행정전자서명암호체계고도화 추진경과 행정전자서명인증관리센터 0
Ⅰ Ⅱ Ⅲ 행정전자서명인증체계 (GPKI) 개요 행정전자서명암호체계고도화추진현황 표준 API 재배포추진현황
1. 행정전자서명인증체계개요 Ⅰ. 행정전자서명인증체계개요 추진배경및목적 추진배경 전자정부의행정환경이종이문서기반에서전자문서로전환됨에따라 해킹등에의한주요정보의노출, 변조, 훼손등의문제로인한전자정부신뢰성및안정성 확보의중요성대두 구축목적 전자문서송 수신에대한행정기관및공무원신원확인, 전자문서위변조방지등보장 행정전자문서안정적유통을위한정부차원의정보보호체계마련 행정, 공공 금융기관의행정전자서명인증서비스를위한인증관리시스템구축 운영및 주요업무 인증업무지원 인증기관및 ( 원격 ) 등록기관지정 관리를위한인증체계구축 운영 2
1. 행정전자서명인증체계개요 Ⅰ. 행정전자서명인증체계개요 인증체계 정부인증체계 (GPKI) 공인인증체계 (NPKI) 정부최상위인증기관 (Root CA) ( 행정안전부 ) 상호연동 민간최상위인증기관 (Root CA) ( 한국인터넷진흥원 ) ㅇ 행정안전부 CA 국방부 CA ( 미사용 ) 대검찰청 CA 병무청 CA 대법원 CA 교육과학기술부 CA 금융결제원 한국증권전산 한국정보인증 한국전자인증 한국무역정보통신 공무원의신원확인및행정업무처리를위한인증서발급 전자관인, 서버등의기관용인증서발급 인터넷뱅킹, 주식거래등의개인신원확인 전자상거래, 민원신청등용도로사용 3
1. 행정전자서명인증체계개요 Ⅰ. 행정전자서명인증체계개요 법제정 고시 2010 년 행정전자서명인증인증업무지침 제정 고시 ( 행정안전부고시제 2010-75 호, 10.12) 2010 년 연혁 행정전자서명인증업무지침제정 ( 10. 12) 행정전자서명암호체계고도화를위한최상위인증시스템 (RootCA) 조기구축 표준 API 기능개선및재배포안내 2009 년 장애인웹접근성관련웹표준화방안마련 개인용인증서에가상식별번호 (VID) 적용 2001 년 전자정부구현을위한행정업무등의전자화촉진에관한법률 및 동법시행령 에행정전자서명근거마련 ( 01.3) 행정기관전자서명인증기반 (GPKI) 상호연동기술표준제정 ( 01.3) 2006 년 2003 년 2000 년 ~ 2002 년 범정부행정정보공유체계구축 ( 06.10. 07.3) : 공공 금융기관용행정전자서명인증서발급 행정전자서명을위한사용자접근권한관리시스템 (PMI) 구축 ( 03.12) : 행정정보공동이용, G4C 공무원창구로그인적용 전자민원서비스제공기반구축을위한민 관전자서명상호연계체계 ( 01.9 02.5) 정부인증관리체계 ( 인증기관지정 고시등 ) 구축 ( 02.7 02.12 ) 행정전자서명제도도입및인증시스템구축 이중화 ( 00. 4 00.12) 4
1. 행정전자서명인증체계개요 Ⅰ. 행정전자서명인증체계개요 인증서발급대상 인증서발급대상 행정기관행정기관의보조기관및보좌기관행정기관과전자문서를유통하는기관, 법인및단체행정정보공동이용이용기관 ( 전자정부법제36조제2항의법인, 기관, 단체 ) 인증서종류 구분용도유효기간 전자관인용 전자문서유통등송수신기관확인이필요한행정업무 2 년 3 개월 서버용 컴퓨터시스템에지속적으로처리하는행정업무 기관용 SSL 용 사용자 PC 와웹사이트사이에송 수신되는정보의암호화하여전송 2 년 개인정보유출방지 특수목적용 차량용, 공직자통합메일용 2 년 3 개월 개인용 전자결재, 통합메일, 행정업무 (GVPN, 행정정보공동이용, 디지털예산회계등 ), 전자민원 G4C 등공무원신원확인용도로사용 2 년 3 개월 5
