네트키와가상금고서비스 김주한, 정창덕, 박찬혁 길넷주식회사, 고려대학교컴퓨터정보학과, 유비쿼터스협회 Net Key and Cyber Safe Service Kim, Ju Han, Jung Chang Duk, Park ChanHuek GIL Net Co.,Ltd, Korea University, Society Ubiquitous E-mail : to_kimjh@hotmail.com, jcd1234@korea.ac.kr, goodchurch@naver.com 요약 현재의인증및결제시스템에있어서사용자는처리하는서버에인증정보, 개인정보, 결제정보를제공하고있다. 이정보는정보입력단계와유 무선전송단계에서위협을받고, 이를방지하기위한각종보안기술이적용되고있다. 그러나근본적인해결책은될수없고, 끊임없는진화와변화로공격은계속된다. 근본적인해결책은서버에정보를제공하는것이아니라역으로서버로부터정보를제공받고휴대폰으로수신하여이통사의가상금고에전달하고, 가상금고와가맹점서버는폐쇄된안전한통신으로처리하는것이다. 스마트폰의보급확대로무료모바일인터넷전화가가능해져수년내에심각한수익모델위기에처할이통사에가상금고서비스는대안이되리라생각한다. 본논문에서는서버로부터수신받는네트키정보의구성요소와가상금고서비스와기존의인증결제시스템의장단점을분석한후새로운인증 결제인프라의재구축을제안한다. Ⅰ. 서론인터넷정보통신기술의발전은다양한웹서비스와전자금융거래, 전자상거래를가능케하는긍정적인성과를가져왔다. 하지만, 이러한성과이면에사이버공간을통한해킹, 불법적인정보유출, 컴퓨터바이러스침해등과같은정보화역기능및정보보안위협이국가, 기업의범위를넘어이제일반개인에게이르게되었고끊임없는진화와변화로개인을공격한다. 오늘날의사이버위협은사용자가별다른의심없이적법한것처럼보이는링크를클릭하거나무해한것처럼보이는메 시지를열어보면부지불식간에사용자시스템에바이러스, 웜, 봇넷, 악성코드등이숨어들고이를통해키보드입력내용 ( 키보드해킹 )[1] 과화면내용 ( 화면해킹 )[2] 을유출하여 ID, 패스워드를탈취하고부정행위를하며지하시장에서활발히거래된다. PC환경의보안위협은스마트폰, 스마트TV 에서도재현될것으로예상하며, 해커를비롯한사이버범죄자들은돈이될만한정보가각종정보단말 (PC, 모바일기기, 스마트TV) 에서조작되는한더욱지능화되고다양한방법으로포기하지않
고보안위협에대한대응이미약한전세계의개인을상대로공격할것이다. 또한, 전세계의개인이소지하고있는각종카드는범죄의표적이되고있다. 금융자동화기기 (ATM/CD), 편의점, 음식점, 주유소등의 POS단말에서카드의사용은카드복제위험에노출되어있다. 금융자동화기기 (ATM/CD) 처럼개인이주의해야할책임도있지만, POS단말은개인의주의와관계없이신용카드결제시스템및인프라와도관계있고, 사고가나면 POS단말기에남아있는신용카드정보가한꺼번에유출된다는데문제가더크다할수있다.[3] 본고에서는전세계인터넷이용자및카드사용자가불안해하는보안사고 [4] 원인이되는중요정보의유출경로가각종단말에서직접입력조작되는단계와처리하는서버에전달되는통신단계라고판단하며, 이는현재의인증및결제인프라에기인한다고생각한다. 근본적인해결책으로기존의방법인사용자가서버에정보를제공하는것이아니라역으로가맹점서버에서네트키정보를휴대폰으로수신받아이통사에전달하고, 이통사의가상금고와가맹점서버는폐쇠된통신망으로필요한데이타를송수신하여안전하게인증과결제가가능한네트키와가상금고서비스를소개하고자한다.. Ⅱ. 