보안연구부 -2016-018 카드사대체인증기술보안성비교분석 1. 개요 ( 보안연구부보안기술팀 / 2016.4.21) 14년온라인카드결제시공인인증서의무사용폐지 1), 온라인간편결제활성화 2) 대책발표이후공인인증서를대체하기위한기술이지속적으로개발되고있음 다만, 대체인증기술에따라이용환경 ( 단말기, 운영체제등 ) 의제약과절차상요구하는정보의차이가존재 본보고서에서는카드사서비스이용 ( 서비스가입, 결제 * 등 ) 시제공되는공인인증서기반본인인증서비스를대체하는인증기술의보안성을비교분석함 * 결제시인증이아닌특정금액이상결제하여추가인증이필요한경우 제공예정인서비스의경우일부내용이변경되어출시될수있음 2. 상세분석 신용 ( 체크 ) 카드인증 소지하고있는카드의정보 ( 카드번호, 유효기간, 비밀번호, CVC 3) ) 를입력하여, 해당카드를본인이소지하고있는지여부를확인하는서비스임 ( 편의성 ) 카드만소지함으로써편리함 ( 위험성 ) 카드정보를사진, 텍스트로전달하는등입력정보가쉽게노출될수있어타인이쉽게인증할수있음 노출위험성이높아단독으로사용하지않고, 다른인증방식과함께이용 1) 금융위원회, 온라인카드결제시공인인증서의무사용폐지를위한 전자금융감독규정시행세칙 개정, 2014.5.19. 2) 금융위원회, 전자상거래결제간편화방안, 2014.7.28. 3) CVC(Card Validation Code) : 카드유효성검사코드로카드의고유번호를의미 - 1 -
< 신용카드본인확인서비스 ( 자료 : 구글이미지 ) > ARS( 자동응답시스템 )/SMS 인증 ARS 혹은 SMS로이용자에게전달되는인증번호 ( 임의생성된숫자값등 ) 를입력하여이동통신사업자의서비스이용여부를통해본인임을인증하는서비스임 ( 편의성 ) 휴대폰기종 ( 피처폰, 스마트폰등 ) 을구별하지않고이용가능 ( 보안성 ) 최소한의개인정보 * ( 성명, 휴대폰번호, 생년월일등 ) 로본인여부및휴대폰보유여부를확인하여보안강화 * 서비스기관마다개인정보입력요구사항이다르며, 입력정보일치여부확인, 개인식별가능여부등기능적차이가존재 (ARS 인증 ) 인증전화를거는주체에따라인증방식이 2가지로구별됨 ( 인바운드, In-bound) 화면에출력되거나문자로전송받은인증번호를특정전화번호 ( 거래건마다부여되는가상전화번호 ) 로이용자가직접전화를걸어인증번호를입력하여인증하는방식 이용자가미리지정한전화번호로발신하였을때만인증가능 ( 아웃바운드, Out-bound) ARS인증을요청하면이용자에게전화가수신되고, 이용자는수신된자동음성의안내에따라인증번호를입력하여인증하는방식 이용자가사전에지정한전화번호로만수신가능 - 2 -
< 인바운드방식절차 > < 아웃바운드방식절차 > (SMS 인증 ) 가입자명의의휴대폰으로인증번호를포함하는 SMS 가수신 되면, 이용자는인증번호를입력하여본인임을확인함 < 본인확인서비스인증절차 > ( 위험성 ) 통신사부가서비스 ( 착신전환등 ), 악성코드 ( 원격제어, SMS 탈취 ) 통신장비조작등을통한인증정보탈취위협이존재함 ( 착신전환 ) 부가서비스혹은프로그램에의한착신전환으로본인단말기이외의단말기에서인증수행가능 ( 악성코드 ) 원격제어기능으로임의의인증을수행및 SMS 탈취가능 - 3 -
( 통신장비조작 ) 이동통신사의기지국, 사설교환기, 회선교환기 (PBX) 등의통신장비를조작하는경우대상범위의기기에대한발신번호조작, 착신조작등악용가능 단, 통신장비조작은장소적제약이발생하여, 대상이한정적 휴대폰인증 ( 앱안심인증 ) ARS 인증보다보안을강화한것으로이동통신사에등록된기기여부를확인하는인증절차로본인명의휴대폰여부를확인하는서비스임 ( 편의성 ) 개인정보입력절차생략 ( 보안성 ) 이동통신사에등록된기기인지확인하는과정을통해등록된기기이외에서인증이불가능하도록인증강화 < 휴대폰인증 ( 앱안심인증 ) 절차 > ( 위험성 ) 원격제어기능을악용하여임의인증을수행할수있으며, 결제비밀번호이외의어떠한정보를요구하지않음 또한, 역공학을통해인증메시지생성알고리즘의생성규칙을파악이가능할경우, 타기기에서도발신번호조작을통한인증위협이존재 폰OTP 인증 프로세스가일반영역 (Normal World) 과보안영역 (Secure World) 으로구분된스마트폰을이용하여, 보안영역에서일회용비밀번호 (OTP) 를생성하여인증하는서비스임 - 4 -
