전자인증수단이용기반확대를 위한안전성기준연구
최종연구보고서 전자인증수단이용기반확대를위한안전성기준연구 Research on security criteria for extension to electronic authentication method usage-based 수탁기관 : 순천향대학교 2011. 12.
제출문 한국인터넷진흥원원장귀하 본보고서를전자인증수단이용기반확대를위한안전성기준연구의 최종연구개발결과보고서로제출합니다 년월일 수탁기관순천향대학교연구책임자교수염흥열순천향대학교정보보호학과참여연구원연구원조효제순천향대학교정보보호학과연구원이동희순천향대학교정보보호학과연구원정영곤순천향대학교정보보호학과연구원장기헌순천향대학교정보보호학과연구원이상래순천향대학교정보보호학과
요약문 제목 전자인증수단이용기반확대를위한안전성기준연구 연구개발의목적및중요성 네트워크가일상생활에큰영향을미치지않았던과거의경우에는와같은간단한인증만으로사용자를식별할수있었다네트워크서비스의범위가넓어지고온라인상에서취급되는사용자정보의중요성이높아지면서침해사고의피해규모또한커지게되었다또한개인사용자의정보자산뿐만아니라기업등의대규모정보자산에대한중요성도높아지게되었고이로인해사용자식별과정에대해높은보안성을요구하게되었다이에따라올바른사용자를인증하는방식의연구에대한중요성이높아졌으며사용자인증수단및사용자인증수단도입을위한안전성평가등의중요성이부각되고있다하지만금융권을제외한국내의다양한서비스들이전자인증수단을도입할때참조할만한객관적인지표가존재하지않는다
연구개발의내용및범위 본연구에서는다양한전자인증수단들에대한기술파악하고전자인증수단 적용분야와같은이용현황을분석하였으며가이드라인개발을위해보안 요구사항을분석하였고이를기반으로전자인증가이드라인을제안하였다 연구결과 본연구를통해현재금융및전자민원서비스전자상거래서비스등에서사용되고있는전자인증수단들을조사하였다이를토대로가이드라인의대상으로하고있는전자민원서비스의보안성및인증수단들이타서비스에비해낮음을확인하였다전자민원서비스에적용가능한가이드라인개발을위해전자인증과정에서발생가능한보안위협들을도출하였고이를토대로전자인증관리가이드라인과전자인증기술가이드라인을도출하였다 활용에대한건의 본연구결과의결과인가이드라인은전자민원서비스등에서보안성을 높이기위해전자인증수단선택시활용될수있다 기대효과 본가이드라인을통해기존의전자민원서비스등에보안성을높이기위한인증수단선택시활용될수있으며가이드라인의적절히사용해전자민원서비스외에도인증서비스를제공하는모든서비스에대해사용될수있을것으로사료된다
목 차 제 1 장전자인증수단의개요 1 제 1 절전자인증의정의 1 제 2 절전자인증수단의정의 2 1. 지식기반 2 2. 토큰기반 4 3. 생체기반 7 4. 기타 8 제 3 절전자인증수단의적용분야 9 1. 금융거래서비스 9 2. 전자상거래서비스 11 3. 전자민원서비스 13 4. 일반포털서비스 16 제 2 장전자인증수단동향및현황 18 제 1 절국내주요전자인증수단의종류 18 1. 지식기반인증수단 18 2. 소프트웨어토큰기반인증수단 25 3. 하드웨어토큰기반 29 4. 생체인증 33
5. 기타인증 35 제 2 절국내전자인증수단사용사례 45 제 3 절국내외전자인증연구동향 50 1. FFIEC의전자인증연구동향 50 2. NIST SP800-63 전자인증가이드라인 51 3. NIST SP 800-118 Guide to Enterprise Password Management 54 4. 금융감독원의인증수단안전성기술평가기준 56 5. ITU-T의개체인증을위한보안프레임워크 57 제 4 절시사점 66 제 3 장안전한전자인증을위한보안요구사항분석 67 제 1 절전자인증서비스의보안위협 67 제 2 절전자민원서비스별보안등급 69 1. 보안등급별업무특성 69 제 3 절보증수준별보안요구사항 71 1. 4등급 72 2. 3등급 72 3. 2등급 72 4. 1등급 73 제 4 장전자인증가이드라인 74 제 1 절개요 74 1. 목적 74 2. 구성및범위 74
제 2 절전자인증가이드라인 75 1. 전자인증기술가이드라인 75 2. 전자인증관리가이드라인 79 제 3 절등급별인증수단 87 제 4 절가이드라인적용 89 제 5 장결론 90 참고문헌 92 부록 94
