개정이력 버전작성일변경내용책임자 최초작성강우진 2/22 페이지

Similar documents
OTP문답집(일반이용자대상)_v3[최종].hwp

PowerPoint Presentation

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

<4D F736F F D20C0FCC0DAB1DDC0B6BCADBAF1BDBA20C0CCBFEBBEE0B0FC28B1B820C7CFB3AAC0BAC7E0295FB0B3C1A4C8C45F F2E646F6378>

Ⅱ 평가방법 ( 평가등급 ) ( 등급산정기준 ) ( 계량평가 ) ( 비계량평가 ) ( 평가대상회사 ) 평가대상회사 ( 가나다順 ) 구분 개수 회사명 은행 13 경남, 광주, 국민, 기업, 농협, 대구, 부산, 수협, 신한, 우리, 한국씨티, KEB하나, SC제일 카드

현금및예금명세서 ( 단위 : 원 ) 자금의종류 구분 용도 예치기관 예금종류 구좌번호 예치금액 만기일 이자율 비고 유동자금 예금 건축기금 국민 환매채권 ,456, 채플건축기금 국민은행 정기예금 72181

< 목차 > Ⅰ. 개요 1 Ⅱ. 스마트 OTP 발급및타기관등록 3 Ⅲ. 공동앱설치및기기등록 5 Ⅳ. 스마트 OTP 이용 8 Ⅴ. 공동앱관리기능 14 Ⅵ. 이용시주의사항 18

목차 Ⅰ 인사말 (고객님께 드리는 글) Ⅱ 운용보고 Ⅲ 상세정보 1. 집합투자기구의 개요 2. 운용경과 및 수익률 현황 3. 자산현황 4. 비용현황 5. 투자자산매매내역 [공지 사항]

Microsoft Word - 증권 코멘트.doc

<C0DABBEABFEEBFEBBAB8B0EDBCAD284B5442B8B6C4CFBDBAC5B8C1D6BDC E31322E E786C73>

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

투자목적 2등급(높은위험) 기간수익률 (단위 : %) 이 투자신탁은 글로벌 고수익채권에 주로 투자하는 해외 집합투자기구인 얼라이언스번 스틴 글로벌 고수익채권 포트폴리오를 주된 투자대상으로 하여 투자함으로써 총수익뿐 아니라 높은 이자소득 달성을 추구합니

한국건설산업연구원연구위원 김 현 아 연구위원 허 윤 경 연구원 엄 근 용

목차 Ⅰ 인사말 ( 고객님께드리는글 ) Ⅱ 운용보고 Ⅲ 상세정보 1. 집합투자기구의개요 2. 운용경과및수익률현황 3. 자산현황 4. 투자운용전문인력현황 5. 비용현황 6. 투자자산매매내역 [ 공지사항 ]

암호내지

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

ELS/DLS 청약 Daily 이지영 : 공모모집방법에따른청약현황기준일 : 청약모집방법에따른현황과전월평균대비증감현황. 일반공모 청약종목수 퇴직공모 신탁공모 기타공모 ( 억 ) 일반공모퇴직공모신탁공모 기타공모 하이파이브

( ) ELS 청약 DAILY ( 2017/10/27 ) 1. 청약시장현황 2. 발행사별청약현황 3. 기초자산별청약현황 기준일 : 일평균청약모집금액 ( 억 ) ,000 4,000 6,000 4,482 ELS/DLS 3,80


메뉴얼41페이지-2

2018년 10월 12일식품의약품안전처장

ELS/DLS 청약 Daily 이지영 : 공모모집방법에따른청약현황기준일 : 청약모집방법에따른현황과전월평균대비증감현황. 청약종목수 ( 억 ) 일반공모퇴직공모신탁공모기타공모일반공모퇴직공모신탁공모 기타공모 하이파이브 ,990 9,9,0

Microsoft PowerPoint 산업전망_통장전부_v9.pptx

< 목차 > Ⅰ. 개요 1 Ⅱ. TZ OTP 공동앱설치 4 Ⅲ. TZ OTP 발급 활성화및타기관등록 5 Ⅳ. TZ OTP 이용 9 Ⅴ. 공동앱관리기능 14 Ⅵ. 이용시주의사항 18

< D B3E2B5B55FB0E1BBEABCAD5FBACEBCD3B8EDBCBCBCAD E786C73>

ㅇㅇㅇ

목차 < 요약 > Ⅰ. 국내은행 1 1. 대출태도 1 2. 신용위험 3 3. 대출수요 5 Ⅱ. 비은행금융기관 7 1. 대출태도 7 2. 신용위험 8 3. 대출수요 8 < 붙임 > 2015 년 1/4 분기금융기관대출행태서베이실시개요


목차 연금저축 통합공시 3 연금저축 수익률 6 연금저축 수수료율 10 연금저축 유지율 14 연금저축 계좌이체제도 16 기타 연금저축 관련 정보 18

슬라이드 1

제 5 조 ( 이용자확인방법 ) 회사는이용자가서비스를이용하고자할경우이용자가입력한정보 ( 공인인증서, 계약번호, 주민등록번호, 거래비밀번호, 회사에등록한보안카드, 일회용비밀번호발생기, 생체 ( 바이오 ) 정보, 보안PIN, 카카오페이인증, 휴대폰본인인증등와회사가보유한이용

목차 1. 집합투자기구의 개요 2. 운용경과 및 수익률 현황 3. 자산현황 4. 비용현황 5. 투자자산매매내역 [공지 사항]

corp-sum xls

목 차 Ⅰ. 조사개요 1 1. 조사배경및목적 1 2. 조사내용및방법 2 3. 조사기간 2 4. 조사자 2 5. 기대효과 2 Ⅱ. P2P 대출일반현황 3 1. P2P 대출의개념 3 2. P2P 대출의성장배경 7 3. P2P 대출의장점과위험 8 4. P2P 대출산업최근동향

Ⅱ. 금융권의전자금융거래편의성제고추진실적 1 전자금융거래시다양한인증수단활성화 < 개선방향 > 전자금융거래시이외에다양한인증수단을활성화 가. 간편송금서비스확대 ( 추진성과 ) 월말 17.8 월말 국민 (2종), KEB하나 (2종), 신한 (2종), 우리 (2종)