현재는 TrustZone 을지원하는안드로이드기반스마트폰에서만기능지원 ( 편의성 ) 이용자는보안영역의이용여부를인지하지못하므로절차가추가되거나번거로움이발생되지않음 ( 보안성 ) 일회용비밀번호값을생성되는위치가일반영역이아니므로상대적으로높은보안성을제공 < 폰 OTP 인증절차 > ( 보안영역 ) H/W 적으로분리되고신뢰된실행환경 (TEE) 4) 에서애플리케이션을 구동하므로일반영역에서접근이불가함 < 기존환경과 TEE 환경구조 > 4) TEE(Trusted Execution Environment) - 5 -
( 위험성 ) 취약점, 중간자공격등을통한데이터유출위험성이존재함 ( 취약점 ) 펌웨어 (Firmware), 커널 (Kernel) 등의취약점을통해보안영역의데이터에접근하는등의악용사례가지속적으로보고 5) ( 중간자공격 ) 생성된인증값은인증서버로전달하기위해일반영역을거쳐인증서버와암호화통신을하므로, 취약점혹은키값이노출될경우인증값탈취가능 IC 태깅인증 IC카드에등록된사용자식별정보나탑재된인증모듈 ( 인증서, OTP 등 ) 로부터생성된인증정보를 NFC 방식을통해모바일기기로전송하여인증하는방식임 ( 편의성 ) 이용자는보안영역을이용하고있다는것을인지하지못하므로절차가추가되거나번거로움이발생되지않음 ( 보안성 ) 실물 IC카드를추가로소지해야만인증이가능 < IC 태깅인증절차 > ( 위험성 ) IC칩복제, 메모리덤프, 중간자공격등을통한데이터유출위험성이존재함 (IC칩복제 ) 특수복제장비를이용하여 IC칩을복제하여인증수행 단, 다른단말기에서이용하기위해서앱설치과정을우회해야함 5) 금융보안원, 최신안드로이드트러스트존 (TrustZone) 취약점상세분석 (2015.10.21.) 참조 - 6 -
( 메모리덤프 ) 인증서버로전달되기전스마트폰의메모리상에저장된인증값을외부로전달하여인증하는데이용 ( 중간자공격 ) 인증서버로태깅값을전달할때통신구간의취약점혹은노출된암호화통신키값으로전달되는인증값탈취 바이오인증 지문, 홍채, 정맥, 목소리, 얼굴등이용자의생체혹은행위정보를이용하기위한인증방식임 ( 편의성 ) 키입력절차생략 ( 보안성 ) 이용자본인만이인증이가능한방식으로복제가쉽지않으며, 바이오정보가단말기내부의보안영역에저장되어유출위험이낮음 < 지문을활용한바이오인증절차 > ( 위험성 ) 스마트폰에내장된바이오인증모듈은보급형장치로써, 위 변조탐지가어렵고, 재전송 (Replay) 공격등의위험성이존재함 ( 위 변조 ) 실리콘지문, 고해상도사진출력등을이용한인증우회로인한사고혹은악용사례가지속적으로보고 6) ( 재전송공격 ) 인증에성공된네트워크정보를재전송하여인증우회 6) 금융보안원, 바이오정보사고사례및대응방안조사 (2016.3.7.) 참조 - 7 -
3. 비교분석 서비스이용제약 ( 단말기, 운영체제, 기능등 ) 에의해범용성, 보안성등의 차별점이존재함 < 대체본인인증서비스비교 > 구분 ARS/SMS 인증휴대폰인증폰 OTP 인증 IC 태깅인증바이오인증 제공여부제공중제공중제공중제공중제공예정 보안영역을 NFC 기능을 인증모듈 이용조건없음스마트폰 지원하는 지원하는 ( 지문 / 홍채 프로세스 스마트폰주 1) 인식등 ) 기입정보 (ARS) 인증번호 (SMS) 성명, 생년 결제비밀번호 결제비밀번호 IC 카드터치 월일, 전화번호주2) 바이오정보 ( 지문, 홍채, 목소리등 ) 주 3 인증주체이동통신사이동통신사 금융회사, 이동통신사주 4) 금융회사 금융회사 ( 