다중인증 기반 GSM 성적조회 시스템 설계 및 구현

초록

본 논문은 GSM 기반 풀 SMS 서비스를 이용해 학생 성적 조회에 다중인증을 적용한 시스템을 구현한다. 기존 성적 관리 시스템과 연동하여 과목별 성적·현재 GPA·전체 CGPA를 안전하게 제공하며, 인증 단계에 비밀번호, OTP(문자메시지), 그리고 학생 개인 정보(학번·생년월일) 등을 결합한다. 저비용 모뎀을 활용해 SIM 카드로 SMS를 송·수신하고, 데이터베이스와 연동해 실시간 결과를 반환한다. 실험 결과 다중인증이 개인정보 보호와 무결성 확보에 효과적임을 확인했으며, 향후 SMSC와 직접 연동하는 종속형 서비스로 확장할 것을 제안한다.

상세 분석

이 연구는 모바일 통신망을 활용한 다중인증(MFA) 메커니즘을 성적 조회 시스템에 적용함으로써, 전통적인 단일 인증 방식이 갖는 보안 취약점을 보완하려는 시도이다. 주요 기술적 요소는 다음과 같다. 첫째, ‘Pull SMS’ 모델을 채택해 서버가 주기적으로 SMS 모뎀에 명령을 보내어 수신된 메시지를 확인하고, 사용자가 요청한 정보를 반환한다. 이는 기존 ‘Push SMS’와 달리 사용자가 직접 메시지를 발송해야 하므로, 인증 과정에서 사용자의 의도성을 확보한다. 둘째, 저비용 GSM 모뎀을 SIM 브라우저 역할로 활용함으로써, 별도의 SMS 게이트웨이 서비스나 SMPP 프로토콜 구현 없이도 표준 SIM 카드만으로 SMS 송·수신이 가능하도록 설계했다. 이는 초기 구축 비용을 크게 낮추지만, 모뎀의 처리량·동시성 제한과 통신 오류에 대한 복구 메커니즘이 충분히 논의되지 않은 점이 아쉽다. 셋째, 다중인증 단계는 (1) 학번·생년월일 등 정적 개인정보 입력, (2) 서버가 생성한 일회용 OTP를 SMS로 전송, (3) 사용자가 OTP를 입력하는 순서로 구성된다. 이 흐름은 ‘무언가를 알고 있음(knowledge)’, ‘무언가를 가지고 있음(possession)’을 결합해 보안 수준을 강화한다. 그러나 OTP 전송 자체가 SMS 채널을 이용하므로, SIM 스와핑이나 중간자 공격에 취약할 가능성이 존재한다. 넷째, 시스템은 기존 성적 관리 데이터베이스와 직접 연동한다는 전제 하에 설계되었으며, 데이터베이스 접근 권한 관리와 SQL 인젝션 방어가 별도 기술적 논의 없이 가정된 점은 실무 적용 시 위험 요소가 될 수 있다. 다섯째, 구현 환경은 Windows 기반 애플리케이션 서버와 COM 포트를 통한 모뎀 제어로 구성돼 있어, 리눅스·클라우드 환경으로의 이식성이 낮다. 이는 향후 확장성을 제한한다. 마지막으로, 향후 작업으로 제시된 SMSC와 직접 연동하는 종속형 서비스는 SMPP 프로토콜을 활용해 대량 메시지 처리와 전송 성공률을 높일 수 있으나, 비용 및 운영 복잡도가 증가한다는 트레이드오프를 고려해야 한다. 전반적으로 본 논문은 저비용으로 MFA 기반 모바일 성적 조회 서비스를 구현한 실증 사례를 제공하지만, 보안 위협 모델, 시스템 확장성, 운영 신뢰성 등에 대한 심층 분석이 부족한 점이 보완되어야 한다.