< C1B6B0A35FBDBAB8B6C6AEC6F920B1DDC0B6B0C5B7A B0E8B8ED20B8B6B7C328BAD9C0D332295FBEC8B3BBBCAD2E687770>

2-1-3.hwp


corp_sum xls

ELS/DLS 청약 Daily 이지영 : 공모모집방법에따른청약현황기준일 : 청약모집방법에따른현황과전월평균대비증감현황. 구분하이파이브기본옵션형기타 청약종목수 ( 억 ) 일반공모 퇴직공모 신탁공모 기타공모 일반공모 퇴직공모 신탁공모

ELS/DLS 청약 Daily 이지영 : 공모모집방법에따른청약현황기준일 : 603 청약모집방법에따른현황과전월평균대비증감현황. 구분하이파이브기본옵션형기타 청약종목수 ( 억 ) 일반공모 퇴직공모 신탁공모 기타공모 일반공모 퇴직공모 신탁공모 ,

슬라이드 1


롯데쇼핑 동부증권 매수 410,000 준비된 1인자, 늦춰지는회복시그널 롯데쇼핑 현대증권 매수유지 400,000 하이마트인수효과및저평가매력 롯데쇼핑 IBK투자증권 매수유지 400,000 핵심사업은부진했지만원화강세효과부각 비에이치아이

투자목적 2등급(높은위험) 기간수익률 (단위 : %) 이 투자신탁은 글로벌 고수익채권에 주로 투자하는 해외 집합투자기구인 얼라이언스번 스틴 글로벌 고수익채권 포트폴리오를 주된 투자대상으로 하여 투자함으로써 총수익뿐 아니라 높은 이자소득 달성을 추구합니

Microsoft Word _증권사 콜차입 축소.doc

동자료는외국환거래에대한이해를돕기위한참고자료일뿐외국환거래법, 동법시행령및외국환거래규정등관련법령에대한유권해석이아니며, 대외적인구속력은인정되지않습니다. 따라서동자료에기재된내용중관련법령과상이한내용이있을경우에는관련법령이우선하며, 특정사안에대한외국환거래절차등은관련 ( 해당 ) 기

<C0DABBEABFEEBFEBBAB8B0EDBCAD284B5442B8B6C4CFBDBAC5B8C1F5B1C728C1D6BDC E30332E E786C73>

( ) ELS 청약 DAILY ( 2017/11/10 ) 1. 청약시장현황 2. 발행사별청약현황 3. 기초자산별청약현황 기준일 : 일평균청약모집금액 ( 억 ) ,000 4,000 6,000 4,009 ELS/DLS 5,21

(별지2) 이자율 조견표 ( ).hwp

목차 1. 집합투자기구의 개요 2. 운용경과 및 수익률 현황 3. 자산현황 4. 비용현황 5. 투자자산매매내역 [공지 사항]

ELS/DLS 청약 Daily 이지영 : 공모모집방법에따른청약현황기준일 : 607 청약모집방법에따른현황과전월평균대비증감현황. 전체 일반공모 청약종목수 퇴직공모 신탁공모 기타공모 ( 억 ) 전체일반공모퇴직공모신탁공모 기타공모 하이파이브 ,59


corp-sum xls

- 삼성생명카드분실신고및소득공제납입증명서신청등 모바일창구서비스 - 조회 : 보험가입내역, 보험계약대출내역등 - 입금 : 보험료, 보험계약대출원리금등 - 출금 : 보험계약대출금, 분할 만기보험금, 배당금, 중도인출금등 - 변경 등록 : 주소 연락처, 보험료 대출이자자동이

<C0DABBEABFEEBFEBBAB8B0EDBCAD284B5442BED7C6BCBAEAC1F5B1C728C1D6C8A E30332E E786C73>

corp-sum xls

Microsoft Word _1

DBPIA-NURIMEDIA

Microsoft Word _Daoudata_CKH.doc

전자금융서비스이용약관 제 1 조 ( 목적 ) 이약관은삼성생명보험주식회사 ( 이하 " 회사 " 라한다 ) 와회사가제공하는전자금융서비스 ( 이하 " 서비스 " 라한다 ) 를이용하는고객 ( 이하 " 이용자 " 라한다 ) 사이의서비스이용에관한제반사항을정 함을목적으로한다. 제

( 제 7 호 ) 대구경북개발연구원 )sh 이이임성최최용호 *. 서론. 지역경제와지역금융의관계고찰 1. 청소년여가공간의개념및특성 2. 지역경제발전과지역금융과의관계. 수도권의경제력집중과지역경제의현황 1. 수도권의경제력집중과지역경제의침체 2. 자금의수도

슬라이드 1

corp-sum xls

_SafeTouch_에잇바이트.key

2-A. 필수개인 ( 신용 ) 정보수집 이용 제공동의서 ( 여신금융거래 ) ( 주 ) 신한저축은행귀중 신한저축은행과의여신 ( 금융 ) 거래와관련하여신한저축은행이본인의개인 ( 신용 ) 정보를수집 이용하거나제 3 자에게제공하고자하는경우에는 개인정보보호법 제 15 조제 1


목차 Ⅰ 인사말 ( 고객님께드리는글 ) Ⅱ 운용보고 Ⅲ 상세정보 1. 집합투자기구의개요 2. 운용경과및수익률현황 3. 자산현황 4. 비용현황 5. 투자자산매매내역 [ 공지사항 ]

ÇÁ·Î±×·¥Áý

<C6AEB7AFBDBAC5E6C4AAB1E2BDBAC4AD D E786C73>

ind_sum xls

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널


장애인건강관리사업

corp_sum xls


+ + (P : 예치원금, r : 약정이율, m : 선지급월수, d : 선지급일수, n : 이자지급개월수 ) 3. 이자를 지급할 때에는 정기예금 이자청구서와 통장을 제시받아 통장과 원장의 소정란에 지급일자와 금액을 기재하고 책임자가 검인한다. 4. 월불이자를 타상품에

corp_sum xls

항목

.? 금융시장의 성장과 금융기법의 발달로 금융상품의 비교 선택이 점점 더 어려워지고 있으며 넘쳐나는 금융회사의 마케팅 정보는 합리적인 투자 판단을 더욱 혼란스럽게 만들고 있습니다.? 한국투자자보호재단은 일반투자자가 쉽게 이해하고 참고할 수 있도록 금 융회사 및 서비스

-. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., ( : , Fax : , : 8 177, : 39660).. ( ). ( ),. (

청약대상종목 RP-RAITING_Hi-Five : * RP-RAITING은과거의 에대한수익 / 손실의결과를바탕으로청약종목의수익성과위험성을분석한것입니다. 청약청약연수익률 1차하한공모수익 위험발행사회차유형모집금액중간 / 만기기초자산1 기초자산2 기초자산3 마감일 % 행사가

2002report hwp

슬라이드 1

[11하예타] 교외선 인쇄본_ver3.hwp


Ⅰ 추진배경 Ⅱ 휴면재산찾아주기실적및잔액 * 휴면재산보유계좌수및주주수기준이므로 1 명이여러건의휴면재산을보유할수있음 ( 이하동일 ) 휴면재산세부현황 ( 규모, 종류 ) 구분 계좌 ( 만명 ) 잔액 ( 억원 ) ( 비중 ) ( 비중 ) 10만원이하 5,365 (98.4)

untitled

사업자는퇴직급여제도중 1 가지이상의제도를설정해야함 ) * ( 평균임금 ) 퇴직일을기준으로직전 3개월간근로자에게지급된임금총액을그기간 (3개월 ) 의총일수로나눈임금 ( 근로기준법제2조 ) + 부정기적인급여가있는경우는그금액을 12로나눈금액 * 기존에퇴직금사외적립제도인퇴직보험

농림축산식품부장관귀하 본보고서를 미생물을활용한친환경작물보호제및비료의제형화와현장적용매뉴 얼개발 ( 개발기간 : ~ ) 과제의최종보고서로제출합니다 주관연구기관명 : 고려바이오주식회사 ( 대표자 ) 김영권 (

<BAB8B5B5C2FCB0EDC0DAB7E15F352E36C0CF20C0D3BDC3B0F8C8DEC0CF20C1F6C1A4BFA120B5FBB8A520B1DDC0B6BCD2BAF1C0DA20C0AFC0C7BBE7C7D72E687770>

2011년_1분기_지역경제동향_보도자료.hwp

특징 찾아보기 열쇠 없이 문을 열 수 있어요! 비밀번호 및 RF카드로도 문을 열 수 있습니다. 또한 비밀번호가 외부인에게 알려질 위험에 대비, 통제번호까지 입력해 둘 수 있어 더욱 안심하고 사용할 수 있습니다. 나만의 비밀번호 및 RF카드를 가질 수 있어요! 다수의 가

ADP-2480

corp-sum xls


차 례 제 1 장 계획의개요 배경과목적 범위와내용 제 2 장 현황분석및전망 외국인근로자현황과특성 외국인근로자지원기관및단체 장래외국인근로자추정 제 3 장 사례분석 한국외국인근로자지원센터 안산외국인근로자지원센터 의정부외국인근로자지원센터 안산외국인주민센터 제 4 장 기본구상

NG-OTP

Color C60 / C70 Printer 본제작물은 Color C60/C70 Printer 로출력하였습니다.

*12월영상 내지<265턁

Transcription:

OTP 통합인증서비스소개 Introduction of the OTP Authentication Center Service V1.0 2010. 12. 30. 1/22 페이지

개정이력 버전작성일변경내용책임자 1.0 2010.12.30 최초작성강우진 2/22 페이지

목 차 1. 개요... 5 1.1. 문서의개요... 5 1.2. 용어의정의... 5 1.2.1. 용어해설... 5 1.2.2. 상용구문... 5 1.3. 문서의구성... 6 1.4. 참고문서... 6 2. OTP 소개... 7 2.1. OTP 정의... 7 2.2. OTP의보안효과... 7 2.2.1. 비밀번호재사용불가능... 7 2.2.2. 비밀번호유추불가능... 7 2.3. OTP의동작원리... 8 3. OTP 통합인증센터소개... 9 3.1. 금융보안연구원의설립... 9 3.1.1. 설립배경... 9 3.1.2. 설립경과... 9 3.1.3. 기대효과... 10 3.2. OTP 통합인증센터의현황... 10 3.2.1. 참여기관현황... 10 3.2.2. OTP 통합인증서비스현황...11 4. 금융회사의 OTP 서비스목적... 11 3/22 페이지

4.1. 전자금융감독규정개정 (2008.4)... 12 4.2. 보안카드의대체... 13 4.3. 전자금융의안전성제고... 14 5. OTP 서비스운영... 15 5.1. OTP 통합인증센터가입자격... 15 5.2. OTP 서비스시스템구축... 16 5.3. OTP 시스템의운영및비상대응... 17 5.4. OTP 운영정책결정... 18 5.4.1. 주요안건... 19 5.4.2. 일반안건... 19 4/22 페이지

1. 개요 1.1. 문서의개요 본문서는 OTP 통합인증센터 ( 이후, OTP 센터 ) 에서제공되는 OTP 통합인증서비스 ( 이 후, OTP 서비스 ) 에대한소개를위해작성되었다. 1.2. 용어의정의 1.2.1. 용어해설 본문서에서사용되는용어는 OTP 와관련하여금융권에서통용되는용어를사용하였 으며, 다음의표준용어는본문서뿐아니라 OTP 와관련한전분야에서공통으로사용 될것을권고한다. l OTP(One Time Password): 로그인세션또는통신시마다매번변경되며단한번만사용가능한비밀번호를의미한다. 일반적인고정비밀번호가수집에의한재사용공격에취약한반면, 일회용비밀번호는매번비밀번호가변경되어수집한비밀번호를사용할수없게되므로보안성이높다. l 대체인증서버 : 금융회사에서는 OTP 센터의장애시를대비하여선택적으로 OTP 인증서버를금융회사내부에구축할수있다. 이렇게구축된서버는 OTP 센터를대체하여인증을자체적으로수행하고, 인증결과정보를 OTP 센터와동기화한다. l OTP 운영위원회 : OTP 관련정책을결정하는협의체로전체 OTP 회원사중 13개의대표기관을선정하여구성한다. 1.2.2. 상용구문 해당사항없음 5/22 페이지

