2011. 6. 30 강우진 (hanull@fsa.or.kr) 1
목차 Ⅰ. 젂자금융인증기술소개 Ⅱ. OTP 인증기술적용현황 Ⅲ. 젂자금융新인증기술 Ⅳ. 인증기술향후젂망 Ⅴ. Q & A 2/35
인증 (Authentication) 의정의 여러사람이공유하고있는컴퓨터시스템이나통신망의경우이를이용하려는사람이나응용프로그램의신분 (identification) 을확인하여불법적인사용자가들어올수없도록시스템보안을유지하는방법 인증 (Authentication) 의종류 사용자인증 접속한사용자가허가된사용자인지확인하는보안절차 거래인증 전송된메시지가변조되지않은송신자가보낸그대로의것인지확인 KEYWORD 3
4/35
전자금융인증기술의특성 인터넷뱅킹등비대면금융거래를위해필수적으로수반되는핵심요소국방, 의료, 기타산업에비해기술개발속도가빠르며매우민감사용자편의성측면에대한고려가필수 전자금융인증기술의분류 ID 패스워드가상키패드스크램블패드 지식기반인증기술 전자금융인증기술 소지기반인증기술 HSM 공인인증서 H/W OTP 보안카드 SMS 방식 2채널방식 별도채널이용인증기술 기타인증기술 생체기반인증 백엔드인증 모바일인증 5
국내도입사례 지식기반인증기술 소지기반인증기술 H/W OTP 방식 ID 패스워드방식 HSM 공인인증서방식 보안카드방식 6
국내도입사례 별도채널이용인증기술 기타인증기술 전화승인방식 생체인증방식 백엔드인증방식 SMS 인증방식 7
해외도입사례 지식기반인증기술 소지기반인증기술 ID 패스워드방식 + 문답식방식 Transaction Signing < 미국의 BOA > (Bank of America) ID 와비밀번호외에 ID Shield 라는 문답식로그인인증제공 < 호주의 BOQ > (Bank of Queensland) $25,000 이상의금액을이체할시에는 Transaction Signing 방식사용 8
해외도입사례 별도채널이용인증기술 기타인증기술 전화인증 VM 기반의모바일 OTP 기술 < 영국의 Lloyds TSB Bank > 미리등록해놓은전화번호중에서수신을원하는전화번호를선택하여전화를받은후인터넷뱅킹화면에표시된 4 자리인증번호를전화상에입력 < 싱가포르의 OCBC 은행 > 어플리케이션실행후인터넷뱅킹사이트에서제공하는임의의값을입력하여 OTP 생성 9
10/35
OTP(One-Time Password) 개요 로그인세션또는통신시마다매번변경되며단한번만사용가능한일회용비밀번호 현재패스워드로부터다음번패스워드의유추가수학적으로불가능 네트워크스니핑등을통해서현재사용하고있는 OTP 를얻어내었다하더라도, 이후에재사용이불가능 OTP 동작원리 사용자 OTP 사용자 PC 금융기관 (OTP 인증서버 ) 11
OTP 발생기종류 토큰 1 형 OTP 기기에버튼이없으며자동적으로 OTP 값이출력되며, 1 분 (30 초 ) 에 1 번씩자동으로변경된값출력되는방식 토큰 2 형 OTP 기기에키패드가존재하며, 4 자리 PIN 번호를입력하면 OTP 값이화면에출력되는방식 토큰 3 형 OTP 기기에전원버튼을누를경우 OTP 값이화면에출력되는방식 카드형카드형태로서 전원버튼 을누를경우 OTP 값이화면에출력되는방식 12
OTP 통합인증센터설립배경 05. 5 월국내최초로발생한인터넷뱅킹해킹사고를계기로, 금융보안전담기구 와 OTP 통합인증센터 설립등을주요내용으로하는전자금융거래안전성강화종합대책 을산업자원부, 정보통신부, 금융감독위 ( 원 ) 등이공동으로수립하여, 05.9.16 일경제정책조정회의에보고 07 년 3 월부터 OTP 통합인증센터구축사업을개시, 07 년 6 월 29 일서비스개시 전자금융감독규정개정 (2008) 보안등급별이체한도차등화정책시행 (2008.4 월 ) 13
OTP 통합인증센터의거래현황 (62 개금융회사 ) 구분 10년 1/4분기 10년 2/4분기 10년 3/4분기 10년 3/4분기 11년 1/4분기 인증건수 86,707,965 94,045,289 95,595,099 105,391,666 150,061,155 등록건수 501,566 507,054 462,370 518,777 600,400 누적발급건수 3,704,844 3,983,231 4,229,168 4,502,771 4,823,853 인증건수 14
