< B1E8C7FCBFED2DBDC3C0E520B0E6C1A620C8B0BCBAC8ADB8A620C0A7C7D12E687770>

Similar documents
TTA Journal No.157_서체변경.indd

39호뉴스레터.indd

±èÇö¿í Ãâ·Â

인문사회과학기술융합학회

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

DBPIA-NURIMEDIA

디지털포렌식학회 논문양식

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>

<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>

3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Feb.; 29(2), IS

10 이지훈KICS hwp

디지털컨버전스시대의사용자인증혁신 디지털컨버전스시대가도래하면서디지털세상으로진입하는관문인사용자인증이더욱중요해지고있습니다. 기업과서비스공급자는사용자가본인의정보에더욱안전하게접속할수있도록다양한인증수단을적용하고있습니다. 그러나복잡한인증과정은사용자의피로도를증가시켰으며, 이로인해발생

<31362DB1E8C7FDBFF82DC0FABFB9BBEA20B5B6B8B3BFB5C8ADC0C720B1B8C0FC20B8B6C4C9C6C32E687770>

2 TECHNOLOGY BRIEF 기술소개서 FIDO 1.0 인증기술 기술개요 스마트폰을이용한온라인거래나로그인시에패스워드대신간단한 PIN 혹은사용자가소지하고있는스마트카드또는스마트와치를이용하는간편한조작으로안전하게인증하는 FIDO(Fast Identity Online) 1

슬라이드 1

<35335FBCDBC7D1C1A42DB8E2B8AEBDBAC5CDC0C720C0FCB1E2C0FB20C6AFBCBA20BAD0BCAE2E687770>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

<30312DC1A4BAB8C5EBBDC5C7E0C1A4B9D7C1A4C3A52DC1A4BFB5C3B62E687770>

20(53?)_???_O2O(Online to Offline)??? ???? ??.hwp

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

OUTLINE 행사개요 행사명 Inside Bitcoins Conference & Expo 2015 장소 KINTEX 제 2전시장 3층 (회의실 301~304호) 행사시기 2015년 12월 9일(수) - 11일(금)ㅣ9일은

1. KT 올레스퀘어 미디어파사드 콘텐츠 개발.hwp

<33365FB1E8C3B6C1F82DB8F0B9D9C0CF20B0E1C1A6C0C720BDC5B7DABCBA2E687770>

DBPIA-NURIMEDIA

슬라이드 1

06_ÀÌÀçÈÆ¿Ü0926

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Mar.; 28(3),

<C1F6B1DEB0E1C1A620C1B6BBE7C0DAB7E12E687770>

메뉴얼41페이지-2

정진명 남재원 떠오르고 있다. 배달앱서비스는 소비자가 배달 앱서비스를 이용하여 배달음식점을 찾고 음식 을 주문하며, 대금을 결제까지 할 수 있는 서비 스를 말한다. 배달앱서비스는 간편한 음식 주문 과 바로결제 서비스를 바탕으로 전 연령층에서 빠르게 보급되고 있는 반면,

Europe 2020 Strategy 글로벌산업기술생태계의융합과발전을선도하는일류산업진흥기관 EU 기술협력거점 *EU Issue Paper EU : KIAT EU ( ,

삼국통일시나리오.indd

DBPIA-NURIMEDIA

Data Industry White Paper

Special Theme _ 스마트폰 정보보호 스마트폰은 기존 PC에서 가지고 있던 위협과 모바일 기기의 위협을 모두 포함하고 있다. 다시 말하면, 다양 한 기능이 추가된 만큼 기존 PC에서 나타났던 많은 위 협들이 그대로 상속되며, 신규 서비스 부가로 인해 신 규 위

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Dec.; 27(12),

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

NFC 서비스 활성화 추진계획 기존 모바일 결제시장 Ecosystem 향후 모바일 결제시장 Ecosystem App Store App사업자의 중요성 증대 통신사 APP. 사업자 금융기관 (카드) APP. 사업자 VAN 휴대폰 제조사 정부 및 규제기관 OS Provide

???? 1

<32312D342D303420BCDBC0E7C7E520B1E8C0CEBCAE D E687770>

<283129C7CFBCBAB1D92E687770>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Mar.; 25(3),