단말기 ) 인증정보생성주체이동통신사단말기단말기 ( 보안영역 ) IC카드단말기 (+ 단말기 ) 주5) ( 보안영역 ) 위험성 착신전환, 악성코드, 통신장비조작 원격제어, 역공학 취약점, 중간자공격 IC 칩복제, 메모리덤프, 중간자공격 위 변조, 재전송공격 이슈 SMS 인증은위험성을고려하여단독으로사용되지않음 아이폰이용시 문자를직접 전송해야함 관련기능모듈 ( 보안영역, NFC, 바이오인증 등 ) 을요구하므로, 비교적최신의단말기사용 조건이필요함 주1) 아이폰의 NFC 기능을애플페이 (Apple Pay) 에서만이용가능하므로, 이용제약발생주2) 경우에따라입력정보가조금씩상이함주3) 서비스출시전으로정확한확인불가능주4) USIM 기반일경우 ( 현재기능미지원 ) 주5) 인증정보는 IC카드에서생성되나단말기가없으면인증정보를읽을수없음 - 8 -
4. 시사점 공인인증서의무사용이폐지된후공인인증서를이용한본인인증을대체하기위해휴대폰기반본인인증서비스가등장하고있으며, 인증정보를안전하게생성 전달하기위해다양한보안기술이적용되고있음 단말기, 추가인증수단 (IC카드) 을통해인증정보를생성하는것이상대적으로안전하지만, 생성되는위치 ( 일반영역, 보안영역 ) 에따라보안성, 위험의정도가달라짐 지속적으로발생되는위협으로부터이용자를보호하기위해서는사전에등록된단말기기반인증이외에도 FDS 7), 거래연동인증, TUI 등의추가적인보안방안을적용을고려해야함 (FDS) 다양한수집데이터를활용하여부정인증시도여부를판별하고, 유사한위협에대해서는신속한정보공유등의대응방안고려 ( 거래연동인증 ) 인증값생성시거래정보와연동하여본인의거래내역을확인하여보안강화 (Trusted UI, TUI) 일반영역의입 출력값은캡쳐, 키로깅등의위험에노출되므로보안영역에구현하여입 출력값보호필요 7) FDS(Fraud Detect System) - 9 -
[ 참고 ] 카드사별본인인증서비스제공내역및테스트환경 테스트환경 인증을위해서특정기능을제공하는모바일기기와운영체제, 카드사에서제공하는앱설치가필요하며, 바이오인증은현재제공중이지않아일반적인내용을바탕으로작성함 ( 모바일 ) iphone 6, Galaxy Note5 구분 iphone6 Galaxy Note5 운영체제 ios 9 Android 6 NFC 지원 * 지문인식지원 TEE 지원 * NFC 기능은애플페이에서만이용가능함 카드사별본인인증서비스 현재 (2016.4 월기준 ) 카드사별본인인증서비스를지원하는내용으로, 접근 과정등에따라다소상이할수있음 구분 제공중인인증서비스 KB 국민카드공인인증서, ARS 인증 ( 아웃바운드 ), 휴대폰인증 ( 앱안심인증 ) NH농협카드롯데카드삼성카드신한카드 공인인증서, SMS인증공인인증서, SMS인증공인인증서, ARS인증 ( 아웃바운드 ), SMS인증공인인증서, ARS인증 ( 인바운드 ), 폰OTP, IC태깅 씨티카드 공인인증서, ARS인증 ( 아웃바운드 ) 하나카드 공인인증서, SMS+ARS인증 ( 아웃바운드 ) 현대카드 공인인증서, ARS인증 ( 인바운드 ) 비씨카드 공인인증서, ARS인증 ( 아웃바운드 ) - 10 -
구분 제공중인인증서비스 IBK기업은행카드 공인인증서, ARS인증 ( 아웃바운드 ) KDB카드 공인인증서, ARS인증 ( 아웃바운드 ) SC은행리워드카드 공인인증서, ARS인증 ( 아웃바운드 ) 광주카드 공인인증서, ARS인증 ( 아웃바운드 ) 수협카드 공인인증서, ARS인증 ( 아웃바운드 ) 신협체크카드 공인인증서, ARS인증 ( 아웃바운드 ) 우리카드 공인인증서, ARS인증 ( 아웃바운드 ) 우체국카드 공인인증서, ARS인증 ( 아웃바운드 ) 전북카드 공인인증서, ARS인증 ( 아웃바운드 ) 제주카드 공인인증서, ARS인증 ( 아웃바운드 ) 현대증권체크카드 공인인증서, ARS인증 ( 아웃바운드 ) - 11 -