1.3. 문서의구성 본문서는다음과같이구성된다. 제1장은본장으로서문서의목적및개요를설명한다. 제2장은 OTP에대한정의, 보안효과, 동작원리등에대한일반적인소개를제공하고, 제3장에서는 OTP 통합인증센터에대한소개를한다. 제4장은금융회사가 OTP서비스를수행하는목적을기술하고있으며, 제5장에서는 OTP 서비스의운영을위한금융회사의수행업무, 정책등을설명한다. 1.4. 참고문서 본문서에서는다른문서를참조하거나, 문서내부에서다른장이나절을참조하는경 우에는대괄호 ( [, ], 내부문자는굵은글씨체사용 ) 를이용하여참조한부분을명시하 도록하였다. l [ 전자금융거래법 ]: 법률제9325호, 전자금융거래법 (2008.12.31 일부개정 ) l [ 전자금융거래법시행령 ]: 대통령령제21765호, 전자금융거래법시행령 (2009.10.1 일부개정 ) l [ 전자금융감독규정 ]: 금융위원회고시제2010-18호, 전자금융감독규정 (2010.6.30 개정 ) l [ 전자금융감독규정시행세칙 ]: 전자금융감독규정시행세칙 (2010.8.12 개정 ) l [ 전자거래안정성강화종합대책 ]: 금융감독위원회 / 금융감독원, 전자거래안정성강화종합대책 (2005. 9) l [ 금융보안연구원정관 ]: 금융보안연구원, 정관 l [ 금융보안연구원회비규정 ]: 금융보안연구원, 회비규정 (2008.1.29 개정 ) 6/22 페이지

2. OTP 소개 2.1. OTP 정의 OTP는 1회만사용할수있는비밀번호를의미하며, OTP발생기는일회용비밀번호를생성하는장치를의미한다. 일반적으로컴퓨터에로그인할때사용되는고정된패스워드는타인에게노출된경우재사용이가능한반면 OTP는매번패스워드가변경되므로안전하다. 기도입되어금융분야에서널리사용되고있는보안카드역시비밀번호가반복사용되고있어모든비밀번호가수집된경우보안사고의위험이있다. OTP는이러한보안카드의대체로사용되는보안매체이다. 2.2. OTP 의보안효과 2.2.1. 비밀번호재사용불가능 보안카드의경우 35개이내의비밀번호가반복적으로사용되는원리로, 공격자가네트워크스니핑 1 혹은키로거 2 등을이용하여해당사용자의보안카드비밀번호를일부취득했을경우, 이를재사용할수있다. 2005년 5월외환은행인터넷뱅킹해킹사고에서도이런취약점을이용하였다. OTP(One Time Password) 는일회용비밀번호로매번다른비밀번호를생성해내며, 한번사용하고난비밀번호는재사용되지않는특성을가진다. 따라서, 네트워크스니핑등을통해서현재사용하고있는 OTP를얻어내었다하더라도, 이후에재사용하는것이원천적으로불가능하다. 2.2.2. 비밀번호유추불가능 일반적으로사용자들이선택하는비밀번호는사용자와연관된문자나숫자등으로구 성되어있어기억하기쉽다는특성을가지며, 타인에의해서쉽게유추가능한취약성이 있다. 1 네트워크스니핑 : 네트워크상의통신데이터를도청하는행위 2 키로거 : 컴퓨터사용자들의키보드움직임을탐지하는해킹툴 7/22 페이지

OTP의경우, OTP 생성알고리즘의기본적인특성상, 기기에서생성되는 OTP는의미있는숫자로구성되지않으며숫자패턴이보이지않는랜덤한특성을가지기때문에유추불가능한특성을가진다. 또한현재생성한 OTP로부터다음번에생성할 OTP를유추하는것이수학적으로불가능한특성을가지고있으므로, 오프라인추측공격 3 및사전공격 4 에안전하다. 2.3. OTP 의동작원리 2OTP 값입력 사용자 OTP 사용자 PC 1OTP 값생성 OTP 값 = 암호함수 ( 비밀키, 인증정보 ) 3OTP 값전송 ( 거래정보포함 ) 4OTP 값검증 OTP = 암호함수 ( 비밀키, 인증정보 ) 전송된 OTP 값이 OTP 와동일한지비교 금융기관 (OTP 인증서버 ) ( 그림 2-1) OTP 의동작원리 OTP의동작원리는 ( 그림 2-1) 과같이생성및검증된다. 즉, OTP발생기에서생성된비밀번호는금융회사에전송되고, 금융회사에서도직접 OTP를생성하여기기에서생성된 OTP와동일한경우에인증이되는원리로동작된다. OTP는 1회만사용되어야하므로, 모든사용자의 OTP를항상다르게하기위해서는 OTP 생성시각사용자에게만할당된비밀키를이용하여값을생성하며, 비밀키는초기 3 오프라인추측공격 : 오프라인상에서패스워드크랙툴을이용하여패스워드를추측해내는공격 4 사전공격 : 사전에있는단어들을순차적으로입력하여패스워드를알아내려고시도하는 공격 8/22 페이지