Contents Chapter 1 Overview of e-authentication method 1 Section 1 definition of e-authentication 1 Section 2 definition of e-authentication method 2 1. Knowledge based 2 2. Token based 4 3. Biometric based 7 3. ETC 8 Section 3 Application of electronic authentication method 9 1. Financial Transactions services 9 2. E-commerce services 11 3. E-government services 13 4. Common Portal services 16 Chapter 2 Current status and trends of e-authentication methods 18 Section 1 Types of e-authentication method 18 1. Knowledge based authentication method 18 2. software token based authentication method 25 3. Hardware token based authentication method 29
4. Biometric based authentication method 33 5. other authentication method 35 Section 2 Local e-authentication method use cases 45 Section 3 Domestric and international research trends of electronic authentication 50 1. FFIEC e-authentication research trends 50 2. NIST SP800-63 Electronic Authentication Guideline 51 3. NIST SP 800-118 Guide to Enterprise Password Management 54 4. Financial supervisory service s detailed technical evaluation of the safety standards for E-banking authentication method 56 5. ITU-T Entity authentication assurance 57 Section 4 Implications 66 Chapter 3 Security requirements for secure authentication methods 67 Section 1 e-authentication services threat 67 Section 2 E-Application service-specific security level 69 1. Security level by job characteristics 69 Section 3 Assurance levels of security requirements 71 1. Level 4 72 2. Level 3 72 3. Level 2 72 4. Level 1 73
Chapter 4 e-authentication Guideline 74 Section 1 Outline 74 1. purpose 74 2. Configuration and the scope 74 Section 2 e-authentication Guideline 75 1. e-authentication technical Guideline 75 2. e-authentication Management Guideline 79 Section 3 authentication method to level 87 Section 4 Applying guidelines 89 Chapter 5 Conclusion 90 References 92 Appendix 94
