<32312D342D303420BCDBC0E7C7E520B1E8C0CEBCAE D E687770>

Similar documents
TTA Journal No.157_서체변경.indd

DBPIA-NURIMEDIA

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

DBPIA-NURIMEDIA

정진명 남재원 떠오르고 있다. 배달앱서비스는 소비자가 배달 앱서비스를 이용하여 배달음식점을 찾고 음식 을 주문하며, 대금을 결제까지 할 수 있는 서비 스를 말한다. 배달앱서비스는 간편한 음식 주문 과 바로결제 서비스를 바탕으로 전 연령층에서 빠르게 보급되고 있는 반면,

디지털컨버전스시대의사용자인증혁신 디지털컨버전스시대가도래하면서디지털세상으로진입하는관문인사용자인증이더욱중요해지고있습니다. 기업과서비스공급자는사용자가본인의정보에더욱안전하게접속할수있도록다양한인증수단을적용하고있습니다. 그러나복잡한인증과정은사용자의피로도를증가시켰으며, 이로인해발생

DBPIA-NURIMEDIA

±èÇö¿í Ãâ·Â

39호뉴스레터.indd

12È«±â¼±¿Ü339~370

3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp

강의지침서 작성 양식

#Ȳ¿ë¼®

Journal of Educational Innovation Research 2018, Vol. 28, No. 1, pp DOI: * A Analysis of

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

DBPIA-NURIMEDIA

06_ÀÌÀçÈÆ¿Ü0926

07_Àü¼ºÅÂ_0922

歯3이화진

°í¼®ÁÖ Ãâ·Â

인문사회과학기술융합학회

< BFCFB7E15FC7D1B1B9C1A4BAB8B9FDC7D0C8B85F31352D31BCF6C1A4C8AEC0CE2E687770>

<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>

20(53?)_???_O2O(Online to Offline)??? ???? ??.hwp

歯연보00-5.PDF

슬라이드 1

192 法 學 硏 究 第 17 輯 第 2 號 < 국문초록 > 선하증권의 한계점을 극복하기 위해 실무에서 널리 화물선취보증장(L/G:Letter of Guarantee)제도가 이용되고는 있다. 그러나 수입상으로서는 추가적인 비용이 발생하고, 직접 은행을 방문해서 화물선취

중국 상장회사의 경영지배구조에 관한 연구

DBPIA-NURIMEDIA


WHO 의새로운국제장애분류 (ICF) 에대한이해와기능적장애개념의필요성 ( 황수경 ) ꌙ 127 노동정책연구 제 4 권제 2 호 pp.127~148 c 한국노동연구원 WHO 의새로운국제장애분류 (ICF) 에대한이해와기능적장애개념의필요성황수경 *, (disabi

<31362DB1E8C7FDBFF82DC0FABFB9BBEA20B5B6B8B3BFB5C8ADC0C720B1B8C0FC20B8B6C4C9C6C32E687770>

untitled

11. 일반 10 김린 지니 3(cwr).hwp

2009년 국제법평론회 동계학술대회 일정

세종대 요람

04-다시_고속철도61~80p

디지털포렌식학회 논문양식

1. KT 올레스퀘어 미디어파사드 콘텐츠 개발.hwp

Journal of Educational Innovation Research 2017, Vol. 27, No. 3, pp DOI: (NCS) Method of Con

340 法 學 硏 究 第 16 輯 第 2 號 < 국문초록 > 박근혜 정부 출범이후 상설특별검사제를 도입하기 위한 논의가 국회에서 진행 중이 다. 여당과 야당은 박근혜 대통령 공약인 상설특별검사제도를 2013년 상반기 중에 도입 하기로 합의했다. 상설특검은 고위공직자비리

Journal of Educational Innovation Research 2018, Vol. 28, No. 3, pp DOI: NCS : * A Study on

¹ýÁ¶ 12¿ù ¼öÁ¤.PDF

<3133B1C732C8A328BCF6C1A4292E687770>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Dec.; 27(12),

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

- 2 -

DBPIA-NURIMEDIA

DBPIA-NURIMEDIA

Microsoft PowerPoint - XP Style

지능정보연구제 16 권제 1 호 2010 년 3 월 (pp.71~92),.,.,., Support Vector Machines,,., KOSPI200.,. * 지능정보연구제 16 권제 1 호 2010 년 3 월

44-4대지.07이영희532~

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

정보기술응용학회 발표

UPMLOPEKAUWE.hwp

001지식백서_4도

06_À̼º»ó_0929

???? 1

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널

SNS 명예훼손의 형사책임

Journal of Educational Innovation Research 2017, Vol. 27, No. 2, pp DOI: : Researc