OTP발생기제작시에생성되어인증서버에저장된다. 한사용자의 OTP를매번다르게하기위해서는인증정보 ( 현재시간또는누름횟수등 ) 을 OTP 생성시에비밀키와동시에연산하도록한다. 인증정보는 OTP발생기와인증서버가항상동일하게유지하기위해 OTP 사용시마다자동으로보정되어야한다. 3. OTP 통합인증센터소개 3.1. 금융보안연구원의설립 3.1.1. 설립배경 2005. 5월국내최초로발생한인터넷뱅킹해킹사고를계기로국민들이안심하고전자금융거래를이용할수있도록 금융보안전담기구 와 OTP 통합인증센터 설립등을주요내용으로하는 전자금융거래안정성강화종합대책 을산업자원부, 정보통신부, 금융감독위 ( 원 ) 등이공동으로수립하여, 경제정책조정회의에보고하였다. 경제정책조정회의보고 (2005.9.16) 내용 금융부문해킹대응을위한전담조직설립검토 ( 05.12) 일회용비밀번호발생기공통사용을위한통합인증센터기능 국가사이버안전센터, 한국정보보호진흥원등으로부터제공되는해킹프로그램에대한적용, 테스트및대응방안수립 시행 금융부문정보보호제품품질검증 ( 인증 ) 및지속적인품질관리 미국의경우금융보안기술연구소 (BITS) 를 96년부터설립및운영중 이에따라, 2006 년 12 월에설립된금융보안연구원 (http://www.fsa.or.kr) 은금융분야의 보안전담기구의역할과동시에 OTP 통합인증센터를운영하고있다. 3.1.2. 설립경과 l '06. 6.14: 사단법인 금융보안연구원 설립을위한창립총회개최 l '06. 9.29: 금융감독위원회허가 ( 은행감독과-1396) l '06.10. 4: 금융보안연구원설립등기 l '06.12.21: 금융보안연구원개원식 l 07.6.29: 최초 OTP 통합인증서비스개시 (9개금융회사대상 ) 9/22 페이지

l l 07.12.5: OTP 통합인증센터개소식 08.6.29: OTP 재해복구 (DR) 센터구축및가동 3.1.3. 기대효과 OTP 통합인증센터의구축효과는아래와같이크게 3 가지로요약된다. l l l 금융회사측면에서는개별적으로 OTP 시스템을구축및운영함으로써발생하는비용의절감을위해전체금융회사의 OTP 시스템을통합하여운영하고있다. 보안성측면에서는전체회원사의 OTP 인증서버를통합하여관리하고안전하게운영하며, 보안카드등보안취약성이있는매체를대체하여인터넷해킹위험에대비하고전자금융거래의안전성강화를목표로하고있다. 사용자측면에서는개인이금융회사별로 2~3개의 OTP를휴대함으로써예상되는고객불편사항을사전에방지하여, 1개의 OTP로전체금융회사에서사용할수있도록편의성보장을제공한다. 3.2. OTP 통합인증센터의현황 3.2.1. 참여기관현황 OTP 통합인증센터에는 2010 년 12 월기준으로총 62 개금융회사가참여하고있다. 전 자금융을제공하는은행및증권사전체가참여하고있으며, 세부적인참여기관은아래 의 < 표 3-1> 을참고한다. < 표 3-1> OTP 회원사현황분류기관명 ( 가나다순 ) 경남은행, 광주은행, 국민은행, 기업은행, 농업협동조합중앙회, 대구은행, 부산은행, 수산업협동조합중앙회, 신한은행, 우리은행, 우체국, 전북은행, 은행 (19개) 제주은행, 하나은행, 한국산업은행, 한국씨티은행, 한국외환은행, HSBC은행, SC제일은행골든브릿지투자증권, 교보증권, 굿모닝신한증권, 대신증권, 대우증권, 동부증권, 동양종합금융증권, 리딩투자증권, 메리츠증권, 미래에셋증권, 증권 (37개) 부국증권, 삼성증권, 유진투자증권, 신영증권, HMC투자증권, 우리투자증권, 유화증권, 이트레이드증권, 키움증권, 푸르덴션투자증권, 하나대투증권, 한국증권금융, 한국투자증권, 한양증권, 한화증권, 현대증권, 10/22 페이지

기타 (6 개 ) 하이투자증권, NH투자증권, SK증권, 솔로몬투자증권, LIG투자증권, IBK투자증권, 토러스투자증권, KB투자증권, KTB투자증권, BS투자증권, 한맥투자증권금호종합금융, 상호저축은행, 새마을금고, 신용협동조합, 산림조합중앙회, 외환선물 3.2.2. OTP 통합인증서비스현황 OTP 통합인증서비스는 2007년 6월 29일에 9개금융회사 5 을대상으로서비스를최초로개시하였다. 이후순차적으로서비스를개시하여 < 표 3-2> 와같이 2010년 12월기준으로총 62개금융회사중 61개금융회사가서비스를개시완료하였다. 따라서, OTP 이용자는 1개의 OTP만발급받으면, 61개금융회사에서모두등록하여이용할수있다. < 표 3-2> 서비스개시기관현황 ( 10.12월기준 ) 권역별분류 금융회사수 서비스개시기관수 비고 ( 개시예정일정 ) 은행권역 19 18 HSBC은행 ( 미정 ) 증권권역 37 37 기타권역 6 6 합 계 62 61 OTP 통합인증센터는 24시간 365일무중단으로운영되며, 초기 320만가입자및초당 660건의처리용량을기준으로구축되었다. 이후거래량증가에따라매년장비를증설하고있다. 2010년 12월을기준으로 430만개의 OTP발생기가통합인증센터에등록되어있으며, 그중 340만개의 OTP가사용중에있다. 또한서비스초기부터의누적처리건수가 11 억건이며, 최근에는하루평균 150~180만건의거래량을처리하고있다. 4. 금융회사의 OTP 서비스목적 금융회사가 OTP 서비스를제공하는공통적인목적은다음과같이 3 가지로요약된다. 5 1차서비스금융회사 : 신한은행, 우리은행, 국민은행, 기업은행, 농협중앙회, 경남은행, 대우증권, 메리츠증권, 우리투자증권, 한국투자증권 (9개기관 ) 11/22 페이지