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

<36325FB1E8C0E7BFEC2DB9D9C0CCBFC0C0CEC1F520B1E2B9DDC0C720C0FCC0DABCADB8EDC0BB2E687770>

강의지침서 작성 양식

Microsoft Word - 김정훈

1. 서론 1-1 연구 배경과 목적 1-2 연구 방법과 범위 2. 클라우드 게임 서비스 2-1 클라우드 게임 서비스의 정의 2-2 클라우드 게임 서비스의 특징 2-3 클라우드 게임 서비스의 시장 현황 2-4 클라우드 게임 서비스 사례 연구 2-5 클라우드 게임 서비스에

°í¼®ÁÖ Ãâ·Â

<4D F736F F D20C3D6BDC C0CCBDB4202D20BAB9BBE7BABB>

<333820B1E8C8AFBFEB2D5A B8A620C0CCBFEBC7D120BDC7BFDC20C0A7C4A1C3DFC1A42E687770>

DBPIA-NURIMEDIA

#유한표지F

08SW

<32382DC3BBB0A2C0E5BED6C0DA2E687770>

(JBE Vol. 21, No. 1, January 2016) (Regular Paper) 21 1, (JBE Vol. 21, No. 1, January 2016) ISSN 228

Microsoft PowerPoint - XP Style

Analysis of objective and error source of ski technical championship Jin Su Seok 1, Seoung ki Kang 1 *, Jae Hyung Lee 1, & Won Il Son 2 1 yong in Univ

Microsoft Word - KSR2014S042

6월 1일 정책지.hwp

DBPIA-NURIMEDIA

슬라이드 1

00내지1번2번

09권오설_ok.hwp

세종대 요람

ㅇㅇㅇ

09오충원(613~623)

Microsoft PowerPoint - G3-2-박재우.pptx

14.531~539(08-037).fm

DBPIA-NURIMEDIA

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널

½Éº´È¿ Ãâ·Â

<4D F736F F D205B4354BDC9C3FEB8AEC6F7C6AE5D3131C8A35FC5ACB6F3BFECB5E520C4C4C7BBC6C320B1E2BCFA20B5BFC7E2>

미래인터넷과 창조경제에 관한 제언 65 초록 과학기술과의 융합을 통해 창조경제를 이루는 근간인 인터넷은 현재 새로운 혁신적 인터넷, 곧 미래인터넷으로 진화하는 길목에 있다. 창조와 창업 정신으로 무장하여 미래인터넷 실현에 범국가적으로 매진하는 것이 창조경제 구현의 지름

*전자과학02월b63뼉?P-1

05( ) CPLV12-04.hwp

04서종철fig.6(121~131)ok

03-서연옥.hwp

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Sep.; 30(9),

말은 많은 Blockchain 2

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

데이터통신

2009년 국제법평론회 동계학술대회 일정

new Spinbackup ICO White Paper(ko)

<4D F736F F D20B1E2C8B9BDC3B8AEC1EE2DB1E8B1A4BCAE>

DBPIA-NURIMEDIA

인문사회과학기술융합학회

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

서현수

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Feb.; 28(2),

DBPIA-NURIMEDIA

,, RFID,. ITU-R [7], IoT (Internet of Thing), (ultra reliable) (low latency). IoT ( ) , [1]., [8] 10 IoT.,. Ofcom [10] IoT/M2M, (utilities),,

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 6, Jun Rate). STAP(Space-Time Adaptive Processing)., -

<BCBCC1BEB4EB BFE4B6F72E706466>

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: A Study on Organizi

DBPIA-NURIMEDIA

10(3)-09.fm

Portal_9iAS.ppt [읽기 전용]

Transcription:

Journal of the Korea Academia-Industrial cooperation Society Vol. 18, No. 3 pp. 41-48, 2017 https://doi.org/10.5762/kais.2017.18.3.41 ISSN 1975-4701 / eissn 2288-4688 시장경제활성화를위한안전한모바일전자결제방안연구 김형욱, 정용훈, 전문석 * 숭실대학교컴퓨터학과 A Study on Secure Mobile Payment Service for the Market Economy Revitalization Hyung-Uk Kim, Yong-Hoon Jung, Moon-Seog Jun * Department of Computer Science and Engineering, Soongsil University 요약최근핀테크활성화로인한금융거래및결제관련하여많은연구개발이활발하게진행되고있다. 상품을구매하고대금을지급하는방법에는현금, 카드등여러가지방법으로결제를진행하고있으며, 최근모바일카드를통한결제및휴대폰간편결제등결제방식이빠르고간편화되고있다. 제안하는모바일전자결제방식은기존카드리더기또는카드단말기없이사용자의휴대폰을이용하여결제할수있는방법을제안한다. 결제시스마트폰에내장된지문인식기를통해사용자의생체정보를입력받아본인인증이먼저수행되며, 결제이전두사용자의확인을위해인증된기관에서부여받은인증코드를전송하여이를검증하고결제가이루어진다. 사용자의생체정보와결제관련정보는스마트폰내의안전한 FIDO TEE영역에저장되어악의적인사용자로부터안전성을확보하였다. 키의안전성측면에서는모든키생성은 FIDO TEE 영역에서이루어지게하여안전성을확보하였으며, 스니핑, 중간자공격등다양한공격방식에대한무력화를통해안전한모바일전자결제서비스를제공한다. Abstract Recently, there has been a lot of ongoing research regarding financial transactions and payments due to the emergence of financial technology (FinTech). Payments have been processed through cash and credit cards, and payment methods have been simplified and are more convenient, with mobile payment via mobile cards and mobile phones. This study offers a new mobile payment method by using a mobile phone instead of a card reader or terminal. For payments, authentication is processed with the user's biometrics and a built-in fingerprint scanner, and the payment is processed after receiving an authentication code issued by the authorizing institution to confirm the user's identity. User biometrics and payment information is secured from any kind of malicious hacker by saving it in a Fast Identity Online (FIDO) Trusted Execution Environment (TEE) section in a smartphone. Regarding key security, every key is securely created in the FIDO TEE section, providing secure mobile payment by neutralizing various malicious attacks, including sniffing and the man-in-the middle attack. Keywords : Biometrics, Fingerprint, Fintech, FIDO, FIDO TEE 1. 서론최근 IT 기술의발달로금융권에서는 IT기술의적극적인활용을통해핀테크라는거대한혁명이진행되고있다. 핀테크는파이낸셜과기술의합성어로스마트기기를통해결제, 예금, 출금, 이체그리고자산관리등각종 금융서비스를 IT 기술을통해처리하는산업이다. 세계적인그룹페이팔, 알리페이그리고한국에서는카카오페이등이결제서비스와전자지갑형태의핀테크기술을선보이고있으며, 금융권, 대기업, 중소기업등에서도모바일결제서비스를선보이고있다 [1]. 현재전통시장은대형할인업체의등장으로그입지가 * Corresponding Author : Moon-Seog Jun(Soongsil Univ.) Tel: +82-2-826-6526 email: mjun@ssu.ac.kr Received December 14, 2016 Accepted March 10, 2017 Revised (1st December 26, 2016, 2nd January 2, 2017) Published March 31, 2017 41