본론본장에서는네트키와가상금고서비스에필요한시스템에대해설명하고, 기존의인증및결제방법과가상금고서비스를이용한인증및결제방법에대해비교설명한다. 또한스마트폰보급으로인한이통사의수익모델위기에대해논한다. 1. 네트키구성요소 ( 그림 1) 휴대폰수신데이타포멧 가맹점의서버로부터수신하는데이타 ( 그림 1) 는헤더부와데이타부로구성되며, 헤더부의접속식별코드는이통사와가맹점서버, 휴대폰의어플리케이션에서로약속되어져있어, 휴대폰에서데이타를수신하면접속코드에해당하는이통사의서버에자동접속하는것이특징이다 ( 예접속코드가 01이면이통사의인증서버에 02면결제서버에등등 ). 이는기존의 QR코드에 URL이있어접속하는 URL이노출되는방법보다보안성이뛰어나다. 데이타부는네트키에해당되는데이타로이통사의접속서버에데이타로서전달되어진다. 네트키에는적어도토큰과토큰을발행한발행자식별코드를포함한다. 토큰은타이머가설정되어유효시간을초과하면자동으로무효가되며, 가맹점서버의이벤트를특정하는 1회성토큰으로토큰의용도는토큰을발행한가맹점서버에서만해석되어진다. 발행자식별코드는이통사서버에서해석되어지며, 이코드로가맹점서버의위치를특정한다. 그러므로네트키정보만으로는단독으로아무런의미를갖지못하므로휴대폰으로네트키수신단계또는이통사에전송단계에서누출된다하여도보안상안전하다. ( 그림 2) 네트키수신방법휴대폰으로네트키수신방법 ( 그림 2) 은온라인의경우화면에표시된 QR코드를스캔하는방법과오프라인의경우근거리무선통신 ( 블루투스 [5] 또는 NFC) 으로근거리약10센티정도접근하는방법으로수신하며, 모바일사이트에휴대폰으로
접속하였을경우는직접네트키를수신한다.. 가상금고 : 이통사의철저한보안룰을적용한보존장치로가입자의개인정보, 과금및결제정보, 인증에필요한정보를보관 ( 그림 3) 시스템의구성도및처리흐름도 2. 시스템의구성요소 ( 그림 3) 이통사 : 이동통신사로인증 결제의메인시스템운용자가맹점 : 인증 결제가필요한모든인터넷 / 모바일사이트로이통사의심사를통과하고가맹점시스템이구축이필요사용자 : 휴대폰가입신청시신분증과실명확인후과금을신용카드또는은행이체로신청한자 P C : 클라이언트단말로오프라인의경우 : 편의점 POS단말, ATM, 자동판매기, 택시요금기등이될수있다지문 : 휴대폰의사용자의지문으로휴대폰에등록하여인증및결제시지문인증을사용 ( 또는 PIN코드 ) 휴대폰 : 인증 결제용단말로사용하며약속된포멧으로넷트키를수신하면자동으로이통사의인증 / 결제사이트로접속하는 PG가인스톨된 3G이상의휴대폰으로넷트키수신수단은 QR코드또는근거리무선통신이있음네트키 : 적어도 1회성토큰과토큰을발행안가맹점ID를포함한다토큰 : 1회성으로유효시간설정이가능하다 ( 예 30초 ), 토큰을키로사용자와가맹점간의거래내용을특정지을수있다 3. 시스템의처리흐름설명 ( 그림 3) 1사용자가 PC에서가맹점에인증 / 결제를요청 2가맹점은 QR코드를발행하여 PC화면에표시 3사용자는휴대폰으로 QR코드를스캔 4사용자는휴대폰의지문센서에지문인증을하여인증및결제에동의 5휴대폰 PG는 QR코드를분석후자동으로이통사서버로접속한다, 서버는휴대폰의객체식벌번호와가입자식별번호로단말기인증을실시하며, 은행ATM등금융관계는휴대폰에서비밀번호입력을요구한다, 인증이성공하면다음단계를실시한다 6 네트키의구성요소인가맹점ID로가맹점URL 를취득하여, 넷키의구성용소인토큰과휴대폰사용자식별ID( 예 I-PIN, 주민번호 ) 를파라메타로가맹점과통신하여처리한다. 