4.1. 전자금융감독규정개정 (2008.4) 정부는전자금융거래의안전성강화를위해 2008년 4월개정되는 [ 전자금융감독규정 ] 에서보안등급별이체한도차등화를추진키로결정하였다. 보안등급별이체한도차등화정책은 2005년 9월경제정책조정회의에서보고된사항으로, OTP 통합인증센터의구축이후로잠정적으로시행이연기된정책이었다. OTP 통합인증센터가 2006년 6월 28일을시점으로서비스가개시되었으며, 대부분의금융회사에서 OTP 통합인증서비스가개시됨에따라, 2008년 4월 1일을기점으로보안등급별이체한도차등화정책이시행되었다. 이에따라인터넷뱅킹및텔레뱅킹고객의보안등급은크게 3개등급으로구분되고, 개인의경우, 기존과같이공인인증서와보안카드만을사용하게되면사고발생시피해금액을최소화하기위해이체한도를기존한도의 1/10로감소시키도록하였다. 개인의경우기존의이체한도를유지하기위해서는 1등급보안매체를반드시이용하여야만하고, 보안카드를그대로사용하는경우에는이체한도가감소하게된다. 법인의경우에는 1등급보안매체의이용이의무화되며, 1등급매체를발급받지않은법인은전자자금이체가제한되게된다. 자세한이체한도는 < 표 4-1> 을참고한다. 텔레뱅킹 인터넷뱅킹 구분개인법인개인법인 < 표 4-1> 전자자금이체한도 ( 단위 : 억원 ) 보안등급 1등급 2등급 3등급 1회 0.5 0.2 0.1 1일 2.5 1 0.5 1회 1 0.2 0.1 1일 5 1 0.5 1회 1 0.5 0.1 1일 5 2.5 0.5 1회 10 1일 50 < 표 4-2> 보안등급별거래이용수단 거래이용수단 보안등급 OTP 발생기 + 공인인증서 HSM 방식공인인증서 + 보안카드 1 등급 보안카드 + 공인인증서 + 2 channel 인증 12/22 페이지

보안카드 + 공인인증서 + 휴대폰 SMS( 거래내역통보 ) 보안카드 + 공인인증서 2 등급 3 등급 보안등급별거래이용수단은 < 표 4-2> 와같이구성된다. 즉, 기존과동일하게보안카드와공인인증서만을사용하는경우에는 3등급이부여되며, 여기에추가적으로거래내역을 SMS로통보하게되면 2등급이부여된다. 1등급의경우에는 3가지거래이용수단으로분류되며, 보안카드없이 OTP 발생기와공인인증서를사용하는경우는 1등급으로분류된다. HSM(Hardware Security Module) 은공인인증서의복사방지를위해사용하는보안성이강화된스마트카드, USB(Universal Serial Bus) 저장장치로보안카드와같이사용되어야만 1등급으로분류된다. 2 channel 인증은인터넷뱅킹시에기존과동일하게보안카드와공인인증서로계좌이체를수행하고, 다른채널 ( 즉, 전화, 휴대폰, FAX 등 ) 로재차계좌이체정보 ( 계좌번호, 금액등 ) 를확인하는방식으로역시 1등급으로분류된다. 따라서, 금융감독규정에의해금융회사에서는법인고객의 1등급보안매체의이용이의무화되고, 개인의경우에도이체한도를유지하기위해서는 1등급보안매체를도입하여야하므로 1)OTP, 2) 보안카드 +HSM, 3) 보안카드 +2-channel인증중에한가지이상의거래이용수단을필수적으로제공하여야한다. OTP의경우에는 1개의 OTP발생기로전체금융회사에서사용이가능하므로편의성이우수하며, 인터넷뱅킹뿐아니라텔레뱅킹, TV 뱅킹등에서도제한없이사용될수있어대부분의금융회사에서도입되어이미사용중에있다. 단, [ 전자금융감독규정시행세칙 ] 제29조 ( 전자금융거래시준수사항 ) 에의해증권, 보험, 카드등의기타권역에서본인명의계좌 ( 약정계좌 ) 로의이체는예외적으로일회용비밀번호 ( 보안카드포함 ) 의적용이제외되어있으므로자세한사항은금융감독원에문의하도록한다. 4.2. 보안카드의대체 2005년 9월에금융감독위 / 금융감독원에서발표된 [ 전자거래안정성강화종합대책 ] 에서는이체및대체거래시와공인인증서의재발급시에반드시일회용비밀번호 (OTP발생기또는보안카드 ) 를사용하도록규정하였다. 이에따라보안카드를도입하지않은금융회사에서는전자금융의안정성강화를위해보안카드의도입을검토하게되었다. 하지만, 지점수가부족한증권및기타권역의금융회사에서는보안카드의도입결정에도불구하고이를배포할수있는창구가부족하여실효성에문제가있었다. 반면에 OTP는은행등타금융회사에서발급하여, 해당금융회사에온라인등록이가능한장점 13/22 페이지

이있으므로 OTP 통합인증센터의업무개시까지는한시적으로일회용비밀번호의도입을연기하였다. 따라서, 이체 / 대체 ( 본인명의계좌로의이체는예외 ) 또는공인인증서의재발급업무가있는금융회사에서는일회용비밀번호의적용이반드시필요하며, 발급창구의제한이없는 OTP는최적의선택이될것이다. 타보안 1등급매체인 HSM과 2-Channel을적용하고자하는경우에는반드시보안카드를동시에발급하여야한다. 4.3. 전자금융의안전성제고 앞서설명한바와같이보안카드는 30~35개의비밀번호로구성되어있으며, 비밀번호분할입력에의해서 1,200개의비밀번호로늘렸지만고액이체가가능한경우에는여전히안심하기에부족하다. 특히공인인증서등이모두탈취된상황에서보안카드비밀번호를장시간동안수집하여, 실제해킹에이용된사례가있어보안카드는더이상안전한보안매체로볼수없다. 물론공인인증서자체를안전하게보호한다면보안카드의탈취만으로는해킹이불가능하겠지만, 하드디스크에저장되는공인인증서는악성프로그램에매우취약할수밖에없어서공인인증서의복제가불가능하게하는 HSM 기술이 1등급보안매체로선택되었다. 하지만 HSM을사용하는경우에도보안카드가여전히사용되어야하므로보안카드의안정성강화는보강되어야한다. HSM이공인인증서의안전성강화라는측면의보안매체라는특징이있다면, OTP는소지기반인증과동시에비밀번호의안전성강화로전자금융의안전성을강화한다. 즉, OTP는수없이많은비밀번호를매사용시마다새롭게생성하여해커의수집공격이더이상의미가없도록한다. 2008년에개정된 [ 전자금융거래법 ] 제9조 ( 금융회사또는전자금융업자의책임 ) 에의하면이용자보호를위해전자금융사고시금융회사의책임을강화하도록하고있다. 즉, 사고발생에있어서이용자의고의나중대한과실에대한증명을금융회사가하지못하는한금융회사는해당사고에대한손해배상의책임이있게된다. 따라서, 전자금융의안정성은소비자의권익보호와함께금융회사의피해방지에도중요한역할을하게되었다. 14/22 페이지