한국산학기술학회논문지제 18 권제 3 호, 2017 현저하게축소되고있으며, 이는지역경제활성화의침체원인이라고할수있다. 최근에는각급지방자치단체가나서막대한예산을투입하여침체된전통시장의활성화를위해노력하고있다. 전통시장을방문하지않는이유로는대부분현금결제만가능한이유로카드결제불가능, 주차장시설부족, 교환및환불의어려움등으로나타났다. 최근결제수단의변화로현금, 신용카드, 체크카드, 모바일카드등다양한결제수단을제공하고있다. 그러나현금, 신용카드, 체크카드는분실시부정사용에대한문제점을가지고있으며, 모바일카드는휴대폰해킹으로인해부정사용될수있는문제점을가지고있다. 영국국제통상기구 MEF(Mobile Ecosystem Forum) 은모바일결제에대한사용자신뢰도가낮은것으로분석되었다. 기존신용카드및체크카드는대부분카드뒷면의마그네틱에정보를읽어들여처리하고있으며, 복사로인한사고가빈번하게발생하고있다. 최근에는 IC 칩이내장된카드로대체되어복사로인한사고를방지할수있다. 또한모바일에서는 NFC, QR코드, RFID/IrDA 등무선을이용하여카드정보등을전송하여결제를진행하고있으며, 이모든결제수단은부정사용에대해매우취약하다. 본논문에서는지역경제활성화를위해전통시장에서카드단말기없이스마트폰만을이용하여부정사용이불가능한간편결제시스템을제안하고자한다. 2장은관련연구로서핀테크시장에서사용하는간편결제시스템의기술들을기술하고, 3장에서는본인인증이강화된모바일결제시스템을설계한다. 4장기존모바일결제시스템과제안하는시스템을비교하고, 마지막으로결론을맺는다. 2. 관련연구 2.1 핀테크기술 2.1.1 금융시장의위협국내금융에서는정보통신기술의발달로송금, 결제, 자산관리등각종금융서비스를 PC, 모바일등에서이미제공하고있었다. 최근들어핀테크산업의등장으로글로벌 IT 기업들이간편하고다양한금융서비스상품을개발하여핀테크 Table 1. ICT Companies Financial Service Expansion Sectors Enterprise Contents Platform SNS Communicati on Service electronic commerce google apple facebook Tencent verizon Safaricom Alibaba ebay amazon Wallet(Google Wallet) Wallet(Apple Pay) Wallet Payments(Tenpay) Mobile Payments(ISIS) Payments, Electronic cash Payments(Alibaba) Payments(Paypal) Payments(Amazon Payments) 시장을형성해가고있다. 해외 IT 기업의금융업진출은전자지갑, 지급결제, 전자화폐등모바일정보기술환경에결합하여금융거래의확산을가속화하고있다. 해외 IT 기업들은국내금융회사와제휴를통해금융서비스를제공하고있으며, 이는 IT 기업을중심으로한비금융기관의금융업종진입이기존금융기업들의고유시장의잠식으로이어질때금융기업고유사업에위협적인요소가될수있다. 미국의경우 IT기업등비금융사가 2020년에는기존금융권시장의 30% 를잠식할것으로예상하고있으며, 국내의경우비금융기관의금융업참여에대한규제로인해시장잠식의속도가느리며, 소액결제와송금을중심으로비금융사의시장확대가이루어질것으로예상된다 [2]. 2.2.2 국내외핀테크사업동향 최근화페제도의변화로현금없는사회로변화하고있으며, IT분야를선도하는유럽의덴마크, 스웨덴, 노르웨이가현금없는사회로진출하기위해발빠르게움직이고있다. 아시아에서는 IT분야를선도하고있는우리나라에서도현금없는사회로가기위한준비를하고있다. 유럽의모바일페이, 우리나라의삼성페이, 미국의애플페이, 구글페이는서로경쟁하며시장을확대해가고있으나결국이모든것을통합한전세계공통전자결제시스템이탄생할것으로예상된다. 또한금융에한정된서비스만이아닌보험, 증권, 인터넷전문은행으로점차확대되어사용자의편의성과안전성을중심으로한서비스로사용될것으로예상된다 [2]. 2.2.3 블록체인과비트코인 기존금융기관의거래를중앙집중적인장부에기반하 42