그림목차 ( 그림 1) 전자인증과정 1 ( 그림 2) 지식기반인증수단의종류 3 ( 그림 3) 소지기반인증수단인 OTP 토큰의종류 5 ( 그림 4) 소지기반인증수단인 x.509 토큰의종류 6 ( 그림 5) 생체기반인증수단의종류 7 ( 그림 6) 인터넷뱅킹의계좌이체서비스 10 ( 그림 7) 전자인증수단을이용한금융거래서비스 11 ( 그림 8) 전자인증수단을이용한전자상거래과정 12 ( 그림 9) G 쇼핑몰의결제수단 13 ( 그림 10) 전자인증을이용한전자행정과정 14 ( 그림 11) 민원 24 홈페이지 15 ( 그림 12) 인터넷포털의개인서비스 16 ( 그림 13) 전자인증수단을이용한개인포털서비스사용 17 ( 그림 14) 아이디 / 비밀번호를이용한로그인화면 19 ( 그림 15) 아이디 / 비밀번호를이용한전자인증 20 ( 그림 16) I-PIN 서비스 21 ( 그림 17) I-PIN을이용한본인인증과정 22 ( 그림 18) gamehi에서사용하는보안카드 24 ( 그림 19) 공인인증서의동작과정 26 ( 그림 20) 인터넷뱅킹에서의공인인증서 28 ( 그림 21) 국민은행의 HSM 29 ( 그림 22) 씨티은행의 OTP 30 ( 그림 23) MOTP 32 ( 그림 24) 생체인식서비스의등록및인증과정 34 ( 그림 25) OpenID를이용한사용자인증방식 36
( 그림 26) OpenID를제공화면 37 ( 그림 27) OAuth의인증과정 39 ( 그림 28) SSO의동작과정 40 ( 그림 29) 전화승인서비스 41 ( 그림 30) 국민은행의전화승인서비스 42 ( 그림 31) 휴대폰 SMS 인증 43 ( 그림 32) 우리은행의그래픽인증서비스 44
표목차 [ 표 1] 아이디 / 비밀번호의생명주기 20 [ 표 2] I-PIN과 G-PIN의생명주기 23 [ 표 3] 보안카드의생명주기 24 [ 표 4] 공인인증서의구성요소 25 [ 표 5] 공인인증서의사용분야 27 [ 표 6] 공인인증서의생명주기 28 [ 표 7] OTP의생명주기 33 [ 표 8] 생체인식의생명주기 35 [ 표 9] 거래수단별보안등급 45 [ 표 10] 전자인증수단사용예 46 [ 표 11] 추가보조인증수단사용예 47 [ 표 12] 정부기관사이트에서의전자인증수단사용사례 47 [ 표 13] 일반포털의개인확인정보 49 [ 표 14] FFIEC의제안사항 50 [ 표 15] OMB 가이드라인의전자인증수단적용단계 52 [ 표 16] 보안등급별적용인증수단 54 [ 표 17] 비밀번호보호를위한권장사항 54 [ 표 18] 비밀번호취약점 55 [ 표 19] 등급별보안요구사항 57 [ 표 20] 보증레벨에대한위협 58 [ 표 21] ITU-T의보안위협 67 [ 표 22] 보안등급별업무특성 71 [ 표 23] 전자인증보안요구사항 73 [ 표 24] 전자인증기술가이드라인 76 [ 표 25] 전자인증관리가이드라인 80
[ 표 26] 3등급의등록및신원식별 82 [ 표 27] 2등급의등록및신원식별 82 [ 표 28] 등급별인증수단 88 [ 표 29] 정부민원서비스들의보안등급 89
제 1 장전자인증수단의개요 제 1 절전자인증의정의 가트너의인증의분류 (a taxonomy of authentication) 에서는전자인증을실시간처리시스템에서전자적인정보를이용해올바른사용자를확인하고사용자에해당하는올바른신뢰수준을확인하는과정이라정의하고있다. 오프라인과같은대면환경에서는사용자를식별하기위해신분증등을이용하여사용자를확인하지만온라인과같은비대면환경에서는사용자를식별하기위해오프라인의사용자신분증을대신할수있는사용자의고유정보나수단이필요하며이를위해사용자의여러정보를사용자에게부여되는고유한인증정보를매치시켜사용자의인증수단을생성한다. 사용자인증과정을요청하게되면사용자는생성된인증수단을자신을증명하는정보로제출하고이정보를통해올바른사용자임을확인한다.
전자인증은인터넷이보급되던초기부터아이디 / 비밀번호와같은기본적인형태에서부터시작되어왔다. 과거의온라인환경에서는정보들과서비스들은한정되어있었지만인터넷이발전하고다루는정보들이민감해지고이를대상으로한공격들이성행하면서전자인증에대한중요성이부각되면서안전한전자인증을위한방법들과안전한전자인증수단에대한연구가활발히진행되고있다. 제 2 절전자인증수단의정의 전자인증수단은전자인증환경에서본인임을확인할수있는전자적인정보로구성된본인인증수단을의미하며이는오프라인환경에서의주민등록증과같은신분증이라볼수있다. 또한전자인증의중요성이부각되면서더안전한전자인증수단의개발하게되었고현재에는수많은인증수단들이사용되고있다. 전자인증수단들은다양한특징을가지고있으며여러가지특징들이겹쳐지는부분들도존재하여여러가지분류로나누어질수있다. 이러한전자인증수단의분류는대표적으로사용자가가진지식에기반을하는지식기반, 사용자가소유한형체화된인증수단을이용하는토큰기반, 사용자의생체적인정보를인증수단으로사용하는생체기반의세분류로나누어진다. 1. 지식기반 지식기반인증수단들은사용자가가진지식이나사용자가알고있는정보를확인해사용자를인증하는방식으로휴대해야하는장치가없고편의성이높아사용자가이용하기간편하다는장점을가진다. 또한인증시스템을간단하게구축가능해보편적으로가장많이사용되는인증방식이다. 다른분류의인증수단들에비해편의성이높은편에속하지만보안성이