정연덕( )-97.PDF

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>

<32382DC3BBB0A2C0E5BED6C0DA2E687770>

Microsoft Word - 김정훈

<BCADBFEFC1F6B9E6BAAFC8A3BBE7C8B85FBAAFC8A3BBE C1FD2831B1C7292E687770>

Æ÷Àå½Ã¼³94š

11¹Ú´ö±Ô

04서종철fig.6(121~131)ok

DBPIA-NURIMEDIA

SchoolNet튜토리얼.PDF

공연영상

Security Overview

09권오설_ok.hwp

말은 많은 Blockchain 2

½Éº´È¿ Ãâ·Â

우리들이 일반적으로 기호

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

IKC43_06.hwp

(5차 편집).hwp


1.장인석-ITIL 소개.ppt

10(3)-09.fm

원고스타일 정의


歯박사

06_±è¼öö_0323

Microsoft PowerPoint - 6.pptx

232 도시행정학보 제25집 제4호 I. 서 론 1. 연구의 배경 및 목적 사회가 다원화될수록 다양성과 복합성의 요소는 증가하게 된다. 도시의 발달은 사회의 다원 화와 밀접하게 관련되어 있기 때문에 현대화된 도시는 경제, 사회, 정치 등이 복합적으로 연 계되어 있어 특

DBPIA-NURIMEDIA

< FBEC6C1D6B9FDC7D05F39C2F72E687770>


Voice Portal using Oracle 9i AS Wireless

2017 1

ㅇㅇㅇ

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Feb.; 29(2), IS

<BCF6BDC D31385FB0EDBCD3B5B5B7CEC8DEB0D4C5B8BFEEB5B5C0D4B1B8BBF3BFACB1B85FB1C7BFB5C0CE2E687770>

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

2

Transcription:

http://www.jsebs.org ISSN: 2288-3908 The Journal of Society for e-business Studies Vol.21, No.4, November 2016, pp.41-53 http://dx.doi.org/10.7838/jsebs.2016.21.4.041 전자금융거래시생체인증을전자서명에활용하기위한기술및법률에관한연구 A Study on the Utilization of Biometric Authentication for Digital Signature in Electronic Financial Transactions: Technological and Legal Aspect 송재헌 (Jae-Hun Song) *, 김인석 (In-Seok Kim) ** 초 록 요즘각스마트폰제조사에서플래그쉽 (flagship) 스마트폰모델에지문, 음성, 홍채인식기능을기본적으로탑재하면서생체인증을활용한인증수단이활성화되고있다. 이러한생체인증 ( 지문, 음성, 홍채등 ) 은패턴이나, 비밀번호와같이스마트폰의잠금해제기능뿐만아니라금융권을중심으로다양한인증수단으로확산되고있다. 본논문에서는생체인증을통해서전자금융 ( 인터넷뱅킹, 스마트뱅킹등 ) 거래시사용자를인증하고, 거래내역에대한전자서명을통한부인방지기술에대해설명하고, 이러한생체인증기술이금융서비스에접목되기위해필요한관련기술적, 법률적인요구사항을연구하고자한다. ABSTRACT Today, leading smartphone manufacturers offer biometric technologies such as fingerprints, voice recognition, and iris patterns in their flagship models. These biometric technologies are used for authentication. Biometric authentications are widely used in device security and even in financial transaction. This paper examines cases where a user uses biometric authentication during financial transaction (both online and smartphone banking), and explains biometric for non-repudiation by digital signature. Finally, the paper also explains technical and legal requirements for biometric authentication in the area of financial services. 키워드 :FIDO, 생체인증, 공개키알고리즘, 전자서명, 부인방지 FIDO, Biometrics, PKI, Digital Signature, Non-Repudiation 1) * Department of Information Security Graduate School, Korea University(prayer21c@korea.ac.kr) ** Corresponding Author, Department of Information Security, Korea University(iskim11@korea.ac.kr) Received: 2016-10-21, Review completed: 2016-11-17, Accepted: 2016-11-23