OTP 통합인증센터역할 금융회사 OTP 시스템구축및운영비용절감 금융회사가개별적으로 OTP 시스템구축및운영시 발생하는비용절감 OTP 센터 전자금융거래안정성강화 안전한인증매체인 OTP 를사용하여 전자금융거래의안정성강화 OTP 사용자편의성증대 하나의 OTP 기기를전체금융회사에이용등록하여사용하도록함으로써사용자편의성도모 15
해외 OTP 활용동향 공통적인특징으로는모든은행들이 SSL/TLS 프로토콜을지원 Internet Explorer 이외의브라우저 (Firefox 등 ) 에대한호환성을제공계좌이체시대부분 OTP를사용함으로써인터넷뱅킹서비스의보안을강화 16
17/35
전자금융新인증기술의요건 스마트환경및거래환경에따른다양한적용성 스마트폰, IPTV 등의다양한최신매체에활용 소액결제 / 이체등의 Risk 가적은금융거래에활용 요건 사용자의편의성증대 웹접근성강화, 휴대편의성등의 사용자중심의서비스강화 보안성강화 증가하는최신해킹기술에대응하기위한 인증기술의개발및적용 ( 부정거래방지 ) 18
거래연동 OTP 기술 적용성보안성편의성 거래연동 OTP 기술개요 사용자가 pc 에입력한계좌번호와결제금액등의거래정보와연동된 OTP 를생성하여, 전자금융서버에서이를확인하고거래정보가변경된경우이를거부하는기술 거래연동 OTP 특징 Contents Manipulation Attack(MITB, 메모리해킹등 ) 에도효과적으로대응가능하며, 최고수준의보안성제공 표준 SSL/TLS 의이용과웹표준을준수하여서비스를제공하여, 표준브라우져및대부분의플랫폼에서별도의프로그램없이동작 별도의리더기없이 OTP 발생기만으로거래서명값발생 19
거래연동 OTP 기술 적용성보안성편의성 2 계좌번호일부입력 4 계좌번호일부 +OTP 값 1H/W PIN 입력 / 검증 X 3OTP 값 X 기기탈취시 H/W PIN 보호로 OTP 조작불가능 금융기관 X 수신인계좌를해커의계좌로변경할경우 OTP 검증실패 6 검증결과 OTP 센터 5OTP 검증 해커가사용자 PC 의제어권을장악한경우에도획득한 OTP 재사용불가능 해커 20
USIM OTP 기술 적용성보안성편의성 OTP 생성 비밀정보저장 OTP 출력 USIM OTP 개요 OTP 에사용되는주요구성정보인 OTP 비밀정보, 인증모듈을휴대폰의 USIM 칩내부에저장하고, USIM 에서 OTP 를생성하여, 안전하고편리하게 OTP 서비스를이용할수있는기술 USIM OTP 특징 USIM 기반으로기존의 H/W OTP 동등한수준의보안성제공 별도의토큰 ( 장비 ) 를이용하지않아휴대의불편함해소 표준 OTP 기술인시각 / 이벤트동기화방식을사용 21
USIM OTP 기술 적용성보안성편의성 USIM OTP 인증시나리오 1 사용자는금융회사에인증요청 2 금융회사는사용자에게 OTP 요청 3 사용자는 USIM OTP를이용해서 OTP 생성 4 생성한 OTP를금융회사에전달 5 금융회사는사용자정보와전달받은 OTP를 OTP 통합인증센터에전달하여 OTP 인증요청 6 OTP 통합인증센터는사용자정보를이용해서 OTP 인증 7 OTP 통합인증센터는인증한결과를금융회사에전달 8 금융회사는전달받은정보를이용해서사용자인증결과를사용자에게전달 22
이상거래탐지기술 적용성보안성편의성 이상거래탐지기술개요 금융서버에구축되어사용자의전자금융거래패턴을비교및분석하여이상거래를탐지하는기술 이용자의거래이용정보 ( 접속, 거래, 행위등 ) 를각각의미리정의된룰 (Rule) 에따라룰엔진 (rule engine) 으로분석 룰엔진은위험점수를계산하고기준점수를초과하는경우실시간으로거래를중지하거나, 추가적인인증 (OTP 등 ) 을요구 이상거래탐지기술특징 시스템구축및운영시사용자환경에어떠한영향도미치지않음 이용자환경에영향을주지않기때문에급격한전자거래환경의변화에도능동적대응 23