가맹점은접속요청자가계약된이통사로부터의접속에한하여처리한다 7 토큰에해당되는처리가완료되면 PC에다음화면으로이동할것을비동기통신으로명령하고, PC는자동으로화면전환 8 사용자의휴대폰화면에처리가완료되었음을송신한다. 4. 기존의인증방법가장많이사용하는웹사이트의인증방법으로개인정보를등록하고 ID와패스워드를설정하여로그인하는방법과은행 / 증권과같은전자금융사이트에는공인인증서로인증하는방법을사용하나사이트마다유사하게 ID나패스워드를설정하는낮은보안의식으로어드한사이트가해킹당하거나키로거 [1] 또는화면해킹 [2] 으로패스워드가유출당하면다른사이트도전부위험해지고다양한해킹기술은공인인증서도유출함으로전자금융보
안사고가발생되고있다 [4] [6]. 네트키와가상금고서비스로인증하는방법은개인에게는 ID나패스워드가필요없는인증방법으로안심할수있고전자금융사이트에서는고객의안전한금융거래를위해제공해야했던각종보안프로그램으로인한비용을절감할대안이될것이다. 5. 기존의결제방법 - 전통적인지불수단편리한전통적인법정화폐와신용카드가있다. - 전자화폐 [7] 화폐가치의저장방식에따라 IC카드형과네트워크형으로구분 1) IC카드형기존의플라스틱카드에집적회로 (IC) 를내장하여화폐가치를저장 ( 예 K-Cash, Mondex, Visacash, T-money 등 ) 2) 네트워크형정보통신망과연결된컴퓨터등을이용하여디지탈신호로화폐가치를저장하였다가인터넷등네트워크를통해지급결제에사용 ( 예 e-coin, e-money 등 ) IC카드형전자화폐가오프라인특성이강한반면에네트워크형전자화폐는온라인에기반을두고있다. IC 카드형전자화폐는기존의신용카드, 직불카드의기능에신분증으로도사용이가능하지만네트워크형전자화폐는실물이없어인터넷상의전자상거래에서만사용이가능하다. -모바일카드, 모바일지갑 [8] 휴대전화에카드정보를넣은모바일카드시장이아직까지는 USIM과모바일카드를인식하는단말기보급이저조하여크게활성되지못하고분실이나보안문제로성장하는데걸림돌이되었으나, 스마트폰이빠르게보급되면서모바일카드를사용할수있는인프라와환경도빠르게조성되고있다. -휴대폰소액결제온라인상에서콘텐츠나제품구매시휴대전화를통해본인인증후이용요금을결제하여익월통신요금에해당구매비용이포함되어청구되는결제방식으로소액위주의디지털콘텐츠분야는휴대폰소액결제비중이 80% 가넘을정도로그의존도가절대적이고, 지속적으로성장하고있으며 2010년시장규모는 2조1천6백원에이를것으로추정하고있다. 한국의대표기업으로모빌리언, 이니시스, 다날이있다 6. 기존의결제방법과가상금고의비교 - 모바일카드, 모바일지갑카드정보를포함한중요정보를휴대전화의 USIM카드에보존하므로 USIM카드의해킹위험 [9] 과분실 / 도난 / 기종변경 / 고장수리시처리가불편하나네트키와가상금고는개인의휴대전화에는보존하지않고, 이통사의가상금고에결제정보를보존하고휴대전화의통신기능을사용하여네트키를전송함으로안전하고간단하게결제처리를한다. 또한분실 / 도난 / 기종변경 / 고장수리시에도처리가간단하다. - 전자화폐국제적표준화의미흡으로보편성확보와 IC 카드형의경우스키밍에의한부정사용과카드의익명성으로분실 / 도난시피해를방지하기어려움, 네크워크형의경우군소발행자의난립으로지불보장등전자화폐의신뢰성확보에곤란하나, 네트키와가상금고서비스는전세계의이동통신사간의네트웍으로국제표준화와해외결제에용이하고개인의휴대폰에는가치를저장하지않으므로분실 / 도난에피해를예방하고스키밍의위험이없다. - 휴대폰소액결제온라인결제를위해 SW와보안프로그램인스톨이필요하고인증과결제정산을위해휴대폰번호와주민번호입력과 SMS로수신한인증번호입력이필요하나, 네트키와가상금고는