42 한국전자거래학회지제 21 권제 4 호 1. 서론금융과 IT기술이융합된핀테크산업활성화를위해금융위원회가발표한내용에따르면, 보안성심의제도, 인증방법평가위원회제도를폐지함으로써금융서비스의보안규제방식을미국, 영국등핀테크선진국처럼 사전규제 보다 사후보안 을강화하는방향으로규제패러다임을전환하고있다 [8]. 이는, 글로벌경쟁력을갖춘핀테크서비스를창출하고핀테크산업을우리나라의신성장동력으로육성하기위함이다 [8]. 이러한정책의일환으로, 인터넷을주채널로모든거래가이루어지는인터넷전문은행출시에앞서, 전자금융거래에서도공인인증서의무사용폐지 (2015. 3. 18), 일회용비밀번호 ( 보안카드, OTP) 의무사용폐지 (2016. 6. 30) 등각종규제가순차적으로완화되고있다. 특히, 공인인증서는공인인증기관 (CA) 이발행하는전자적정보로서신원확인, 무결성, 기밀성, 부인방지등많은장점이있어국내전자금융 ( 인터넷뱅킹, 스마트뱅킹등 ) 거래시오랫동안사용되어왔다. 하지만, 공인인증서의실제사용환경에서는 ActiveX 등비표준기술로구현되어있어설치에따른사용자의편의성을저해하고, 피싱, 파밍등악성코드를통해사용자 PC나스마트폰의 NPKI 폴더에서공인인증서파일탈취가가능하다는취약점이지적되어왔다 [2]. 공인인증서의무사용폐지에따라금융서비스영역에서는공인인증서이외의다양한보안 / 인증기술의경쟁이가능하게되었으며, 공인인증서가담당해왔던사용자인증과거래내역부인방지기능을대체할수있는다양한보안 / 인증수단이속속출현하고있다. 하지만, 아직까지도공인인증서의주요기능중하나인거래내역부인방지기능은법률적 / 제도적걸림돌이남아있는현실이다. 본논문의제2장에서는 FIDO 를기반으로하는생체인증을활용한전자서명기술에대해서설명하고, 제3장에서는전자금융거래법과전자서명법을중심으로생체인증을전자서명에활용하기위한관련법률적 제도적사항들을검토하고, 제4장에서는결론을제시한다. 2. 생체인증을활용한전자서명및부인방지기술생체인증을금융서비스에적용하기위해서는해당기술이기존공인인증서가담당하던사용자인증과거래내역에대한부인방지기능을충족시킬수있는지검토할필요가있다. 본장에서는생체인증의기술표준인 FIDO (Fast IDentity Online) 규격의명세범위와부인방지서비스의요건을살펴보고, FIDO 기반의전자서명및부인방지기술들을고찰하고자한다. 2.1 FIDO 기술규격 FIDO 기술규격은온라인환경에서생체인식기술을활용한인증방식에대한개방형기술표준으로서, 안전한사용자인증을위해사용자의디바이스에서제공하는보안기능을활용하고, 사용자가암호, 인증서등을생성하고외우는데서발생하는불편함을해소하고자 FIDO Alliance에서개발하였다.

전자금융거래시생체인증을전자서명에활용하기위한기술및법률에관한연구 43 FIDO 기술규격은크게두가지방식으로나뉘는데, 지문및음성, 얼굴인식등생체정보에기반한사용자인증과정에활용되는표준인 UAF(Universal Authentication Framework) 방식과, 기존 ID/Password 인증방식및추가의보안정보를보관하는 USB(Universal Serial Bus) 방식, 스마트카드등별도의인증장치를사용하는 U2F(Universal Second Factor) 방식으로구분된다. 본논문에서는생체인증기반의부인방지에초점을맞추기위하여 UAF를중심으로고찰하도록한다. 2.1.1 FIDO 기술규격범위 FIDO UAF 기술규격은아키텍쳐, 프로토콜 및각구성요소에대한상세 API 에대해명시하는 10개의세부규격으로구성된다. 각세부규격에대한명세내용은 <Table 1> 과같다. 상기표에서보는바와같이 FIDO 기술규격은생체인증프로토콜을통한사용자등록, 인증, 전자서명및사용자해지에대한규격을주내용으로다루고있다. 본논문에서관심있는사용자인증및거래내역의부인방지측면으로분석하면사용자인증과거래내역전자서명부분까지가 FIDO 기술규격이제공하는범위로판단할수있다. 2.1.2 FIDO 기술규격의거래내역전자서명앞절에서검토한것처럼 FIDO 규격은사용자식별 / 인증및거래내역전자서명프로토콜 <Table 1> FIDO UAF Specification Detailed Technical Specifications FIDO UAF ARCHITECTURAL OVERVIEW FIDO UAF PROTOCOL SPECIFICATION UAF APPLICATION API AND TRANSPORT BINDING SPECIFICATION FIDO UAF AUTHENTICATOR- SPECIFIC MODULE API FIDO UAF AUTHENTICATOR COMMANDS FIDO UAF AUTHENTICATOR METADATA STATEMENTS FIDO UAF AUTHENTICATOR METADATA SERVICE UAF REGISTRY OF PREDEFINED VALUES FIDO APPID AND FACET SPECIFICATION FIDO SECURITY REFERENCE Details and Ranges FIDO UAF component and entire process flow (Registration, Authentication Transaction signature, Deregistration, etc) Registration, Authentication, Transaction signature, Deregistration messages details FIDO Client API details (Registration, Authentication,Transaction Deregistration, etc) FIDO ASM API details FIDO Authenticator commands details signature, Description for the method for representing the FIDO Authenticator for use in FIDO server Description for how to distribute FIDO Metadata A constant value used in the FIDO protocol description Authentication method description to FIDO Client, ASM, Authenticator from the client-side FIDO Protocol security verification and security-related considerations stated

