행정보
- 한국정보보호학회
- ㆍ 파일정보
- 정기간행물| PDF텍스트
- ㆍ 주제분야
- 기타
이 논문은 한국과학기술정보연구원과 논문 연계를 통해 무료로 제공되는 원문입니다.
본 논문은 현재 컴퓨팅 플랫폼 상의 기본 입력장치인 PS/2 기반 키보드에서, 키보드 내부에 정의된 명령코드 중 RESEND 명령을 이용한 키보드 스캔코드의 수집 가능성을 제 시하였다. 또한 제시한 방식을 활용한 키보드 감시 소프트웨어를 실제로 구현한 후 상용 보안 소프트웨어 환경에서 실험하여 사용자 인증 시에 패스워드가 유출될 수 있음을 확인함으로써 제시한 취약점의 위험성을 검증하였다. 이는 현재 플랫폼 상에 존재하는 하드웨어 취약점 중의 하나로써 설계 당시 하드웨어적인 보안 대책을 마련하지 않았기 때문에 발생하는 문제점이라 할 수 있어 해당 취약점을 해결하기 위해서 근본적으로 하드웨어적인 보안 대책이 필요할 것으로 사료된다.
This paper introduces a possibility for attackers to acquire the keyboard scan codes through using the RESEND command provided by the keyboard hardware itself, based on the PS/2 interface that is a dominant interface for input devices. Accordingly, a keyboard sniffing program using the introduced vulnerability is implemented to prove the severeness of the vulnerability, which shows that user passwords can be easily exposed. As one of the intrinsic vulnerabilities found on the existing platforms, for which there were little considerations on the security problems when they were designed, it is required to consider a hardware approach to countermeasure the introduced vulnerability.