1. 행정전자서명인증체계개요 Ⅰ. 행정전자서명인증체계개요 인증서발급현황 행정전자서명인증서는기관용 / 개인용으로구분하여발급 공무원개인에게는유선용과무선용으로, 기관에게는전자관인용과기관별정보시스템의서버용으로구분하여발급 ( 10.12 월말현재 ) 구분 계개인용기관용 기관건수유선무선전자관인서버용 계 1,007 571,850 559,235 756 570 11,289 중앙행정기관 61 163,315 158,576 656 127 3,956 지방자치단체 246 264,701 257,798 95 321 6,487 시도교육청, 공공기관등 700 143,834 142,861 5 122 846 10 년월평균 3 만 4 천건의인증서가 ( 재 ) 발급되고있으며, 인증관리센터와 700 여명의 (L)RA 담당자가관리를하고있음 6
2. 행정전자서명암호체계고도화추진개요 Ⅱ. 고도화추진개요 개요 국외암호전문기관 (NIST 등 ) 권고및국정원 국가 공공기관암호사용기준 에따른행정전자서명키길이및해시알고리즘교체 공인인증체계 (NPKI) 와상호호환성확보를위하여관련기관협의체운영 추진배경 행정전자서명인증체계에서사용중인암호알고리즘은 '11 년이후안전성담보어려움 NIST 권고사항 (Recommendation for Key Management - Part 1, 2007.3) 국가 공공기관정보시스템의전자서명및암호키생성등에사용되는알고리즘은 11 년까지 SHA-2 또는새로운국가표준해시알고리즘으로대체 국가 공공기관암호사용기준 (09.12.4) 인증서자체에대한해킹 ( 불법복제, 위조생성등 ) 을방지하고행정전자서명인증서의 신뢰성확보를위해전자서명 ' 키길이상향조정 ', ' 해시알고리즘교체 ' 필요 7
2. 행정전자서명암호체계고도화추진개요 Ⅱ. 행정전자서명암호체계고도화추진현 주요고도화내용 1. 해시알고리즘교체 SHA-1 해쉬알고리즘 SHA-256 알고리즘 인증서키길이 2. 인증서키길이상향 암호용알고리즘 RSA 1024bit RSA 2048bit 전자서명용알고리즘 KCDSA 1024bit KCDSA 2048bit 3. 비밀키암호알고리즘 해쉬알고리즘 NEAT ARIA( 개인용 ), NES( 서버용 ) 8
2. 행정전자서명암호체계고도화추진개요 Ⅱ. 행정전자서명암호체계고도화 추진체계 인증기관 (CA) 행정안전부 ( 최상위인증기관 ) 서비스이용기관 공인인증체계 (NPKI) 암호체계고도화추진팀 구분기관역할 최상위인증기관 (RootCA) 인증기관 (CA) 행정안전부 행정안전부 ( 행정용 / 공공 금융용 ) 대검찰청 대법원 교육과학기술부 병무청 국방부 RootCA 시스템고도화 인증시스템 고도화 등록기관 (RA) 한국지역정보개발원 ( 인증관리센터 ) 서비스이용기관 중앙행정기관 지방자치단체 공공 금융기관 표준 API 교체 암호체계고도화지원팀 표준 API 보급팀 운영및유지보수팀 암호체계고도화추진지원 공인인증체계 (NPKI) 행정안전부 ( 정보보호정책과 ) 한국지역정보개발원 인증관리센터 한국인터넷진흥원 인증시스템고도화지원 표준 API 기능개선 / 재배포 공인인증체계와상호호환성확보 9
2. 행정전자서명암호체계고도화추진개요 Ⅱ. 행정전자서명암호체계고도화 암호체계고도화추진단계 인증시스템시범구축 표준 API 재배포 인증시스템개선 인증서발급 2011 년상반기 2011 년하반기 2010 년상반기 암호체계고도화단계별추진을위한인증기관회의 (1 월 ) 표준 API 기능개선 (4 월 ) ( 키보드보안확대적용, 라이선스기능추가, SHA-256 지원 ) 최상위인증기관 (RootCA) 시스템시범구축 (5 월 ) 표준 API 보급관리시스템개선 (5 월 ) 2010 년하반기 표준 API 재배포안내 ( 인증정책설명회, 독려공문 ) 행정전자서명인증업무지침제정 고시 (12 월 ) - 의견수렴 (8 월 ) 최상위인증서및인증기관인증서발급, 배포 (12 월 ) 인증 검증시스템개선 (3 월 ~7 월 ) 표준 API 재배포 ( 계속 ) 인증기관 (5), 등록기관 (4) 인증시스템개선지원 가입자인증서갱신 (8 월 ~) 10