낮아쉽게유출될수있어금융서비스와같이중요한서비스에대해서는 타인증수단들과함께복합적으로사용되는경우가많다. ( 그림 2) 는 국내외에서사용되고있는지식기반인증수단들의종류이다. 지식기반인증수단들은문법적지식기반과그래픽지식기반인증수단으로나누어진다. 문법적지식기반은사용자가알고있는사용자가알고있는의미있는단어등을기반으로인증에사용하는방식으로문법적지식기반인증방법에서의비밀번호는일반비밀번호, 향상된비밀번호, OTP 코드북등으로나누어진다. 일반비밀번호는사용자가지정한비밀번호를이용해인증을하는방식이고향상된비밀번호는비밀번호입력을위한스크램블패드,
가상키보드등을사용하는방식이다. 질문및응답은인증을요청하는사용자에게질문을통해올바른사용자인지를확인하는방법으로정해진질문에정해진대답으로인증을하는답변선택, 기존에입력한개인정보를활용해인증을하는사용자소유정보, 사용자의인생에서얻은경험을바탕으로질문에대답하는인증방법등이있다. 그래픽지식기반은사용자가인지할수있는그래픽적인정보들을이용해인증을하는방식으로패턴기반과이미지기반으로나누어진다. 패턴기반 OTP는사용자에게이미지적인정보로정해진패턴을보여준후그것을똑같이입력하는방식이다. 이미지기반인증은사용자가등록등의과정에서미리이미지나숫자등을지정하고인증과정에서랜덤한그림들과함께보여주어사용자가등록한이미지를선택하는방법이며캡챠는사용자가인지할수있는질문과함께질문의답변에해당하는이미지를제공해사용자가질문의대답에해당하는이미지를선택하는인증방법이다. 2. 토큰기반 토큰기반인증수단들은사용자가소지하고있는인증토큰을이용해사용자를인증하는방식으로단순히알고있는정보를통해인증하는지식기반인증방식과는다르게사용자가가진인증토큰이올바른인증토큰인지확인하거나사용자가가진인증토큰이생성하는정보를확인해올바른사용자의여부를확인하는방식이다. 이러한토큰기반인증수단들은소프트웨어토큰과하드웨어토큰으로나눌수있다. 소프트웨어토큰은하드웨어가아닌단말장치등에저장가능한하나의소프트웨어형태로구성된토큰을의미하며대표적인인증수단으로는공인인증서를들수있다. 하드웨어토큰에비해편의성은높지만인증수단의유출가능성이높아보안성은비교적낮은편에속한다. 하드웨어토큰은인증정보를생성하는하나의기기형태로제공되는토큰을의미하며대표적인예로 OTP 생성기를들수있다. 소프트웨어토큰에비해
유출의가능성이적어높은보안성을가지지만늘휴대해야하므로편의성이낮은편에속한다. 토큰기반인증수단들은지식기반인증수단에비해높은보안성을가지지만인증시스템구축이어렵고인증수단의발급을위해서는한번의대면환경을거쳐야하며소유한인증수단을안전하게보관해야하므로지식기반인증수단에비해편의성이낮은편에속한다. ( 그림 3) 은대표적인토큰기반인증수단인 OTP의종류이다. OTP는매우다양한종류가존재하며크게는출력된매체, 하드웨어, 소프트웨어의형태로나누어진다. 출력된매체는임의의 OTP 값들이기록된매체들로지정된위치나좌표의값을입력하는방식이며하드웨어기반은 OTP는 OTP를생성하는기기로 OTP를출력해주는기기인소지기반과
PC 등에연결해사용하는연결형 OTP 등이존재하며동작방식과형태에따라다양한방식으로구현될수있다. 소프트웨어형 OTP 는 PC 와같은기기에소프트웨어형태로구성된 OTP 생성프로그램등을의미하며 PC, 스마트폰등에서소프트웨어형태로구현될수있다. 소지기반인증수단중하나인또다른종류인 x.509 기반의토큰은 ( 그림 4) 와같다. x.509 기반토큰은기본적인형태는같지만저장되는등에따라하드웨어형과소프트웨어형태로나누어진다. 하드웨어형토큰은유선환경과무선환경에따라달라지며유선환경에서는스마트 USB 토큰, 접촉식스마트카드, 커스텀디바이스등이있으며무선환경에서는근접식스마트카드, Vicinity 스마트카드, 블루투스리더로입력받는근접식스마트카드등이있다. 소프트웨어형태는 PC, 낸드플래쉬드라이브, 스마트폰의보안요소등으로나누어질수있다.