온라인결제시결제화면에 QR코드를스캔하는것으로결제가간단히된다. 7. 스마트폰보급과이통사의수익모델의위기국내스마트폰보급은 2010년10월말현재 500 만대에육박했고, 휴대전화신규가입자의 40% 가량이스마트폰을선택했다. 2011년에는이비중이 50% 이상으로확대될것으로예상되고있다. 스마트폰의주도권향배에따라글로벌휴대폰시장도요동치고있다. 글로벌모바일인터넷전화서비스 [10][11]][12] 가잇따라등장하면서국내시장의진입장벽이깨졌다. 스마트폰이확산돼국내이용자들도손쉽게설치해사용하게됐으며이통사들의데이터사용무제한허용으로 24시간추가비용없이가입자간무료이용도가능해졌다. 통신사들의음성통화수익구조에변화가예고되면서국내이통사들이이에대한대응방안을고민하고있으나뚜렷한대책마련이어려운상태다.[13] 여기에제4이통사허가땐반값이면기존이통사와같은서비스가가능해져이통사를긴장시키고있다.[14] 일본이동통신시장 2위사업자 KDDI가스카이프와의협력을통해스마트폰시장반전을노리고있다. 그동안통신사업자들은자신들의수익모델을침해한다는점에서인터넷전화의휴대폰탑재를막아왔지만 KDDI는소비자들을대거끌어들이기위해인터넷전화를받아들인것이다.[15] 스마트폰의폭발적인보급은데이타사용의폭발적증가로이어져망품질관리를위에서막대한비용이소요되어진다. 이통사의수익악화로망품질관리가적시에이루어지지않을경우휴대폰전체사용자에게서비스품질저하로이어질우려가있다. 이는이통사의고민뿐만아니라세계적인이동통신서비스를지향하는정부로서도고민해야할부분이다. 이통사의가상금고서비스는사용자 가맹점 이통사 정부모두에게서로유익이될수있는비지니스모델이되리가생각한다. 8. 가상금고서비스와산업상의기대효과휴대폰을네트키전달수단으로한가상금고서비스는아래의 3개부분에효과가기대된다. - 시스템부분이통사와가맹점, 배송업자의연계된시스템구축수요로인해각시스템의표준인터페이스정의와펙키지개발, 각시스템의커스터마이즈와이행, 각시스템의유지및보수. - 휴대폰단말부분인증 결제용단말로서휴대폰자체의보안성증대와결제시부인방지및네트키를수신하여원스텝으로이통사에전송하기위한새로운기능의휴대폰수요가발생된다. - 단말기 ( 인프라 ) 부분오프라인결제시휴대폰에네트키를근거리무선통신기술을이용하여전송하는기능이포함된단말로 POS단말기, 택시요금지불기, 자동판매기, 금융자동화기기 (ATM/CD) 등이될수있다. 9. 가상금고서비스의성공조건 - 사용자의불안요소해소와사용욕구유발유무선인테넷을이용한웹서비스, 전자금융거래, 전자상거래에있어개인정보보호와보안문제의해결과, 현금과카드를사용함에따른범죄노출위험을줄이고, 포인트와같은캐쉬백이익이주어지고, 가장중요한조작의간편성이다. - 이통사의수익모델위기해결스마트폰의보급확대로악화될수익에현실적인대안이없는전세계의이통사로서는온 / 오프라인의결제에현금과카드결제을대체할가상금고서비스는새로운비지니스모델로매력적일수밖에없다. 한국은행이발표한 '2010년 1분기중지급결제동향 '[16] 에따르면신용카드와체크카드등카드결제를이용한하루평균결제건수는 1790만건, 결제액수는 1조4000억원이다. 대체가능한현금결제액도상당하리라예상한다.