44 한국전자거래학회지제 21 권제 4 호 을정의하고있다. 기존공인인증서가금융서비스의안전성을위하여제공하던부인방지요건중사용자와트랜잭션간의바인딩및전자서명절차를설명하면다음과같다. (1) 사용자의등록을위하여사용자의스마트폰센서에서생체정보 ( 지문, 홍채, 음성등 ) 를취득하여스마트폰하드웨어보안영역에공인인증서와같은 PKI 키쌍 ( 개인키, 공개키 ) 을생성한다. 이후, 공개키는금융회사 FIDO 서버로전송하고개인키는스마트폰하드웨어보안영역에저장한다. (2) 사용자의스마트폰디바이스에서생체정보 ( 지문, 홍채, 음성등 ) 를인식한후, 개인키를이용한연산결과를 FIDO 서버에전송하여 FIDO 서버가사용자의공개키로사용자를인증한다. (3) 인증된사용자는단말기상의개인키로 거래내역에대해전자서명연산을수행하고그결과를 FIDO 서버로전송하여서버가사용자의공개키로거래내역전자서명을검증하는프로토콜을수행할수있다. FIDO 기반의생체인증기술은공인인증서와동일한공개키알고리즘을통한암호화및전자서명을제공하기위한 PKI 기술을사용하여구현되기때문에, 기술적으로는공인인증서와동등한보안수준을제공한다. 뿐만아니라, 기존공인인증서의문제점으로지적되고있는공인인증서유출문제와, 공인인증서오남용문제를해소할수있는장점이있으며, 재발급및키갱신으로인한 PC, 스마트폰간인증서이동등의불편함과복잡한패스워드를기억하고입력할필요없이생체정보 ( 지문, 음성, 홍채등 ) 스캔만으로편리하게이용할수있는등다양한장점을제공한다. <Figure 1> Biometric Structure Diagram

전자금융거래시생체인증을전자서명에활용하기위한기술및법률에관한연구 45 Sections Biometric Authentivation Certificate Verification Strength of cipher 2048-bit 2048-bit Encryption algorithm Save-private key Outflow-private key Share with others <Table 2> Biometric Authentication vs Certificate Verification Public key algorithm (FIDO-based) Smartphone hardware security zone The private key can not be outflow No biometric information sharing Public key algorithm Kept on file in the location defined in the certificate verfication Phishing apps, malware such as private keys outflow risk Others to the certificate (private key, password, etc.) can be forwarded to abuse and non-repudiation issue certificates for use 하지만, <Table 1> 에서확인한바와같이 FIDO 기술규격자체로는금융서비스가필요로하는부인방지기능을제공하는데에한계가있다. 2.2 부인방지서비스요건금융서비스에서요구되는부인방지서비스는금융거래당사자와금융회사간에분쟁이생겼을때에금융거래의주체가되는사용자가해당금융거래를수행했다는사실을부인하지못하도록증거를제시하는서비스를의미한다. 이러한부인방지서비스를명확히살펴보기위해서부인방지서비스가만족해야하는요건을살펴보면다음과같다. (1) 거래내역과고객결합 (Transactions and users must be tightly bound) (2) 거래내역위조불가 (Transactions must be difficult to forge) (3) 거래내역변경불가 (Transactions must be unalterable) (4) 거래내역검증가능 (Transactions must be verifiable) 처음두가지요건은전자서명제출 (Submission) 시의부인방지요건이며, 나머지두가지요건은전자서명수신 (Receipt) 시의부인방지요건을제시하는것으로서, 상기네가지요건을모두만족해야만금융거래의부인방지서비스로사용이가능하다. (1) 거래내역과고객의결합요건의확인을위해서는우선대면인증등금융기관책임하에고객신원을확인하여야하며, FIDO 인증기 (Authenticator) 는신뢰할수있는실행환경에서동작해야한다. 또한, 거래내역의전자서명은안전하게관리되는개인키로수행되어야한다. (2) 거래내역의위조를불가능하게하기위해서는신뢰할수있는공개키알고리즘및일방향해시알고리즘으로전자서명을수행해야한다. (3) 거래내역의변경을불가능하게하기위해서버에안전하게등록된공개키로전자서명을검증해야하며, 금융기관서버내에서거래내역과전자서명을안전하게보관하여야한다.