3. 생체기반 생체기반인증수단은사용자가가지는고유한지문이나홍채, 정맥등과같은생체적특징등을이용해인증하는방식으로높은보안성을지닌다. 하지만시스템구축및관리등에많은투자가필요하고사용자가가진변하지않는특징이므로유출시많은문제가발생가능하기때문에많이사용되지않고있지만높은보안성을요구하는대규모금융거래나출입통제등과같은시스템에많이적용되어사용되고있다. 인증수단으로사용될수있는사용자생체특징들은 ( 그림 5) 와같다. 사용자인증수단으로사용할수있는생체적정보는크게생체적특징과 행동적특징으로나누어진다. 생체적특징은사용자가가지는고유한
신체적특성을이용해인증수단에사용하는방식으로얼굴구조, 정맥, 홍채, 지문등이있다. 행동적특징은사용자의고유한행동을이용해인증하는 방식으로목소리, 타이핑리듬, 쌍방향 GUI 등의방식이존재한다. 4. 기타 위에서언급된세가지범주에포함되는인증수단들외에도통합적인 ID관리시스템이나인증을위한보조인증등이사용되고있다. 오픈아이디 (OpenID) 와 Oauth는모든웹사이트에독립된계정을만들지않고하나의서비스제공자를통해공통된아이디 / 비밀번호를사용할수있게하는서비스를의미하며포털등의서비스에서많이사용되고있다. 금융거래등의서비스에서전자인증의보안성을높이기위해지정된 PC에서만서비스이용이가능하도록하는 PC 등록서비스, 피싱방지를위한그래픽인증서비스, 별도의채널을이용해사용자를인증하는 2 채널인증등이존재한다.
제 3 절전자인증수단의적용분야 전자인증수단은사용자식별이필요한모든네트워크서비스에서사용될수 있으며서비스의중요도에따라보안성강도의차이가있다. 1. 금융거래서비스 인터넷이발전하면서오프라인에서만가능했던금융거래서비스등이온라인환경에서도가능하게되었다. 이러한금융거래서비스들은사용자의개인자산등과직결되는중요한정보들을다루기때문에높은보안성을필요로하게되었고이에따라올바른사용자를인증하기위한인증서비스또한함께발전해왔으며그로인해전자인증서비스의도입및적용이가장빠른속도로발전하고적용되고있다. 대표적인금융거래서비스로는예금조회, 계좌관리및이체와같은온라인뱅킹서비스와 HTS(Home Trading System) 와같은온라인증권거래서비스등이있으며다양한인증수단을선택해사용할수있다.
초기의금융거래서비스는공인인증서와같은인증수단을통해사용자를인증하고서비스를제공하였지만여러보안사고와함께인증과정의중요성이부각되면서보안성을높이기위한여러가지대책들이세워졌으며이와함께많은전자인증수단이도입되게되었다. 현재에는아이디 / 비밀번호와공인인증서, 보안카드, OTP 등의다양한인증수단들을복합적으로사용하고있으며 PC 등록이나 2채널인증과같은추가적인전자인증요소를제공해더욱높은보안성을제공하고있다. 온라인뱅킹에서아이디 / 비밀번호만으로는계좌조회등의최소한의정보만을열람할수있지만공인인증서와함께추가적인인증수단을사용할경우계좌이체등의거래가가능하게하는등안전성에따라접근권한을나누고있으며거래에서함께사용되는인증수단의보안성에따라최대이체금액의차이를두고있다.
해외인터넷뱅킹과정은국내인터넷뱅킹과의차이가존재한다. 현재국내의온라인뱅킹등에서계좌이체와같은서비스를사용하기위해서는먼저키보드보안, 웹보안등을위한어플리케이션을설치한후공인인증서와보안카드혹은 OTP, HSM 등의인증수단들을혼합해서사용해야한다. 해외의경우인터넷뱅킹을사용하기위해별도의어플리케이션을설치하지않는경우가많고보안을위해제공되는어플리케이션들의경우선택적으로사용하도록하고있으며계좌이체등의서비스의경우여러가지인증수단들을혼합해사용하고있다. 2. 전자상거래서비스 전자상거래서비스는사용자가필요로하는재화들을온라인환경에서구매할수있는서비스를의미한다. 오프라인마켓과달리간단하고자본금이적게든다는장점으로온라인마켓시장이발전하면서전자상거래서비스가활성화되기시작했고대형거래포털등의등장으로온라인전자상거래가보편화되기시작했다.
개방형전자상거래환경에서는안전한거래를위해다양한인증방법들이사용되고있으며인증방식들은사용자가선택하여사용할수있고거래액수에따라나누어지기도한다. 전자상거래에서사용되는대표적인전자인증및결제방식으로는 ISP(Internet Secure Payment), 안심클릭서비스, 휴대폰결제, 공인인증서등으로다양하며필요에따라선택적으로사용할수있다. ( 그림 9) 는대표적인온라인쇼핑몰의결제방법이다.