5. OTP 서비스운영 5.1. OTP 통합인증센터가입자격 OTP 통합인증센터에참여하는금융회사는먼저, 금융보안연구원의회원으로가입하여야한다. [ 금융보안연구원정관 ] 제5조 ( 회원의자격 ) 에서는금융회사를정회원과준회원의 2가지종류로구분한다. < 표 5-1> 과같이정회원은금융감독원의검사를받는대부분의금융회사가대상이며, 2010년 12월현재 136개의금융회사가가입되어있다. 준회원은금융감독원의검사대상기관중에정회원에포함되지않은기관으로 [ 전자금융거래법 ] 의전자금융보조업자에해당하는기관및업체등이대상이된다. 원칙적으로는우체국및새마을금고와같이금융감독원의검사대상기관이아닌금융회사는금융보안연구원의회원으로가입할수없으나, 이사회의추천을받아총회에서최종의결되는경우에는정회원으로가입할수있다. < 표 5-1> 금융보안연구원회원의자격 ( 정관제5조 ) 제5조 ( 회원의자격 ) 1 연구원의회원은정회원과준회원으로구성한다. 2 정회원은감독기구설치등에관한법률 ( 이하 설치법 ) 제38조의검사대상기관중국내법인, 국내현지법인또는외국계은행지점으로서다음각호의 1에해당하는자로한다. 1. 은행법, 한국산업은행법, 중소기업은행법에의한인가를받아설립된금융회사. 2. 증권거래법에의한증권회사 증권금융회사및명의개서대행업무를수행하는기관 3. 보험업법에의한보험사업자 4. 종합금융회사에관한법률에의한종합금융회사 5. 상호저축은행법에의한상호저축은행으로인터넷뱅킹을취급하는상호저축은행및상호저축은행중앙회 6. 신용협동조합법에의한신용협동조합중앙회 7. 여신전문금융업법에의한신용카드업자 8. 선물거래법에의한선물업자 9. 농업협동조합법에의한농업협동조합중앙회 10. 수산업협동조합법에의한수산업협동조합중앙회 11. 인터넷뱅킹또는인터넷을통해신용정보제공등대고객전자금융서비스를제공하는금융회사 3 준회원은설치법제38조의검사대상기관중금융업또는금융관련업무를영위하는자로서가입을희망하여이사회의가입승인을받은자로한다. 15/22 페이지

4 제 2 항에서정한정회원이외에연구원의정회원으로참여를희망하는자는이사회의 추천을거쳐총회의의결로정회원이될수있다. 따라서 OTP 회원사로가입하고자하는금융회사에서는금융보안연구원의회원으로가 입되어있는지여부를먼저확인하고, 만약가입되어있지않은경우에는가입을선행하 여야만 OTP 회원사로가입할수있다. 5.2. OTP 서비스시스템구축 금융회사에서구현되는 OTP 시스템은은행권역과증권권역이상이하며, 각개별기관의특성에따라많은차이가있다. 하지만, 대부분의금융회사의 OTP 시스템은 ( 그림 5-1) 과같이구현될수있다. 신규로 OTP 회원사로가입하는금융회사는아래와같이총 5가지부분에서 OTP 시스템을구현할수있도록한다. 1 대체인증서버는선택적으로금융회사가도입하는시스템으로 OTP센터를대신하여 OTP값을자체적으로검증하는시스템이다. 대부분의은행은 OTP 센터의장애를대비하여자체적으로대체인증서버를도입하고있으나, 증권및기타권역에서는대부분 OTP 센터에직접인증을요청하는방식으로구현한다. 2 전자금융가입자는 OTP발생기에서출력된 OTP를 PC, 휴대폰, 전화기, TV 등의전자거래매체에입력한다. 가입자가전자거래매체를통해금융회사와인터페이스를하는화면및스크립트등을채널이라하며, 이에대한구현이필요하다. 3 고객은 OTP를소지하고금융회사의지점에방문하여창구에서금융회사의직원에게 OTP 관련업무를요청할수있다. 4 채널및창구에서사용자의요청에맞는업무를수행하기위해서는응용프로그램이구현되어야한다. 이러한응용에서는자체적으로 OTP 인증을수행하거나, OTP 센터로요청할수있도록전문을생성하는역할을수행한다. 이외에도응용에서는고객의정보를관리하고, OTP 상태를관리하는등광범위한업무를수행한다. 5 OTP 센터와통신을연결하고, 관리하며비상시통신망관리전문을생성하여송수신하도록담당하는부분을통신이라한다. 금융회사와 OTP센터는전용선연결을통한통신을원칙으로한다. 16/22 페이지

( 전자금융가입자 ) ( 금융기관 ) (OTP 센터 ) OTP 기기 대체인증서버 통신 분배서버 PC 휴대폰 응용 관리서버 전화기... 채널 TV 직접방문 창구 ( 그림 5-1) 금융회사 OTP 시스템의구성 5.3. OTP 시스템의운영및비상대응 금융회사에서는 OTP 시스템을운영함에있어평상시의운영절차와비상시대응절차에대한체계적인대응방안을마련하여야한다. 따라서, 금융회사에서는다음의 < 표 5-2> 와 [OTP 업무가이드라인 ] 을참고하여, 해당내용이금융회사의 OTP 시스템의운영절차에포함될수있도록한다. 금융회사의시스템은기관의상황에따라 24시간무중단으로운영되거나, 업무중에만 OTP 시스템을가동할수도있다. 다만, OTP에대한사고신고업무는 24시간처리 ( 온라인처리포함 ) 되는것을원칙으로하며, 평상시뿐아니라비상시에도항상신속하게처리될수있도록구성하여야한다. 금융회사에서선정하지않은 OTP발생기도해당기관에서등록하여사용할수있으므로, 가능한모든 OTP 업무를운영하여야한다. 예를들어, H/W PIN 6 이없는기기를도입한금융회사에서도 H/W PIN의 잠김해제 업무를지원하여야한다. 금융회사의담당자는이러한점을유의하여 OTP 업무가정상적으로운영될수있도록한다. 6 OTP 발생기자체에부착된숫자판에사용자비밀번호를입력해야만 OTP 가출력 17/22 페이지