46 한국전자거래학회지제 21 권제 4 호 상기세가지요건들은 FIDO 기술규격과금융서비스시스템이자체적으로지원가능한영역으로판단된다. 하지만, 마지막요건인 (4) 거래내역검증기능은전자서명검증을통한거래내역무결성검증과함께전자서명생성정보 ( 개인키등 ) 의유효성검증을포함하는요건으로서 FIDO 기술규격만으로는제공할수없는요건으로파악된다 [10]. 2.3 FIDO 기반부인방지기술생체인증을금융서비스에적용시거래내역부인방지요건을충족시키기위한기술이다양하게개발되고있다. FIDO 규격과국내공인인증기술을연계하는모델, 공인인증기관의시점확인서비스를이용하는모델, 그리고 KSI(Keyless Signature Infrastructure) 기술연계모델등이그것이며해당기술들은국내금융회사서비스에적용되어활용되고있다. 2.3.1 FIDO-공인인증기술연계모델한국인터넷진흥원은국내공인인증기관의최상위인증기관으로서기존공인인증체계와 FIDO 기술규격을기술적으로접목시킬수있도록 바이오정보연계등스마트폰환경에서공인인증서안전이용구현가이드라인 을작성하여공표했다. 이가이드라인의부록에서는 FIDO 인증기술과공인인증서연계기술로서지문등생체정보를이용하여비밀번호를입력하지않고공인인증서를이용할수있는방법을제시하고있다. 해당가이드라인은 FIDO 프로토콜수행시점에공인인증서개인키연산을추가함으로써기존공인인증서의주요기능이었던거래내역부인방지기능을제공할수있다는장점이있는반면, 최근규제개혁대상인공인인증서를생체인증서비스에서도사용해야한다는문제점을가지고있다. 2.3.2 TSA 기술연계모델타임스탬프 (Time Stamp) 서비스는전자서명법에명시된공인인증기관서비스로서전자문서가제시된시점에존재했었음을확인해주는시점확인서비스이다. 또한, 시점확인서비스를제공해주는공인인증기관을시점확인서비스기관 (TSA: Time Stamp Authority) 이라부른다. <Figure 2> TSA-Based Non-Repudiation Service

전자금융거래시생체인증을전자서명에활용하기위한기술및법률에관한연구 47 NH농협은행은 FIDO 기반생체인증을이용한거래내역부인방지기능구현을위해 TSA 의시점확인서비스를연계하여적용했다. 사용자는 FIDO 규격에따라안전한실행환경및저장소를통해사용자인증을수행한후, 주요금융거래 ( 자금이체등 ) 시생성된키쌍중공개키를해당금융회사서버에등록하는시점에공인인증기관의시점확인을요청한다. 금 융회사서버는사용자의키등록및관리내역과함께공인인증기관의시점확인서명정보와함께별도의저장소에보관하여추후발생할수있는분쟁에대한증거데이터로활용하게된다. 2.3.3 KSI 기술활용모델 KSI(Keyless Signature Infrastructure) 는 <Figure 3> Keyless Signature Infrastructure <Figure 4> KSI-Based Non-Repudiation Service