3. 전자민원서비스 전자민원서비스는사용자가민원서비스나행정서비스들과같은대민지원서비스들을온라인환경에서제공받을수있는서비스를의미한다. 과거의민원서비스는필요한민원서비스를요청하거나열람및발급을위해행정기관에직접방문해야했고민원서비스요청절차도복잡해불편했지만 2002년
전자행정서비스인 G4C(Government for Citizen) 가구축되고난후시간과공간에제약받지않고사용자가자유롭게민원서비스를신청할수있고민원서비스결과를받아볼수있게되었다. 현재의전자민원서비스는민원24(http://www. minwon.go.kr) 에서총 39개의기관들의총 5007가지의민원서비스가통합적으로이루어지고있으며민원서비스안내, 필요민원에대한인터넷열람서비스, 인터넷을통한서류발급, 다수의민원을한번에처리하는생활민원일괄서비스등을시행하고있다. 전자민원서비스의수행과정은 ( 그림 10) 과같다. 사용자는제공받을전자민원서비스를선택하고선택한민원서비스를처리하는데필요한인증수단을이용해민원을신청한다. 민원요청을받은전자민원사이트는서비스의종류에따라수수료를지불하거나사용자정보등을요청하는과정을거친후요청받은민원서비스를담당하는관할구청에민원처리결과정보를요청하여사용자에게민원요청결과혹은민원서류등을제공하게된다. 현재민원 24 에서제공되는전자인증수단들은아이디 / 비밀번호, 공인인증서, 이름과주민등록번호를이용한사용자식별, 아이핀 / 지핀등이있으며서비스에
따라공인인증서를필수적으로사용하거나아이디 / 비밀번호, 이름과 주민등록번호를이용한간단한인증만으로서비스를제공받을수있다. 전자행정서비스들은사용자의개인정보를포함하지않는간단한민원신청및조회서비스에서부터개인의민감한정보를열람하거나중요한개인정보가기록된서류등을제공하는서비스등으로나눌수있다. 개인정보를포함하지않는서비스의경우간단한사용자신원식별과같은보안성이낮은인증수단들을이용해서비스를이용할수있지만개인의민감한정보를포함하는서비스와같은경우높은보안성이된다. 하지만현재에는공인인증서와아이디 / 비밀번호, 주민등록번호와이름, 아이핀 / 지핀등을
이용한사용자식별만을사용하고있고또한다른전자인증서비스들에비해사용자가선택해사용할수있는전자인증수단의종류또한적어서비스의중요도에비해보안성이낮은편에속한다. 따라서전자행정서비스에서사용자의민감한정보를다루는서비스들에대해서는더높은보안성이요구되어야되어야하고이러한보안성을만족하기위한기준들과인증수단의도입이시급할것으로판단된다. 4. 일반포털서비스 과거의포털서비스는일반적으로인터넷검색서비스를제공하는하나의홈페이지를의미하였다. 하지만인터넷의규모가커지고포털사이트들이사용자중심의유용한개인서비스들을제공하기시작하면서개인사용자의인터넷포털서비스의존도가높아지게되었고이와함께포털사이트들이가지는개인정보의양이크게증가하게되었다. 포털서비스에서제공하는서비스들또한메일, 온라인카페등에서시작해현재에는주소록, 일정관리,
개인웹하드등과같은서비스들을제공하고있다. 대표적인예로는메일, 주소록, 일정관리, 개인웹하드와같은서비스가있으며이러한서비스들은사용자의개인적인정보나비밀정보등을포함하는경우가많아올바른사용자인증이필요하다. 이렇게포털사이트들은많은사용자의정보를담고있으며이러한정보로인해추가적인피해를일으킬수있어포털사이트들을목표로하는위협이늘어나고있는추세이며이러한위협으로인해개인정보유출또한빈번하게일어나고있다. 이러한위협을방지하기위해서현재포털들은로그인의등급별로암호화나키보드보안등을지원하고있고주기적인비밀번호변경요청등으로보안하고있다.