이상거래탐지기술 적용성보안성편의성 이상거래탐지시나리오 1 전자금융서비스이용자가전자금융거래를위해서금융회사에온라인접속 2 이상거래탐지시스템은금융거래이용자의거래내역수집 3 미리정의된룰에따라서해당거래내역의데이터를선별 4 엔진에서데이터를분석하여이상거래패턴을분석 5 분석된패턴을위험위험점수 (Risk Score) 로측정 6 위험점수를정의해둔임계치와비교하여거래를허용여부판단 24
PKI 서명센터 적용성보안성편의성 기술소개 사용자의개인키및인증서를관리시스템인중앙 PKI 서명센터에저장하고, 중앙 PKI 서명센터에서관리하는기술 ex) 노르웨이 Bank ID 특징 중앙시스템에개인키와인증서를저장하기때문에다수의 PC 에사용하기위해서개인키와인증서의이동이필요없는장점 상대적으로보안이높은중앙 PKI 서명센터에저장하기때문에악성코드에의한노출에안전하고사용자의인증서관리부주의에의한단점을보안
PKI 서명센터 적용성보안성편의성 3 사용자인증및젂자서명생성후사용자를통해금융시스템젂송 중앙 PKI 서명센터 (Central Infrastructure) 4 젂자서명검증 금융시스템 (Merchant) 2 OTP 와비밀번호와거래정보를 PKI 서명센터로젂송 1 사용자접속후인증및이체실행 사용자 (Customer) ➄ 젂자서명저장 전자서명생성시나리오 전자서명생성 1 사용자가인증절차를수행하고전자금융서비스웹페이지에보내고자하는계좌번호및금액을입력확인후이체실행 2 웹브라우저는사용자에게 OTP와비밀번호와거래정보를입력받아 PKI 서명센터로전송 3 PKI 서명센터는 OTP로사용자를인증하고, 전송된비밀번호로저장되어있는사용자의개인키를복호화하여, 전송된거래정보에전자서명값을생성하여사용자를통해금융시스템으로전송 4 금융시스템은전송된전자서명값을검증하고, 전자금융서비스제공 ➄ 금융시스템은전자서명값을사용자에게전송하고, 사용자는부인방지를위해전자서명을로컬PC에저장 26
NFC-CAP 기술 적용성보안성편의성 CAP 기술개요 APACS( 영국지불결제연합 ) 에서제안한기술 OTP 기능이포함된스마트카드리더기를기반으로이체시수신자의계좌번호및이체금액과연동하여 OTP 번호생성하는기술 EMV 표준으로지정되어영국, 유럽지역에서만 800 만가입자이미사용중 NFC 기술개요 10cm 이내의근거리에서 13.56MHz 주파수대역을사용하여통신하는비접촉식근거리무선통신기술 스마트폰과의융합을통해단말간데이터통신을제공 비접촉식스마트카드기술및무선인식기술 (RFID) 와상호호환성제공 NFC-CAP 개요및특징 IBM-Reserch에서제안한기술로 NFC기술을이용하여, 별도의단말기없이 CAP을구현기존별도의단말기에서구동하였던 CAP을 NFC가탑재된핸드폰을통해서구현한기술 CAP의특징을이어받아최신해킹공격 ( 클라이언트변조등 ) 에의한부정거래를방지 27
NFC-CAP 기술 적용성보안성편의성 프로그램의설치 NFC 태그가내장된스마트카드에 NFC 핸드폰을근거리에위치시켜, NFC 태그에저장된프로그램설치주소를읽음 해당주소로접속하여구동프로그램을설치 구동시나리오 고객이 PC 로인터넷뱅킹을이용할금융회사의홈페이지로접속하여 ID 필드에자신의 ID 를입력 서버는 SSL 채널을통해서 6~8 자리숫자의 challenge' 를전송. 사용자는휴대폰에서 midlet 실행후 Log-in 모드를선택, 핸드폰에 challenge 를입력후 PIN 을입력 핸드폰은 NFC 를이용하여해당데이터를스마트카드로전송하고스마트카드는 Response 생성하여핸드폰으로전송 사용자는웝페이지의필드에 response 를입력 28
지문보안토큰기술 적용성보안성편의성 지문보안토큰기술개요 조달청에서나라장터에서공인인증서대여로발생한불법전자입찰의차단을위해도입 보안토큰에바이오정보인식센서를추가하여, 보안토큰의개인키에접근하기위해비밀번호대신바이오정보를이용 바이오정보인증기술은바이오정보인증을서버에서수행방식과사용자의바이오정보인증매체에접근통제를위한방식의두가지로구분 서버에서바이오인증을수행하는방식은바이오정보가인터넷을통해노출될위험이존재하므로, 현재로서는바이오정보의전송이필요없는사용자단의인증매체활성화용도로사용되는것이상대적으로안전 특징 개인키에대한접근을보안성이낮은비밀번호대신보안성이높은바이오인증으로대체하고, PKI 기능을이용할수있음 29