48 한국전자거래학회지제 21 권제 4 호 공인인증기관과같은별도의 TTP(Trusted Third Party) 없이해당데이터가해당시점에존재했었다는사실을증명해주는부인방지기술이다. 이기술은미공군, NSA를비롯하여중국, 말레이시아, 필리핀정부에서도사용하고있으며, 중요문서의존재여부및진위여부를보증하는데이용되고있다. KSI에서는중요정보들의존재여부및진위여부를보증하기위해해당문서들의해시값을신문, SNS 등에공표하거나변경불가능한저장장치 (WORM Storage) 를이용하게되는데, 이절차의효율성을위해해시트리구조를사용한다. FIDO 기반생체인증에 KSI 기술을연계시키기위하여일정시간동안등록된사용자의키쌍관리내역을해시트리블록으로묶은후, 해당블록의최상위해시값을다시시간정보를추가한해시캘린더로체인화함으로써부인방지서비스를구현할수있다. 3. 생체인증관련제도및법률적사항핀테크의상징을의미하는간편결제방식이출현한이후, 오랫동안안전한인증기술로평가받던공인인증서가편의성을저해하는대표적인규제의대상으로인식되면서최근에는다양한인증기술과간편결제서비스가금융서비스시장의판도를바꾸고있다 [2]. 간편결제방식은복잡한세부정보입력이나소프트웨어추가설치없이지급결제에필요한개인정보와신용정보를서버에등록하고거래발생시설정된인증수단 ( 아이디 / 패스워드, SMS/ARS인증등 ) 으로본인인증을완료 하는서버형결제방법 [2] 으로미국의페이팔과중국의알리페이가대표적이다. 본장에서는거래의단순화와편의성을향상시킨시대적흐름에따라개정된전자금융거래법등관련법을살펴보고, 금융서비스의관점에서생체인증을활용한전자서명의신원확인효력과거래내역부인방지효력및한계점을검토해보고자한다. 3.1 전자금융거래법및관련규정개정전자금융거래법은컴퓨터, ATM, 전화기등전자적장치로이루어지는금융거래를규율하는거래법이면서동시에전자금융업의영위와감독에대한사업법이다. 공인인증서와관련하여기존전자금융거래법제21조제3항에서 금융위원회는전자금융거래의안전성과신뢰성을확보하기위하여전자서명법제2조제8호의공인인증서의사용등인증방법에대하여필요한기준을정할수있다. 고명시하여금융회사들은공인인증서를사용할수밖에없는상황이었다. 하지만, 개정된전자금융거래법에서는 금융회사등은전자금융거래의안전성과신뢰성을확보할수있도록 ( 중간생략 ) 인증방법에관하여금융위원회가정하는기준을준수하여야한다. ( 전자금융거래법제21조제2항 ) 고하였고, 금융위원회는제2항의기준을정할때특정기술또는서비스의사용을강제하여서는아니되며, 보안기술과인증기술의공정한경쟁이촉진되도록노력하여야한다. ( 전자금융거래법제21조제3항 ) 고개정하였다. 이에따라전자금융감독규정또한개정이되었는데, 기존전자금융감독규정제37조에서는 모든전자금융거래에있어전자서명법에의한

전자금융거래시생체인증을전자서명에활용하기위한기술및법률에관한연구 49 공인인증서또는이와동등한수준의안정성이인정되는인증방법 ( 이하 공인인증서등 ) 을사용하여야한다. 는내용을개정하여 전자금융거래의종류, 성격, 위험수준등을고려하여안전한인증방법을사용하여야한다 고명시하면서공인인증서의무사용에대해폐지하였다. 따라서, 생체인증을통한전자서명기술이공인인증서를대체하여전자금융거래에사용하는데에따른규정또는법률적으로는특별한장애물이없는것으로판단된다. 3.2 생체인증을활용한전자서명의신원확인효력전자금융거래법제2조 ( 정의 ) 의제10호에서는이용자의생체정보를전자금융거래에있어서거래지시를하거나이용자및거래내용의진실성과정확성을확보하기위하여사용되는수단또는정보가되는 접근매체 로명시하고있다. 즉, 공인인증서와동일한수준에서정의된이용자신원확인매체로이해할수있다. 또한, 앞장에서생체인증의전자서명기술에서언급했듯이, 생체인증을통한전자서명생성정보 ( 개인키 ) 로전자문서에전자서명하여이를수신자에게보내고, 수신자는그것을서명자의전자서명검증정보 ( 공개키 ) 로복호화한후그내용을확인해맞으면, 수신자는그전자문서를보낸사람을확인할수있다. 전자서명된전자문서 ( 즉개인키에의하여암호화된전자문서 ) 를복호화하였을때, 그내용이되도록암호화를할수있는사람은공개키의짝이되는개인키를가지고있는서명자뿐이기때문이다 [4]. 따라서, 생체인증방식은본인이없으면사 용할수없는고정형정보이고, 본인만이사용할수있기때문에유일무이한신원확인의효력 [6] 이있는것으로판단된다. 3.3 생체인증을활용한전자서명의부인방지효력과한계생체인증에기반한전자서명에부인방지효력이인정되는지에관하여는전자서명법을검토할필요가있다. 전자서명법에서는전자서명의종류를공인전자서명과공인전자서명외의전자서명 ( 이하 비공인전자서명 ) 으로분류하고있다. 공인전자서명은공인인증서에기초하고일정한요건을갖춘서명으로정의하고있다 ( 전자서명법제2조제3호 ). 또한, 공인전자서명은당해전자서명이서명자의서명, 서명날인또는기명날인이고당해전자문서가전자서명된후그내용이변경되지않았음이추정된다고명시하고있다 ( 전자서명법제3조제2항 ). 즉, 당해전자문서를송부한사람이추후그러한전자문서의진정성립, 송부사실또는그내용의진정성립을부인할때당해전자문서가진정성립된것이법률상추정되므로이를부인하는자가당해전자문서가위 변조되었다는등진정성립되지않았음을증명하여야한다. 하지만, 비공인전자서명은이러한법률상의추정력이없고, 당사자의약정에따른서명, 서명날인또는기명날인으로서의효력 ( 전자서명법제3조제3항 ) 만을가지므로, 그전자서명의진정성립및내용의부인여부에대한분쟁발생시에는당해전자서명이당사자의서명이고전자서명후그내용이변경되지않았다는점은민사소송법의일반원칙에따라증거로