3. 표준 API 재배포추진현황 Ⅲ. 표준 API 재배포추진현황 표준 API 란? 표준 API 정의 공무원의신원확인및행정기관의전자문서위ㆍ변조방지등을보장하고, 안정적인전자문서유통을위해개발된표준보안모듈 행정기관및지방자치단체등에배포하고있음 표준 API 종류 표준 API 웹용표준 API 사용자로그인및신원확인모듈 표준 API 용도 데이터송수신시전자서명및암호화 인증서검증 (OCSP, CRL 등 ) 시점확인 11
3. 표준 API 재배포추진현황 Ⅲ. 표준 API 재배포추진현황 지원운영체제 구분배포버전개발언어운영체제 Windows HP-UX 표준 API V1.4 C/C++, JAVA IBM-AIX SUN OS Linux UnixWare 웹용표준 API V1.4 ASP JSP / PHP Windows IIS Weblogic 8.X, 9.X, JEUS 4.X, 5.X, Websphere Tomcat 4.X, 5.X, 6.X 12
3. 표준 API 재배포추진현황 Ⅲ. 표준 API 재배포추진현황 용도 13
3. 표준 API 재배포추진현황 Ⅲ. 표준 API 재배포추진현황 기능개선표 구분주요기능개선사항비고 알고리즘 전자서명생성및인증서검증 NPKI 인증서검증지원 유 무선전자서명생성및처리 암호체계고도화에 따른 NPKI 인증서검증 SHA256 RSA/KCDSA/ECDSA 전자서명생성및검증처리 애플리케이션 키보드보안 웹용 API 키보드보안 소프트캠프, 잉카인터넷, 안철수연구소, 킹스, 소프트포럼제품확대적용 1 종 5 종 라이센스적용 API 적용시라이센스발급 표준 API 적용시라이센스적용 14
3. 표준 API 재배포추진현황 Ⅲ. 표준 API 재배포추진현황 재배포단계 1 보급현황파악 2 API 우선배포 3 API 신청 4 API 적용 전수조사 ( 10.4) 를통한 API 전체보급현황파악 인증서종류, 연계여부파악을통한 API 우선교체 (NPKI 이용시스템 ) GPKI 인증서이용시스템 API 도배포 표준 API 보급관리시스템을이용한 API 신청 재배포된 API 및라이센스적용 표준 API 재배포대상 표준 API 적용시스템 (719 개시스템 ) 기관협조사항 지속적인행정전자서명인증서비스이용을위하여표준 API 재배포계획에협조필요 15
3. 표준 API 재배포추진현황 Ⅲ. 표준 API 재배포추진현황 표준 API 보급현황 2010 년 12 월현재 구분 업무수 ( 또는시스템수 ) 계 GPKI GPKI & NPKI 계 1,107 1,026 81 중앙행정기관 730 677 53 지방자치단체 329 303 26 공공기관 48 46 2 16
3. 표준 API 재배포추진현황 Ⅲ. 표준 API 재배포추진현황 재배포추진일정 구분 2010년 2011년 1분기 2분기 3분기 4분기 1분기 2분기 3분기 4분기 NPKI 2010 년 7 월부터배포예정 툴킷 GPKI ( 표준 API) API 기능개선 2010 년 11 월부터 NPKI 상호연동테스트후배포 인증서발급 NPKI 1 NPKI+GPKI 동시사용업무시스템표준 API 재배포 2 신규시스템표준 API 배포 2011 년 4 월부터사용자인증서발급 ( 예정 ) GPKI 2011 년 8 월부터사용자인증서발급 ( 예정 ) 17
3. 표준 API 재배포추진현황 Ⅲ. 표준 API 재배포추진현황 표준 API 재배포시유의사항 유형검토내역해결방안 RootCA 인증서를업무시스템서버에저장하고 있는경우 RootCA 인증서존재여부확인 예 ) RootCA.cer 또는 RootCA.der 파일을검색 신규발급인증서 (RootCA, CA) 교체필요 인증서관련데이터 ( 전자서명및해시 ) 를 DB 에 저장하여사용하는경우 DB 칼럼사이즈 (1024, 2048) 확인 예 ) DB 에서전자서명또는해시데이터 사용여부확인 DB 칼럼사이즈변경 타 PKI 업체가표준 API 를활용하여전자서명 툴킷을제공하여업무시스템에적용한경우 해당 PKI 업체또는유지보수업체확인 - 18