바이오인증시스템의취약점은크게 8가지로분류됨 (1) 위조지문, 고해상도사진등위조된바이오정보를센서에입력하여인증을우회 (2) 저장소에침투하여기저장된바이오정보를조작, 삭제, 유출 (3) 불법취득한바이오정보를재생 (replay) 하여인증 (4) 위조된특징정보를임의로생성 (5)

Similar documents

경상북도와시 군간인사교류활성화방안

암호내지


개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

第 1 節 組 織 11 第 1 章 檢 察 의 組 織 人 事 制 度 등 第 1 項 大 檢 察 廳 第 1 節 組 대검찰청은 대법원에 대응하여 수도인 서울에 위치 한다(검찰청법 제2조,제3조,대검찰청의 위치와 각급 검찰청의명칭및위치에관한규정 제2조). 대검찰청에 검찰총장,대

년 2 월 1 1일에 모 스 크 바 에 서 서명된 북 태 평양 소하 성어족자 원보존협약 (이하 협약 이라 한다) 제8조 1항에는 북태평양소하성어류위원회 (이하 위원회 라 한다)를 설립한다고 규정되어 있다. 제8조 16항에는 위원회가 을 채택해야 한다고 규정

디지털컨버전스시대의사용자인증혁신 디지털컨버전스시대가도래하면서디지털세상으로진입하는관문인사용자인증이더욱중요해지고있습니다. 기업과서비스공급자는사용자가본인의정보에더욱안전하게접속할수있도록다양한인증수단을적용하고있습니다. 그러나복잡한인증과정은사용자의피로도를증가시켰으며, 이로인해발생

Microsoft PowerPoint - 6.pptx


2018년 10월 12일식품의약품안전처장


좀비PC

목 차 Ⅰ. 조사개요 1 1. 조사배경및목적 1 2. 조사내용및방법 2 3. 조사기간 2 4. 조사자 2 5. 기대효과 2 Ⅱ. P2P 대출일반현황 3 1. P2P 대출의개념 3 2. P2P 대출의성장배경 7 3. P2P 대출의장점과위험 8 4. P2P 대출산업최근동향

hwp

< 신용카드본인확인서비스 ( 자료 : 구글이미지 ) > ARS( 자동응답시스템 )/SMS 인증 ARS 혹은 SMS로이용자에게전달되는인증번호 ( 임의생성된숫자값등 ) 를입력하여이동통신사업자의서비스이용여부를통해본인임을인증하는서비스임 ( 편의성 ) 휴대폰기종 ( 피처폰, 스

본매뉴얼은 고객직접등록 S/W 사용자의원활한업무처리지원을위해제작되었으며업무효율성 증진등사유로사전예고없이변경될수있습니다. 고객직접등록시스템유지관리팀운영안내 평일 09 : 00 ~ 18 : 00( 점심시간 12 : 00 ~ 13 : 00) 토 일요

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

untitled

[ 목차 ]

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널


인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

슬라이드 1

ìœ€íŁ´IP( _0219).xlsx

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

<4D F736F F D20B1E2C8B9BDC3B8AEC1EE2DB1E8C7D0C0CF>

C O N T E N T S Ⅰ. 개요 1 1) 목적 1 2) 보호필요성 1 Ⅱ. 적용범위 2 1) 대상정보 2 2) 대상사업자 4 3) 법령과의관계 4 4) 재검토기한 4 Ⅲ. 바이오정보보호원칙 5 1) 비례성원칙 5 2) 수집 이용제한의원칙 6 3) 목적제한의원칙

현안과과제_8.14 임시공휴일 지정의 경제적 파급 영향_ hwp

2013 <D55C><ACBD><C5F0><BC31><C11C>(<CD5C><C885>).pdf

H3250_Wi-Fi_E.book

PowerPoint 프레젠테이션

13.11 ②분석

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

내지(교사용) 4-6부

내지2도작업


제 2 편채권총론 제1장채권의목적 제2장채권의효력 제3장채권의양도와채무인수 제4장채권의소멸 제5장수인의채권자및채무자


C O N T E N T S 1. FDI NEWS 2. GOVERNMENT POLICIES 3. ECONOMY & BUSINESS 4. FDI STATISTICS 5. FDI FOCUS

ThinkVantage Fingerprint Software

2 TECHNOLOGY BRIEF 기술소개서 FIDO 1.0 인증기술 기술개요 스마트폰을이용한온라인거래나로그인시에패스워드대신간단한 PIN 혹은사용자가소지하고있는스마트카드또는스마트와치를이용하는간편한조작으로안전하게인증하는 FIDO(Fast Identity Online) 1

wtu05_ÃÖÁ¾

4) 5) 6) 7)