지문보안토큰기술 적용성보안성편의성 지문보안토큰사용시나리오 입찰자는조달청의대면확인절차를통해신원확인후, 지문보안토큰에지문정보등록후, 등록된지문정보의정상인식여부를확인 나라장터홈페이지에링크된공인인증기관또는생산업체홈페이지를통해법인용및개인용공인인증서를지문보안토큰에복사 나라장터의전자입찰사이트에접속하고, 안내화면에따라지문보안토큰을이용하여시스템에로그인 전자입찰서작성하고, 지문보안토큰을이용하여전자서명을생성 전자입찰시스템에제출하여입찰에참여 30
스마트서명 (Smart Sign) 기술 적용성보안성편의성 기술개요 ETRI 에서개발한스마트서명기술로웹브라우저별플러그인대신브라우저별특성에관계없는공통의스마트서명애플리케이션 (SmartSign 앱 ) 을설치하여전자서명을하는기술 웹브라우저에서웹표준프로토콜을사용하여전자서명기능을호출하므로아이폰, 안드로이드등플랫폼에상관없이모든브라우저에서동일한방식으로공인인증서전자서명을이용 특징 모든웹브라우저에서공인인증서기반전자서명이가능모든웹브라우저에서동일하게작동하여플랫폼중립성확보 ( 단, Smart Sign App은 OS마다따로개발 ) 인터넷뱅킹웹페이지마다전자서명을위해새롭게플러그인이설치될필요없음 31
스마트서명 (Smart Sign) 기술 적용성보안성편의성 동작방법 Url Protocol Handler 를이용하여젂자서명프로그램호출 URL Protocol Handler : 웹브라우저에서 http://, https://, ftp:// 와같이 :// 앞에표시되는문자열에따라서뒤따르는 URL 과파라미터들을입력받는응용프로그램을호출해서데이터를넘겨주는기능 인증프로그램호출방법 웹브라우저의주소창또는자바스크립트에서 smartsign://stringtosign=a6wf3red 와같은형태로공인인증프로그램을실행후서명값을반홖받음 32
33/35
SMART OTP 부인방지 Global Standard SMART 폰혁명 보안매체로의활용대두 스마트폰의확산 2009 년 11 월아이폰의국내출시를계기로스마트폰본격확산시작 2009 년말 80 만명에불과했던스마트폰가입자수가금년 3 월 1 천만명돌파, 연말에는 2 천만명을돌파할것으로젂망 보안매체로홗용가능한스마트폰의특징 휴대성 : 별도의매체를들고다니지않아도스마트폰자체만으로보안매체의역홗이가능 보안성 : 스마트폰에장착된 USIM 을통해서기존에젂용하드웨어 OTP 와같이안젂한플렛폼의구현이가능 확장성 : 연산장치, 키패드및통싞등의지원으로기술확장이용이 34
SMART OTP 부인방지 Global Standard OTP 의확산 USIM OTP 거래연동 OTP 부인방지 OTP OTP 의발전 높은보안성 현존하는가장우수한보안매체중하나 새로운홖경에적용이용이 급변하는 SmartPhone, IPTV 등의새로운홖경에도적용이용이 발젂가능성 USIM OTP, 거래연동 OTP, 부인방지를지원하는 OTP 등 35
SMART OTP 부인방지 Global Standard 공인인증서이외의부인방지기술등장 구성도 부인방지의종류 출처 : ISO/IEC13888-2 국제표준을준용한부인방지제공 부인방지의대두 현재공인인증서만이부인방지를제공하는유일한수단이나, 송싞자 ( 이용자 ) 에대한부인방지 (NRO) 기능만이한정되어사용되고있음. 금융회사의부인방지 (NRD) 를위해서는이용자측면에서거래정보보관필요 ISO/IEC 13888 에따라공개키 (PKI) 방식뿐만아니라대칭키방식으로도부인방지제공가능 ITU-T 국제표준추진 부인방지 OTP 기술 싞규표준채택 (4.20) Recommendation ITU-T X.sap6, OTP based non-repudation framework 36
SMART OTP 부인방지 Global Standard Global Standard 의준수필요 Flash ActiveX Java Script HTML5 SSL Flex Global Standard 부각 인증을요구하는플랫폼의다변화 인증이사용될새로운젂자홖경은다양한플랫폼과기술이혼용되어사용 표준의준수 서로다른홖경과기술에부합되어인증기술이적용되기위한 Global Standard 가부각됨 인증기술의 Global Standard 의준수를통해서다양한플랫폼에서의호홖성확보가필요 37