평상시운영절차비상시운영절차 < 표 5-2> 금융회사의 OTP 시스템운영절차 분류 내용 OTP 업무별 OTP의 28개업무별로주요처리방법을기술하고, 고객의주 처리 요민원에대한 FAQ를관리 오류처리 업무별오류에대한처리방법및창구업무실수로인한원장변경처리절차 통계및정산 운영비및타기관등록수수료와관련한거래건수추이분석및통계자료관리 OTP 추가도입 기도입한 OTP 소진으로, 신규 OTP발생기를추가도입하는경우, 수용적합성테스트및기기등록요청 기타 전용회선관리및기타평상시운영절차포함 OTP 센터 OTP 센터의시스템장애시금융회사의처리절차및비상연 장애시처리 락망관리 금융회사 금융회사의시스템장애시 OTP 통합인증센터통지등의처리 장애시처리 방안마련 비상대체처리 대체인증서버가없는금융회사에서비상시 OTP를대체하여인증하는방안마련 기타 비상대응훈련및장애시사고신고업무처리절차마련 5.4. OTP 운영정책결정 OTP와관련한모든정책은 OTP 운영위원회 를통해결정된다. 전체 62개 OTP 회원사에서는 OTP 운영위원회에안건결의에따른권한을위임하였다. OTP 운영위원회기관의선출은전체회원사를대상으로참여희망기관을조사하고, 신청한기관을권역별로구분하여각권역의대표기관이최종참여회원사를선출하도록협의하였다. 각권역별대표금융회사는전년도 OTP 운영위원회의의장및간사기관이담당하며, 1년임기로 OTP 운영위원회에서선출된다. 권역별대표금융회사는각권역의특성을고려하여운영위원회기관을선출하여야하며, 10년도운영위원회기관은아래의 < 표 5-3> 과같이선출되었다. 구분 은행권역 < 표 5-3> 10 년도운영위원회기관선정결과 선정결과 o 국민은행, 기업은행, 농협, 신한은행, 우리은행, 하나은행, 한국외환은행 18/22 페이지

증권권역 기타권역 o 대우증권, 키움증권, 현대증권, KB 투자증권, SK 증권 운영위원회참석률을고려함. o 상호저축은행중앙회 OTP 운영위원회에서논의되는내용은주요안건과일반안건으로나뉘게된다. 주요안 건은전체회원사의서면결의를통해금융보안연구원의이사회에서최종의결하게되며, 일반안건은 OTP 운영위원회에서의결하도록한다. 5.4.1. 주요안건 금융보안연구원의 OTP 통합인증센터와관련한주요안건은 [OTP 통합인증센터운영위 원회규정 ] 제 5 조에의해다음과같이정의된다. l OTP 통합인증센터의사업계획및예산 / 결산의심의 l 특별회비분담기준의심의 l 위원회에서필요하다고인정하는사항 l 기타금융보안연구원장이필요하다고인정하는사항 이와같은주요안건은 < 표 5-4> 과같은절차로결의된다. 운영위원회에서는주요안건 에대해안건상정의역할을하며, 최종의결은전체회원사의서면동의를통해이사회의 의결이필요하다. < 표 5-4> 주요안건결의절차 절차 설명 비고 1. 안건상정 운영위원회의충분한협의를통해안건을상정 실무협의회협의 2. 심의 전체회원사서면동의전체회원사의부서장급회의를통해안건을심의 ( 과반수이상찬성 ) 3. 의결 이사회에서최종안건결의 이사회안건의결 5.4.2. 일반안건 금융보안연구원의 OTP 통합인증센터와관련한일반안건은주요안건을제외하고, OTP 운영위원회에서논의되는모든안건으로다음과같이정의된다. 19/22 페이지

l OTP 통합인증센터의업무절차및일정 l OTP 업체및구축업체관련사항 l OTP 통합인증센터의주요시스템에대한개발및유지보수 l 책임소재및보험관련사항 l 실무협의회가제안하는안건 l 기타금융보안연구원에서회원사간협의가필요하다고인정하는사항 이와같은일반안건은 < 표 5-5> 과같은절차로결의된다. 이와같이 OTP 와관련한 모든정책은 OTP 운영위원회및전체회원사의협의를통해결정된다. < 표 5-5> 주요안건결의절차 절차 설명 비고 1. 안건상정 운영위원또는실무자의 3분의 1이상의소집요구 실무협의회협의 2. 심의 실무협의회에서일반안건을심의 2/3이상찬성 3. 의결부서장급운영위원회에서최종으로일반안건의결 2/3 이상찬성 ( 서면으로가능 ) 20/22 페이지

Ÿ 본표준문서작성책임자는아래와같습니다. 성명조직기타정보 강우진금융보안연구원 hanull@fsa.or.kr Ÿ 본표준문서작성자는아래와같습니다. 성명조직기타정보 심희원금융보안연구원 hwshim@fsa.or.kr 21/22 페이지

제목 : OTP 통합인증서비스소개 v1.0 2010 년 12 월 30 일인쇄 2010 년 12 월 30 일발행 발행인 : 곽창규발행처 : 금융보안연구원서울시영등포구여의도동 36-1번지키움파이낸스빌딩 15층 Tel. (02) 6919-9151~5, (02) 2033-9962~5 < 비매품 > 1. 본문서는금융보안연구원과금융회사에서제공되고있는 OTP 서비스에대한소개를목적으로제작된문서입니다. 2. 본규격서의저작권은금융보안연구원에있습니다 3. 본규격서의일부내용이나원문을발췌하거나인용하는경우에는반드시출처를명시하여주십시오. 22/22 페이지

2024 © docsplayer.org 개인정보보호 | 약관 | 지원