제 2 장전자인증수단동향및현황 제 1 절국내주요전자인증수단의종류 서비스에접근하는사용자를확인하는전자인증과정에서올바른사용자를인증하기위해서는사용자인증을위한인증수단이필요하게된다. 현재국내에는다양한전자인증수단들이존재하고있고필요로하는서비스나서비스에대한제공정보등에의해각각다른종류의인증수단들이사용되고있는경우가많다. 이러한인증수단들을분류할때일반적으로인증의특징을기반으로하여지식기반, 소유기반, 생체기반의세분류로가장많이나누어지고있다. 하지만현재에는인증수단들과인증수단들이가지는특징들이다양해져위에서언급한세분류에포함되지않는전자인증수단들도다수존재하여인증수단들의분류가좀더세분화되어야한다. 본보고서에서는인증수단들의분류를사용자들이알고있는정보를기반으로인증을하는지식기반, 사용자가가진소프트웨어토큰을이용해인증을시도하는소프트웨어토큰기반, 사용자가가진하드웨어토큰을이용해인증을시도하는하드웨어토큰기반의총네가지로분류하고있다. 이러한분류외에도온라인이아닌다른채널을이용해사용자를인증하는대역외인증, 사용자인증과정의보안성을높이기위한보조인증등이존재하며이는기타인증에포함시킨다. 1. 지식기반인증수단 가. 아이디 / 비밀번호 (ID/Password) 정보시스템 ( 포털사이트, 개인웹사이트등을포함 ) 에접근하기위해 서버에저장된아이디와아이디에매칭되는비밀번호로본인을인증하는
방식으로가장보편적인사용자인증방식이다. 사용자측면에서는사용이편리하고별다른인증수단이요구되지않는다는장점이있으며서비스제공자의입장에서는발급과정이간단하고기술적요건이많이필요하지않아구축이편리하다는장점을가진다. 하지만각사이트마다하나의아이디를생성해야하고도용시사용자가도용된여부를인지하고어려우며하나의사이트에서비밀번호가유출될경우같은계정을사용하는타사이트에서모두위협이발생할수있다는단점을가지기때문에높은편의성에비해보안성은낮은편에속한다. 아이디 / 비밀번호의동작방식은 ( 그림 11) 과같다. 먼저사용자는서비스를제공해주는사이트에회원가입을통해사용자등록과정을거친다. 이때서버는사용자의고유한식별값인아이디와아이디에매치되는비밀번호, 기타사용자정보등을입력받고사용자로부터가입요청을받은서버는사용자의정보와아이디, 비밀번호등을데이터베이스에저장한다. 이러한등록과정을끝난후사용자는서비스에접근을시도할때아이디와비밀번호를입력하고서버는입력받은아이디와비밀번호를데이터베이스에저장된정보와비교한후서비스접근을허가하는방식으로인증과정이진행된다.
현재아이디 / 비밀번호는웹사이트에서사용자인증수단으로서가장널리사용되고있으며인터넷뱅킹과전자정부의등의웹사이트에서도본인인증수단으로사용하고있다. 그러나계좌이체나민감한정보접근등에대해서는낮은보안성으로제약을받아최소한의권한만을가지며이러한정보에접근하기위해서는보안성이높은추가적인인증수단들이필요하게된다. 아이디 / 비밀번호의생명주기는별도의등록과정과갱신과정이존재하지않으며크게발급, 인증, 폐기의세단계로나누어지게된다. 자세한생명주기는 [ 표 1] 과같다. 발급 등록 인증 갱신 폐기 주민등록번호또는 I-PIN/G-PIN 을사용하여사용자를식별 식별된사용자가등록하려는사이트에서유일한 ID 생성 별도의등록과정없음 사용자가생성한 ID와비밀번호를통하여사이트데이터베이스에저장된정보와비교하여인증 별도의갱신과정없음 사용자가사이트에 ID 를통하여사이트에인증후에사이트에서탈퇴하면 ID 삭제
나. I-PIN & G-PIN(Internet, Government Personal Identification Number) I-PIN은삭제및변경이불가능하여유출시많은문제가발생할수있는주민등록번호를대체하기위한인터넷환경에서의개인식별번호를의미한다. 과거에는웹사이트의서비스이용을위한회원가입시실명확인과본인확인을위해주민등록번호를입력하여웹사이트의데이터베이스에저장하였지만이는해킹및관리소홀, 내부자의정보유출등으로인해고정된개인식별값인주민등록번호가유출되어사용자명의도용등의문제가발생하게하게되었고이에대한대책으로 2006년 I-PIN 서비스가시작되었으며 2009년 7월에는이용편의성을개선한 I-PIN 2.0이서비스되고있다. I-PIN은현재주민등록번호의대체로사용하기사용자의등록이나실명확인등에서올바른사용자를식별하기위한수단으로사용되고있으며대형포털과정부기관등에서는현재 I-PIN 을이용한사용자실명확인기능을제공하고있다.