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

PowerPoint 프레젠테이션

따라 대상 구역에서 본 서비스를 무료로 이용할 수 있다. 이용자가 본 서비스를 이용할 경우, 본 규약에 동의한 것으로 간주한다. 2. 이용할 수 있는 구체적인 시간 및 횟수는 이용 시 이용자 인증 화면 또는 대상 점포 등에서 제시한다. 3. 이용자는 본 서비스 및 대상

PowerPoint Template

주요생체인식기술의장단점비교 생체구분얼굴지문홍채 망막 작동방식 눈썹간간격, 얼굴뼈돌출정도등을판별하여본인인증 사람의손가락에있는지문의고유패턴을판별하여본인인증 홍채및망막의고유이미지패턴을판별하여본인인증 장점 - 대다수사용자에게적용가능 - 기계와직접접촉하지않음 - 원격인증이가능

ºñÁ¤±ÔħÇغ¸°í¼�.hwp

KMC.xlsm

2016년 신호등 4월호 내지A.indd

01-02Àå_»ç·ÊÁýb74öÁ¤š

확정급여형3차


TTA Journal No.157_서체변경.indd

C O N T E N T S 목 차 요약 / 1 I. 중남미화장품시장현황 / 3 Ⅱ. 주요국별시장정보 / 9 ( 트렌드 유통망 인증 ) 1. 브라질 / 9 2. 멕시코 / 콜롬비아 / 칠레 / 64 Ⅲ. 우리기업진출전략 / 79 # 첨부. 화장품관

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

슬라이드 1


저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할


그림 1> 삼성SDI 3분기 실적, 예상부합 (십억원) 3Q12P %YoY %QoQ 3Q11A 2Q12A Consensus 매출액 1, , , ,513.6 영업이익 세전이

SBR-100S User Manual

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

140109_다본다 레전드 매뉴얼


SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자


Microsoft Word - ICT Zoom


프로그래밍개론및실습 2015 년 2 학기프로그래밍개론및실습과목으로본내용은강의교재인생능출판사, 두근두근 C 언어수업, 천인국지음을발췌수정하였음

LG-T480S( 와인스마트 ) 공시일자 : 월 29 일 ( 주 ) 별 LPE01( 클래식폰 ) 공시일자 : 월 29 일 ( 주 ) 별 300MB 286, ,000 SKT 망내 550MB 100, ,000 스마일데이

PowerPoint 프레젠테이션

년도경상북도지방공무원제 1 회공개경쟁임용시험 - 필기시험합격자및면접시험시행계획공고 ( ) 필기시험합격자 : 491 명 ( 명단붙임 ) 2 필기시험합격자등록및유의사항. : ( ) ~ 7. 6( ) 3 등

2003report hwp

조사구번호 가구번호 - 한국종합사회조사 성균관대학교서베이리서치센터 종로구성균관로 전화

전략세션 논의 결과: 대기업 사업 그룹

º»ÀÛ¾÷-1

F1-1(수정).ppt

한국노인인력개발원 규정집(2015ver11).hwp

´ëÇа¨»ç¹é¼Ł Á¦3ºÎ

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

130726_트렌드씨_6월_rgb_s

사고란 무엇일까요? 03 사고는 왜 주의해야 할까요? 1) 사고의 피해 유형 개인정보가 유출될 경우, 명의 도용으로 인한 금전 피해 및 사생활(프라이버시) 침해 등의 피해가 발생할 수 있습니다. 065 사고란 생존하는 개인에 관한 정보 (성명 주민등록번호

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

*전자과학02월b63뼉?P-1

Microsoft Word - src.doc

2

조사보고서 구조화금융관점에서본금융위기 분석및시사점

경북지역일자리공시제내실화방안

[Blank Page] i

Á¦3ºÎ-6Àå

말은 많은 Blockchain 2

Transcription:

보안연구부 -2016-010 바이오정보사고사례및대응방안조사 ( 보안연구부보안기술팀 / 2016.3.4) 개요 바이오인증은지문, 얼굴, 홍채, 정맥등개인고유의바이오정보를이용하여개인을식별하는기술로써, 최근금융회사들이바이오인증서비스 * 를본격적으로도입 * 비대면무인점포 (ATM), FIDO 기반바이오인증간편결제등 이에본고에서는바이오인증사고사례를조사 분석하여대응방안 및시사점을도출하고자함 바이오인증시스템의보안상취약점 1) 바이오인증시스템은바이오인증을수행하는정보시스템을의미하며, 아래와같이크게 4개의모듈로구분됨 바이오정보입력부 : 센서를통해바이오정보를취득 특징추출부 : 취득된바이오정보로부터특징정보 2) 를추출 특징저장소 : 특징정보및개인정보등을저장하는저장소 특징정합부 : 저장된특징정보와새로입력된특징정보를비교하여인증여부를결정 1) Fargana Abdullayeva, Analysis of security vulnerabilities in biometric systems, 2009 2) 센서를통해취득한원본정보로부터추출하여생성 가공한정보 - 1 -

바이오인증시스템의취약점은크게 8가지로분류됨 (1) 위조지문, 고해상도사진등위조된바이오정보를센서에입력하여인증을우회 (2) 저장소에침투하여기저장된바이오정보를조작, 삭제, 유출 (3) 불법취득한바이오정보를재생 (replay) 하여인증 (4) 위조된특징정보를임의로생성 (5) 정상적인특징정보를임의의위조된특징정보로대체 (6) 특징정합부에서인증결과값을임의로변경 (7) 최종인증결과를조작 (8) 저장소에서정합부로전송되는특징정보를절취또는타인의정보로대체 바이오인증사고사례조사결과, 바이오정보위조 (1) 및바이오정보유출 (2) 이대부분을차지하고있음 (3) ~ (8) 의경우, 바이오인증시스템을해킹하여침투할경우발생가능한취약점으로향후해킹기술이진화함에따라사고사례가나타날것으로예상 바이오정보위조사고사례및대응방안 스마트폰, 출입통제단말및지급결제시스템등다양한분야에널리 보급되어있는지문인증에대한사고사례가많이발생함 바이오정보위조사고사례 사고사례시기주요내용 근태관리악용 2015. 2 경북지역소방공무원 3 명이 2012 년부터 2 년간실리콘으로제작한위조지문을이용하여근태관리용지문인식단말기에부정인식하여초과근무수당수령 - 2 -

근태관리용단말을정맥인식방식으로교체예정 2013. 3 브라질상파울루의사인 Ferreira 는동료의사등 6 명의실리콘위조지문을제작하여교대로근태관리를악용, 실근무를하지않고급여를수령하는유령사원임이적발됨 경찰은상파울루내 300 명이상의근로자가유령사원으로추정된다고발표 불법부동산명의이전 사진으로부터지문복제 ( 컨퍼런스시연 ) 사진으로부터홍채복제 ( 컨퍼런스시연 ) 삼성갤럭시 S5 잠금장치해제 ( 동영상시연 ) 2014. 10 2014. 12 2014. 4 2014. 4 박모씨등 4 명은중국위조범에의뢰하여 3D 프린터를이용한실리콘위조지문을제작 주민센터의지문센서가위조여부를탐지하지못해인감증명서등필요서류를발급받아 50 억대부동산을불법으로명의이전 독일의해커단체 CCC 는독일국방장관의기자회견사진등여러각도의사진및 VeriFinger 소프트웨어를이용하여지문복제 독일의해커단체 CCC 는구글검색을통해러시아대통령푸틴의고해상도사진을출력하여홍채복제 (Print attack)* 위조지문은별도제작이필요하나, 홍채는사진출력만으로복제가능 독일의시큐리티리서치랩스는목재용접착제에사용자지문을복제하여지문인식잠금장치해제 위조지문을이용해갤럭시 S5 와연동된페이팔 (PayPal) 결제도가능 - 3 -