Ⅲ. 결론휴대폰가입시신분증으로실명을확인하고, 과금을위해신용카드정보또는자동이체를위해제공한금융정보와개인정보는이통사의가상금고에안전하게보관되고, 휴대폰을네트키전달수단으로활용함으로인증과결제에활용되어진다. 스마트폰보급으로공짜로음성및영상통화가가능해져수년내에심각한수익위기에처할이통사에하루 1조4천억규모의카드결제 [16] 와현금결제의상당부분을이통사의가상금고를통해서이루어지면, 글로벌모바일인터넷전화서비스에대한대응력을갖추고사용자에게는저가의요금제로도스마트폰이용이가능해진다. 이는이통사간의양질의통신품질서비스경쟁을유발하여결국사용자에게유리해진다. 전세계의유 무선인테넷사용자와카드사용자를불안케하는요인들을해소하고, 조작이간단하며보안성이탁월한가상금고서비스는각국의이통사에있어서도새로운수익모델로서각광받을것이다. 따라서전세계로전개할폭발적인모멘텀을갖춘아이템이될것이다. 가상금고서비스는이통사에있어서혁신적인수익모델이됨과동시에앞장에서살펴본바와같이시스템부분, 휴대폰부분, 인프라부분의산업부문에영향을미치게된다. 우리나라가주도하고, 선도하여표준화와토탈솔류션을전세계에전개하여진정한 IT강국의면모를보여주어야할것이다. [ 참고문헌 ] [1] 전자신문 내 ID 패스워드가일본으로유출되고있다 http://www.etnews.co.kr 2010.4.7 [2] YTN 인터넷금융의화약고, ' 화면해킹 ' 막는다 http://www.ytn.co.kr 2010.5.6 [3] YTN 보안에허술한 POS 신용카드결제시스템 http://www.ytn.co.kr 2010.4.11 [4] 보안뉴스 금융정보해킹에 속수무책 http://www.boannews.com 2010.5.5 [5] 東芝 : プレスリリース (2003.2.24) Bluetooth(TM) を利用した携帯端末の自動接続技術の開発について [6] 조선일보 도사리고있는해킹위험.. 당신의공인인증서는안전합니까? http://www.chosun.com 2010.2.4 [7] 한국전자통신연구원 전자화폐의현황및전망 2002.10 [8] 파이낸셜뉴스 현금 지갑없어도 OK 모바일카드시장 빅뱅 http://www.fnnews.com 2010.8.1 [9] 전자신문 USIM 정보도빼가는안드로이드악성앱첫발견 http://www.etnews.co.kr 2010.8.10 [10] 아시아경제 스카이프의대공습..' 공짜휴대전화인가무임승차인가?" http://www.asiae.co.kr 2010.6.1 [11] 전자신문 구글 VoIP 시장도손에넣겠다 스카이프 ' 초긴장 '" http://www.etnews.co.kr 2010.8.29 [12] 전자신문 페이스북 스카이프, 함께최강전화서비스전력갖춘다 '" http://www.etnews.co.kr 2010.10.1 [13] 전자신문 모바일인터넷전화장벽깨졌다 이통사대책고심 '" http://www.etnews.co.kr 2010.10.14 [14] 동아일보 제4이통사연말허가땐데이터料반값 '" http://www.donga.com 2010.10.11 [15] 전자신문 KDDI, 스카이프폰으로 ' 승부수 ' 던졌다 " http://www.etnews.co.kr 2010.10.14 [16] 한국은행 2010년 1분기중지급결제동향 " http://www.bok.or.kr 2010.6.7 프로토타입데모사이트 http://www.gil-net.com