50 한국전자거래학회지제 21 권제 4 호 제출하는자 ( 예 : 은행 ) 가입증해야한다 [7]. 즉, 공인인증서와같이당사자가아닌제3자에대하여배타적으로효력 [9] 을인정받을수는없다는한계점이있다. 따라서, 생체인증을통한전자자금이체성업무와관련하여분쟁이발생할경우, 생체인 증을통한전자서명은전자서명법상의부인방지에관한추정적효력을받지못하므로해당금융기관이전자서명이당해이용자의서명이고, 당해전자문서가전자서명된후그내용이변경되지아니하였다는점을직접입증해야하는한계가있다 [7]. <Table 3> The Legal Analysis on Applying Biometric Authentication in Financial Service Category Related Laws Analysis Whether law enables the use of biometric authentication for e-financial transactions Whether law enables the use of biometric authentication as means to identify users Whether law enables the use of biometric authentication as digital signature/non-rep udiation ELECTRONIC FINANCIAL TRANSACTIONS ACT Article 21 3 The Financial Services Commission shall not compel the use of any specific technology or service when determining the standards referred to in paragraph (2) and shall endeavor to promote the fair competition of security technologies and certification technologies. REGULATION ON SUPERVISION OF ELECTRONIC FINANCIAL ACTIVITIES Article 37 Financial Institution or Electronic Financial Business Company shall be able to secure appropriate authentication methods by considering the type, character, and risk-level, etc of electronic financial transaction. ELECTRONIC FINANCIAL TRANSACTIONS ACT Article 2 The term means of access means any of the following means or information which is used to issue a transaction request in electronic financial transactions or to secure the authenticity and accuracy of users and the details of such transaction: (d) Biological information of users; DIGITAL SIGNATURE ACT Article 3 (3) A digital signature other than a certified digital signature shall have such an effect of a signature, signature and seal, or name and seal, as is agreed between the parties concerned. The law allows various authentication technologies (including biometrics) for electronic financial transactions As the mandatory use of certificate is no longer applied, the use of biometric authentication for electronic financial transaction is available Biometric information of users are means to identify users in electronic financial transactions A digital signature other than a certified digital signature has an effect of a signature, signature and seal, or name and seal. In case of dispute, however, the financial institution must prove the authenticly of user s signature and confirm the electronic document is not altered after the digital signature