시장경제활성화를위한안전한모바일전자결제방안연구 기때문에높은비용이발생하고, 또한서로다른화폐의단위로금융회사에서관리하는장부또한각기다르므로높은비용이발생한다. 블록체인은이러한비효율적인구조를혁신하려는기술이다. 블록체인은일종의금융장부로서비트코인프로그램을이용하는모든개개인의 P2P 거래내역이모두이곳에기재되고공유된다. 비트코인은누구나 P2P 프로그램을이용하여돈을주고받으며, 제3자의개입없이단일장부에그거래내역이불변의기록으로기입되는방식으로거래가확정된다. 따라서적은비용으로마치오프라인에서현금을주고받듯이개인대개인으로거래가가능해진다. 블록체인은분산데이터베이스의하나로 P2P 네트워크를활용하고, 비트코인사용자모두의컴퓨터에저장할수있다. 블록체인방식은사용자과반수의데이터와일치하는거래내역은정상장부로확인되어블록으로묶여보관된다. 비트코인의경우 10분정도마다사용자들의거래장부를검사해해당시간의거래내역을한블록으로묶는다. 만약특정사용자의장부에누락등의오류가발생하면, 정상장부를복제해대체하는방식으로수정된다 [3]. 블록체인기술은데이터를공유하는사용자가많을수록보안안정성은커진다. 은 ID/PW로인증정보유출위험이매우높고악의적인사용자로부터해킹에대한많은위험에노출되어있다. 또한공인인증서는대여및위임으로인한피해사고가발생할수있으며, 항상소지해야한다는불편함을가지고있다. 최근 IT기술의발달과 IT기기의발전으로신기술을활용한본인인증수단이확대되고있으며, 금융에서는바이오인증기술, 블록체인등보안성과투명성, 비용절감효과를볼수있어본인인증수단으로주목받고있다. 바이오인증기술은기존인증방식과달리항상소지해야하는불편함과기억해야만한다는문제점을해결할수있으며, 또한대여또는위임으로인한사고를예방할수있다. 2.2.1 SSO(Single Sign-On) SSO는사용자측면에서한번의인증과정으로생성된인증정보를통해다수의서비스를제공받는통합인증관리방식이다. 즉, 사용자는하나의인증정보로접근권한이있는여러서비스에자동으로인증처리됨으로써접근할수있다 [4]. 이기술을통해사용자는인증정보관리에대한부담을줄일수있으며, 재인증과정없이다른서비스를이용할수있는편의성을제공받을수있다. 또한, 서비스제공자측면에서는사용자인증정보관리를위한비용이감소하며, 인증과인증정보의집중화를통한중앙관리가가능하다 [5]. 현재 SSO를지원하기위한많은프로토콜이있으며대표적인방법은 OAuth(Open Authorization), SAML(Security Assertion Markup Language) 등이있다 [5]. Fig. 1. The Bitcoin network processes 2.2 인증수단의변화 기존본인인증수단중가장많이사용되고있는방식 2.3 FIDO(Fast IDentity Online) FIDO(Fast IDentity Online) 는생체인식을활용한인증방식의기술표준으로 FIDO 얼라이언스 (FIDO Alliane) 가제정하였다. FIDO 얼라이언스는삼성, 레노보같은단말기제조사부터칩을제조하는 NXP, 퀄컴그리고 OS 플랫폼기업마이크로소프트, 구글, 금융서비스기업알리바바, 페이팔, 비자등다양한기업으로회원사를구성하고있다 [6]. FIDO는 UAF(Universal Authentication Framework) 그리고 U2F(Universal 2nd Factor) 방식으로구성된다. UAF는지문, 성문, 안면, 홍채등사용자고유의생체정보를인식해인증하는기술이며, U2F는 ID, 비밀번호로 43