아이폰 6/5S 지문인식잠금장치해제 ( 동영상시연 ) 2014. 9 ( 아이폰 6) 2013. 9 ( 아이폰 5S) 고해상도사진을이용하여실리콘으로위조지문을제작, 아이폰 6/5S 의지문인식잠금장치해제 지문인식지불시스템해킹 2008. 2 네덜란드최대의식료품체인업체가지문인식지불시스템 (Tip2Pay) 을도입하였으나, 실리콘으로제작한위조지문을탐지하지못해정상적으로대금을결제 차량절도를위한손가락절단 2005. 3 말레이시아 4 인강도는지문인식시스템이도입된벤츠 S- 클래스차량을절도하기위해회계사 Kumaran 의손가락을절단 해당지문인식시스템이살아있는생체조직여부를판별하는기능을탑재하고있어, 절단한손가락으로차량구동이불가하여검거 * 연구결과 3) 에따르면고해상도의사진을출력하여홍채인증시스템을무력화하는 Print Attack 의경우, 인증성공률이최고 62.37% 로나타남 대응방안 ( 다중바이오인증또는추가인증적용검토 ) 여러가지바이오정보 ( 예 : 지문 + 홍채 ) 를동시에만족해야만본인인증이가능한다중바이오인증을적용하거나, ARS인증, PIN번호입력등추가인증을함께적용하여보안수준향상 ( 바이오정보위조식별기술제공여부검토 ) 바이오인증시스템은한번도입하면교체가힘들기때문에사전에바이오정보위조판별기술 * 을다양하게제공하고있는지를철저히검토 * 맥박이나온도등을측정하여실리콘등위조지문을탐지하는기술, 위조식별알고리즘을이용하여위조여부를판별하는소프트웨어방식기술등 3) Priyanshu Gupta, Shipra Behera, On Iris Spoofing using Print Attack, 2014-4 -

바이오정보유출사고사례및대응방안 바이오정보는 1개인마다다르다는고유성 (Uniqueness) 과, 2시간의흐름에도크게변하지않는다는불변성 (Permanence) 의특징존재 바이오정보가유출될경우패스워드와같이자유로운갱신이불가하여지속적인바이오정보의악용이발생할수있음 바이오정보유출사고사례 사고사례시기주요내용 미국연방인사관리처 4) 지문유출 2015. 6 중국집단의 APT 공격에의해 DB 가해킹되어미국전 현직공무원의개인정보 2,200 만건 * 및지문정보 560 만건유출 * 미국전체인구의약 7% 수준 개인신상정보, 건강기록, 금융정보및퇴직관련기록등이유출되어신용정보도용뿐만아니라정부부처임직원행세까지가능해미국역사상가장파급력이큰유출사고중하나로기록됨 미국연방인사관리처는올해 1,000 여명의사이버보안전문가를채용할계획 미국에너지국 5) 지문정보유출 2013. 1 서버 14 대, 워크스테이션 20 대등이해킹되어직원수백명의개인정보, 사진및지문정보유출 중국이공격의배후에있을가능성을제기했지만입증할만한증거는없음 아직까지유출된지문정보를악용한알려진사례는없으나, 향후해킹 기술고도화또는바이오인증시스템의취약점발견시악용될소지 대응방안 ( 바이오정보의안전한저장 ) 바이오정보는암호화하여보관하며, 성명, 4) 미국연방인사관리처 (OPM, Office of Personnel Management) : 미국의중앙인사기관으로써대통령의연방공무원인사관리를보좌하기위해대통령부내에독립적으로설치된기구. 공무원인사에관한법령집행, 관리등의업무담당. 5) 미국에너지국 (DoE, Department of Energy) : 미국의에너지, 환경, 핵안보등에관한업무를관장하는기관 - 5 -

주민등록번호, 연락처등이용자를알수있는정보와논리적 물리적으로분리하여저장 ( 재발급가능바이오인증기술 6) 검토 ) 바이오정보가유출되더라도 이를폐기하고새로운바이오정보를재발급할수있는 (Renewable) 바이오인증시스템도입을검토 ( 바이오인증기반시설보호 ) 해커또는악의적인내부자로부터 바이오정보가유출되지않도록바이오인증기반시설에대한물리적, 관리적, 기술적보호조치를지속적으로수행 시사점 바이오인증이패스워드등기존인증방식에비해보안성이강화된기술이지만기언급되었듯이다양한사고사례가존재하는바, 이를참고하여동일한유형의사고가발생하지않도록사전대응필요 회원사는바이오정보의종류, 바이오인증위조판별성능, 바이오정보 저장매체의보안성등을종합적으로평가하여도입을검토하고, 필요 시금융보안원등으로부터보안성점검을수행할것을권고 6) 원래의바이오정보에임의의변형을가해서특징정보를추출함으로써, 해당특징정보가유출되더라도원래의바이오정보에새로운변형을가하여기존의특징정보를폐기하고새로운특징정보를발행할수있는기술 ( 국제표준 ISO/IEC 24745, Biometric Information Protection 준수 ) - 6 -