전자금융거래시생체인증을전자서명에활용하기위한기술및법률에관한연구 51 4. 결론최근핀테크의활성화에따라혁신적인기술과간편함을차별성으로내세우는인터넷전문은행의출현에따라기존시중은행들은다양한금융서비스개발을위해신기술도입을서두르고있다. 특히, 전체금융거래의 89.7% 를비대면 ( 인터넷 / 스마트폰뱅킹, 자동화기기등 ) 거래가차지하고있는상황에서, 비대면거래에대한안전성과고객의신뢰성을확보하기위한가장핵심적인요소는 신원확인 과 부인방지 기술이며, 본논문에서는 FIDO로대표되는생체인증기술을금융서비스에적용하기위한기술적 / 법률적사항을살펴보았다. 그러나, 앞에서도고찰해보았듯이생체인증을통한혁신적이고안전한신원확인및부인방지기술이존재함에도불구하고법적 / 제도적한계로인해공인전자서명의요건에해당하지않는것으로판단된다. 따라서, 생체인증분야의기술적인발전만으로는국제적흐름에따른혁신적금융서비스의활성화에기여하기어려우며, 관련정책및법 제도의제정이반드시병행되어야할것이다. 본논문에서제안하는사항은첫째, 공인인증서에기초한전자서명만을공인전자서명으로인정하고있는전자서명법의개정이이루어져야한다. 공인전자서명에만부여된법적추정력을일정한요건을갖춘비공인전자서명으로확대하면금융회사와 ICT 기업들이공인인증서에대한절대적인의존에서벗어날수있을것으로판단된다. 이에따라생체인증등안전하고편리한인증및부인방지기능을활용한혁신적인금융서비스 [2] 가연구 / 개발될 수있을것이다. 둘째, 새로운신원확인및전자서명서비스의활성화를위해서는혁신적인보안 / 인증기술을보유한업체들이인증기관으로서서비스를제공할수있어야할것이다. 생체인증등의기술을전자서명에활용하기위해서는개인의신원을확인하여개인키를부여하고, 전자서명을위한공개키를누가사용할것인가를확인해주는메커니즘을제공해주는인증기관 (CA: Certificate Authority)[3] 이중심이된다. 미래창조과학부에서는 2016년전자서명법시행령제2조의2( 공인인증기관지정에대한사전심사 ) 를신설하여, 자신이보유한전자서명기술이공인인증기관의지정기준요건을모두충족하는지여부에대한사전심사를미래창조과학부장관에게신청할수있도록하여, 생체인증기술등다양한인증기술을보유하는공인인증기관을지정할수있도록문을열어놓았다. 하지만, 전자서명법및관련법령상의공인인증기관설립요건문제와공인인증규격이 PKI 인증서규격에국한되어있는등해결해야하는과제가남아있는실정이다. 많은핀테크기업들이새로운비즈니스모델로공인인증서에준한, 생체인증을활용한공인인증서비스기관으로지정될수있도록관련법규가개정되어야하며, 중소규모의핀테크기업들이공인인증기관으로지정되기위한요건 ( 자본금 50억이상, 시설및장비등 ) 을완화할수있도록관련규격의정비를위한연구가진행되어야할것이다. 끝으로, 금융회사는핀테크의활성화에따른기술발전속도에맞추어안전한금융서비스제공을위해선제적사전위험평가예방활동 ( 취약점분석 평가강화, 정보보호관리체

52 한국전자거래학회지제 21 권제 4 호 계 (ISMS) 구축등 )[2] 를더욱강화해기술혁신과정에서유발되는리스크를합리적으로통제하고소비자권익을보호할수있도록노력하길제안해본다. References [1] Cha, B. R. and Ko, F. I. S., An OTP(One Time Password) Generation Method Using the Features of Fingerprint, The Journal of Society for e-business Studies, Vol. 13, No. 1, pp. 33-43, 2008. [2] Jang, S. S., A Study on the Effect Fintech on the Information Security Industry, Internet & Security Focus, pp. 4-32, 2015. [3] Jeong, C. H., Electronic signature based authentication, Seoul Association For Public Administration, pp. 185-215, 2003. [4] Jeong, W. Y., A Comparative research on the revised electonic signature Act, Compare Justice, Vol. 10, No. 4, pp. 1-49, 2003. [5] Kim, J. D., The Legal Analysis on the Electronic Signature, Jungang Law Academy, Vol. 6, No. 3, pp. 353-376, 2004. [6] Lee, H. J., Biometrics began accelerate in the mobile security authentication means, Digieco, pp. 1-10, 2016. [7] Lee, J. H., The biometric authentication technology and financial transactions and its future, etnews, 2016. [8] Park, J. G., Understanding and Responding to Fintech services in the information security point of view, Payment and Information Technology, Vol. 61, pp. 70-100, 2015. [9] Shim, C. S. and Chung, H. W., A Study on the Improvement in Legal Issues for Related Electronic Signature Acts in Korea Focusing on the Legal Issues Connected with e-signature and e-b/l, Korea Internet Electrornic Commerce Association, Vol. 10, No 2, pp. 59-75, 2010. [10] Tsai, C. R., Non-repudiation In Practice, Second international Workshop for Asian Public Key Infrastructure, pp. 1-2, 2002.

전자금융거래시생체인증을전자서명에활용하기위한기술및법률에관한연구 53 저자소개 송재헌 (E-mail: prayer21c@korea.ac.kr) 2015년~현재 고려대학교정보보호대학원금융보안학과석사과정 NH농협은행 IT본부기획역 관심분야 생체인증, 웨어러블디바이스보안 김인석 (E-mail: iskim11@korea.ac.kr) 2008년 고려대학교정보경영공학과 ( 박사 ) 2009년~현재 고려대학교정보보호대학원교수 FDS산업포럼회장, 한국사이버정보전학회운영위원

2024 © docsplayer.org 개인정보보호 | 약관 | 지원