한국산학기술학회논문지제 18 권제 3 호, 2017 1차인증한후 1회성보안키를저장하고있는동글 (Dongle) 을기기에꽂아 2차인증하는방식이다. UAF는기기를이용해생체인식을진행하면 FIDO 서버에접속하고, 그다음기기에저장된보안키를입력하는순으로진행된다. FIDO의기본적인의미는사용자확인 (Verification) 과인증 (Authentication) 프로토콜그리고인증서버를분리시키고다양한방법으로사용자인증을지원하도록하는것이며크게등록절차, 인증절차, 탈퇴절차로구성된다 [7]. 2.3.1 FIDO UAF의등록프로토콜 (1) 사용자가응용앱에서인증수단을패스워드에서지문인증으로변경요청한다. (2) 응용앱은사용자로부터패스워드를입력받아응용서버에전달하면응용서버는패스워드를확인하고 FIDO 등록요청메시지를 FIDO 서버에게요청한다. (3) FIDO 서버는인증정책이포함된 FIDO 등록요청메시지를생성하여 FIDO 클라이언트에전달한다. 참고로, 인증정책은특정제조사, 특정모델, 특정인증수단등으로사용할인증장치를제한할수있다. (4) FIDO 클라이언트는서버인증정책에부합하는지문인증장치를호출하고, 사용자가지문을입력하여사용자인증에성공하면, 지문인증장치는공개키쌍을생성한다. (5) 지문인증장치는생성된공개키와공개키의입증정보가포함된 FIDO 등록응답메시지를 FIDO 서버에전달한다. (6) FIDO 서버는공개키의입증정보를인증장치메타데이터를이용해확인한후, 해당공개키를 FIDO 서버에저장한다 [8]. 2.3.2 FIDO UAF의인증프로토콜 (1) 응용앱은응용승인에사용자인증을요청한다. 예를들어, 간편결제서비스를이용하기위해지문인증을요청한다. (2) 응용앱은응용서버에 FIDO 인증을요청하면응용서버는 FIDO 서버에 FIDO 인증요청메시지를요청한다. (3) FIDO 서버는 FIDO 인증요청메시지를생성하여 FIDO 클라이언트에전달한다. (4) FIDO 클라이언트는 FIDO 인증요청메시지에포함된정보로지문인증장치를호출하고, 사용자가지문을입력하여사용자인증에성공하면, 지문인증장치는등록프로토콜을통해생성된개인키를이용해전자서명을생성한다. 전자서명을생성하기이전에거래정보를출력하여사용자로부터거래확인을받는절차가추가될수있다. (5) 지문인증장치는전자서명이포함된 FIDO 인증응답메시지를 FIDO 서버에전달한다. (6) FIDO 서버는등록프로토콜을통해등록된공개키를이용하여전자서명을확인하고인증결과를전달한다 [9]. Fig. 3. FIDO UAF Authentication Protocol Fig. 2. FIDO UAF Registration Protocol 2.4 TEE(Trusted Execution Environment) TEE란안드로이드운영체제에서일반영역 (Rich OS) 과별도로높은수준의보안서비스를제공하는독립된보안실행환경을말한다. TEE는안드로이드환경의스마트디바이스에서사용가능하며개인정보, 인증서, 콘텐츠등강력한보안이필요한데이터및 App을독립된보안영역에서안전하게처리및실행가능하게한다. 44

시장경제활성화를위한안전한모바일전자결제방안연구 TEE는안드로이드운영체제가구동되는일반영역과물리적으로격리되어있으며, 일반영역에서 TEE 자원에접근하기위해서는 TEE Client(TC) 와 Trusted Application(TA) 간의인터페이스를통해제한적인자원에대해서만접근이가능하다. TA는데이터암호화및복호화, 키쌍생성, 전자서명생성등을수행하는보안소프트웨어이다 [10-11]. Fig. 4. TEE structure 3. FIDO TEE 를이용한모바일결제시스템 스마트폰을이용한결제환경에서안전한사용자인증서비스를제공하기위해생체인증을사용하며, 인증에사용되는생체정보, 개인정보, 인증서, 콘텐츠등은보안이강력한독립된보안영역에서안전하게처리, 보관, 실행된다. 3.1 전체시스템구성제안하는시스템은카드단말기없이스마트폰을소지한사람은누구나결제가능한시스템을제안한다. 제안하는시스템에서는스마트폰의 NFC 기능을사용하며스마트폰과스마트폰의접촉만으로결제가가능한시스템이다. 3.1.1 판매자등록판매자는 FIDO와 NFC를지원하는스마트폰을보유하고있으며, 전용 App이설치되어있다고가정한다. 판매자는최초 1회은행창구를방문하여 ( 대면 ) 판매자등록을해야만한다. 판매자등록은은행에서신규통장개설절차와유사하다. 본인확인을위한신분증 ( 주민번호 ) 진위확인후물품대금을받기위한신규계좌개설또는기존계좌연결, 장치인증키생성, 상점코드생성이단계별로진행된다. 장치인증키는인가된기기에서만사용할수있도록제한하기위함이며, 은행에서생성 / 발급된다. 상점코드또한은행에서생성 / 발급되며, 이는판매자구분과이를통해물품대금을지급하기위해사용된다. Fig. 5. Suggest system structure 45

한국산학기술학회논문지제 18 권제 3 호, 2017 마지막으로판매자에대한지문등록은위과정이모두완료된후판매자본인의휴대폰 TEE(Trusted Execution Environment) 영역에지문을안전하게등록 / 저장하며, 등록된지문은본인확인용도로사용된다. 3.1.2 구매자등록구매자는 FIDO와 NFC를지원하는스마트폰을보유하고있으며, 전용 App이설치되어있다고가정한다. 구매자는최초1회은행을방문하여 ( 대면 ) 구매자등록을해야만한다. 은행에서신분증을통한본인확인후신청절차가진행된다. 본인확인후은행에서는개인의신용도에따라한도가결정되며, 장치인증키, 구매자코드가생성되어발급된다. 구매자코드는예를들어신용카드는카드번호가있듯구매자를식별하기위한고유값으로사용된다. 마지막으로구매자에대한지문등록은위과정이모두완료된후구매자본인의휴대폰 TEE 영역에지문을안전하게등록 / 저장하며, 등록된지문은본인확인용도로사용된다. 3.1.3 통합카드구매자와판매자등록은신뢰할수있는기관에서등록한다. 신뢰할수있는기관으로는은행, 카드사, 인터 넷전문은행등이될수있다. 구매자와판매자는여러개의카드번호를등록하여사용할수있다. 등록된카드는기관구분코드를이용하여원하는카드를손쉽게사용할수있다. 카드번호와기관분류코드는 TEE 영역에안전하게보관되며, 지문인증을통해사용자본인인증이후사용가능하다. Table 2. TEE stored information(example) B_code card_no PW Alice 1234 12345678 FIDO Value Bob 2345 23456789 FIDO Value Zebra 3456 87654321 FIDO Value 4. 안전성분석제안하는시스템의안전성을확인하기위하여생체정보의안전성을비교하기위해다양한공격방법에대한안전성을확인하였으며, 분석된전체적인결과는다음 Table 3과같다. Fig. 6. merchant registration 46

시장경제활성화를위한안전한모바일전자결제방안연구 Fig. 7. user registration Table 3. safety comparison SSO Broker Proposal System Safety Usually - Strong Key Generate Safety - Safety Sniffing Safety Safety Safety MITM - - Safety 4.1 생체정보의안전성 스마트폰에서생체정보, 개인정보, 인증서등을저장하기위해사용되는공간은일반영역으로스마트폰에악성코드가내포된앱 (App) 이설치되거나악성코드에감염되면, 일반영역에저장된생체정보 ( 개인정보 ), 연락처, 사진등유출사고가발생할수있으며, 이러한유출사고가실제빈번하게발생하고있다. 제안하는시스템에서는스마트폰내에보안영역인 TEE(Trusted Execution Environment) 를사용하여, 안드로이드환경의스마트디바이스에서생체정보 ( 개인정보 ), 인증서, 콘텐츠등강력한보안이필요로한데이터및 App을독립된보안영역에서안전하게처리및실행할수있어안전하다. 또한 TEE 영역에저장된생체정보, 인증서등외부로유출이불가능하므로안전하다. 4.2 키생성 기존시스템은생체정보, 인증서등개인정보를일반영역에저장하고있으며, 암 복호화 / 검증, 키쌍생성, 전자서명생성등모든작업수행을일반영역에서수행되므로온라인공격을통해정보유출이가능하다. 제안하는시스템은보안영역인 TEE영역에서생체정보의암 복호화 / 검증, 키쌍생성, 전자서명생성등모든작업수행을 TEE 내부에서실행하므로해킹또는정보유출등온라인공격으로부터안전하다. 4.3 Sniffing 생체정보 ( 개인정보 ), 인증서등은모든통신구간에서암호화되어전송되거나전자서명값만전송되므로암호학적안정성을확보하고있다. 생체정보의복호화및검증역시보안영역인 TEE영역에서이루어지므로공격자가중간에서데이터를획득하여도암호화된생체정보, 인증서등을복호화할수없으므로유출된데이터는무의미한값이된다. 4.4 Man-in-the-middle attack 공격자는생체정보 ( 개인정보 ) 의암호화, 키쌍생성과정에서임의의키쌍을생성하여양측의생체정보를엿보거나위조하려할수있다. 제안하는시스템에서는생체정보의암호화, 키쌍생성은보안영역인 TEE 내부에서생성되고관리된다. 공격자가중간에서암호화된데이터를갈취하여복호화를시도할경우 TEE 내부에서생성 / 관리되는키를획득할수없으므로복호화는불가능하다. 또한개인키를이용한전자서명값을생성할수없다. 5. 결론최근핀테크기술의발달로다양한분야에서모바일을통한서비스를제공하고있다. 특히금융권에서는모바일에서생체정보를이용한비대면본인확인, 간편결제등에사용되고있으며, 생체정보를이용한비대면본인확인및전자서명에적용되고있다. 본논문에서는사용자가모바일환경에서생체정보 ( 개인정보 ), 인증서, 콘텐츠등을안전하게저장 / 관리할수있으며, 생체정보를이용한사용자인증및결제방법 47

한국산학기술학회논문지제 18 권제 3 호, 2017 을제안하고있다. 제안하는사용자인증기법은생체정보를이용하여위임또는대여로인한사고를예방할수있다. 또한결제시스템에서는안전한사용자인증기법과금융관련정보를안전하게관리하여안전한금융거래를제공한다. 앞으로다양한전자화폐와모바일전자결제서비스가나타날것이며, 이에따라모바일에서간편성, 편의성, 안전성이강조된사용자인증방법과기타민감정보보호에대한연구가필요할것이다. 김형욱 (Hyung-Uk Kim) [ 정회원 ] 2012 년 2 월 : 숭실대학교정보보안학과 ( 공학석사 ) 2012 년 3 월 ~ 현재 : 숭실대학교컴퓨터학과 ( 박사수료 ) 2006 년 9 월 ~ 현재 : 한국전자인증기술연구소책임연구원 References [1] Korea Internet & Security Agency, Excavating research areas of FinTech through the analysis of its relevant technologies and policy trends at home and abroad, Feb. 2016. [2] jeongkook park, Fintech and information security, 2015 korean institute of information scientists and engineers. pp.23-32, May, 2015. [3] Inyeob Ji, Kwang Myung Chun, Digital Currency and Inflation Hedge: Evidence from Bitcoin Korea Association for Telecommunications Policies. pp31~51. 2016. [4] Pratap Murukutla, K. C. Shet, "Single Sign on for Cloud.", 2012 International Conference on Computing Sciences. IEEE, pp. 176-179, Sept, 2012. DOI: https://doi.org/10.1109/iccs.2012.66 [5] Wanpeng Li, Chris J. Mitchell, "Security issues in OAuth 2.0 SSO implementations.", International Conference on Information Security. Springer International Publishing, pp. 529-541, Oct. 2014. DOI: https://doi.org/10.1007/978-3-319-13257-0_34 [6] Hyung-woo Lee, Yeong-Joon Park, A Design and Implementation of User Authentication System using Biometric Information, Korea Academia-Industrial cooperation Society, pp.3548-3557, Sept. 2010. DOI: http://doi.org/10.5762/kais.2010.11.9.3548 [7] Jeong-Hyo Park, " A Non-Password Secure Biometric Digital Signature Method for Mobile Device", Soongsil University Graduate School, 2016. [8] Sampath Srinivas, Dirk Balfanz, Eric Tiffany, "Universal 2nd factor (U2F) overview", FIDO Alliance Proposed Standard, 2015. [9] Rolf Lindemann, Davit Baghdasaryan, Eric Tiffany, "FIDO UAF Protocol Specification v1.0", FIDO Alliance Proposed Standard, 2014. [10] FIDO TEE, www.emobileid.co.kr [11] KISA, Implementation guideline for safe usage of accredited certificate bio information in smart phone, Sept. 2016. < 관심분야 > PKI, 생체인증, IoT 정용훈 (Yong-Hoon Jung) [ 정회원 ] < 관심분야 > 생체인증, IoT, 네트워크보안 2006 년 8 월 : 숭실대학교컴퓨터공학 ( 공학석사 ) 2010 년 2 월 : 숭실대학교컴퓨터학과 ( 공학박사 ) 2011 년 3 월 ~ 2014 년 2 월 : 서일대학교조교수 2016 년 6 월 ~ 현재 : 한국스마트아이디사업기획부장 전문석 (Moon-Seog Jun) [ 종신회원 ] < 관심분야 > 네트워크보안, 생체인증, IoT 1989 년 2 월 : University of Maryland Comuter Science ( 공학박사 ) 1989 년 3 월 ~ 1991 년 2 월 : New Mexico State University Physical Science Lab. 책임연구원 1991 년 3 월 ~ 현재 : 숭실대학교컴퓨터학과정교수 48

2024 © docsplayer.org 개인정보보호 | 약관 | 지원