I-PIN 2.0의이용방식은 ( 그림 17) 과같다. 웹사이트등에서회원가입및본인확인을위해 I-PIN을요구하면사용자는 I-PIN 발급기관에서발급받은 I-PIN 아이디와비밀번호를입력한다. 웹사이트는사용자의 I-PIN 아이디와비밀번호를본인확인기관 (I-PIN 발급기관 ) 에전송하여사용자일치여부를판단하여실명확인및본인확인을수락한다. G-PIN 은 I-PIN과같은방식으로사용되며행정기관이나공공기관의웹사이트에서본인확인을위해사용하며 I-PIN 과 G-PIN 중하나만있으면모두통합으로사용이가능하다. 초기의 I-PIN과달리현재의 I-PIN은간단한발급등으로편의성이많이증진되었고유출이된다하여도고정된주민등록번호등과는다르게변경이나폐지가가능하다. 또한주민등록번호를직접다루지않으므로개인정보의유출가능성도낮은편이다. 하지만이러한장점에도불구하고많이알려지지않아사용률은저조한편에속한다.
국내공공기관의홈페이지에서는주민등록번호와함께 I-PIN 으로도실명인증을할수있도록구축이되어있으며일반대형포털사이트등에서도 I-PIN을이용한실명인증을지원하고있다. 2011 7월현재약 100여개의홈페이지에서 I-PIN을이용한인증을지원하고있다. I-PIN과 G-PIN은생명주기상의약간의차이가있으며 [ 표 2] 와같다. 발급 I-PIN I-PIN이도입된웹사이트나본인확인기관홈페이지에서발급신청 G-PIN G-PIN이도입된웹사이트나공공 I-PIN 홈페이지에서발급신청 등록 I-PIN 별도의등록과정없음 G-PIN I-PIN 본인확인기관에서검증인증 G-PIN 공공 I-PIN 센터에서검증 갱신 I-PIN 별도의갱신과정없음 G-PIN 본인확인기관홈페이지의본인확인후 I-PIN관리메뉴에서 I-PIN I-PIN 폐지를신청폐기공공 I-PIN 홈페이지의본인확인후 G-PIN관리메뉴에서 G-PIN G-PIN 폐지를신청 다. 보안카드 보안카드는비밀번호도용에의한금융사고방지를위해사용하며 35 개의표에 4자리숫자들이기록되어있는형태의카드이다. 금융거래시고정된비밀번호를사용하는대신인증서버측에서요구한임의의위치에기록된첫번째두자리수와또다른임의의위치에기록된뒤의두자리수를요구한다. 사용자는인증서버가요청한네개의숫자를서버에전송하고인증서버는사용자와매칭되는보안카드번호들중에서사용자가보낸값과인증서버가요청한값의일치여부를확인한후금융거래를진행한다.
보안카드는카드형태로지급되므로휴대가편리하고구축및보급비용이저렴하며인증방식자체가어렵지않다는장점을가지고있지만보안카드들의숫자가고정되어있어장기간사용시값의유출가능성이존재하며비밀번호의조합가능개수가 1,190개로타인증수단보다보안성이낮은편에속하며서비스를제공하는서버별로각기다른보안카드를소유해야한다는단점이있다. 보안카드는모든금융기관에서발급및사용되고있다. 금융거래에서보안카드는단독적으로사용되지않고계좌이체와같은서비스에서공인인증서의추가인증수단으로널리사용되고있으며일부온라인게임에서는보안성을향상시키기위해아이디 / 비밀번호의추가인증수단으로도사용되고있다. 보안카드의생명주기는 [ 표 3] 과같으며발급, 등록, 인증, 갱신, 폐기의과정을거친다. 발급 등록 인증 갱신 폐기 은행등과같은금융기관에이용자가직접방문별도의등록과정없음보안카드코드표에해당되는번호를입력하면발급한금융기관에서검증별도의갱신과정없음보안카드를발급받은해당금융기관에직접방문
2. 소프트웨어토큰기반인증수단 가. 공인인증서 공인인증서는공개키기반구조 (Public Key Infrastructure) 의표준인 ITU-T의 x.509를기반으로공개키에소유자정보를추가하여만들어진일종의전자신분증이다. 공인인증서의기능으로는전자서명을통해거래내역의위변조방지및부인방지, 거래자신원식별등을보장등이있으며이를통해안전하게거래할수있도록지원하고있다. 구성요소일련번호발행기관식별명칭유효기간소유자식별명칭공개키공개키사용목적인증서정책발행기관의서명값 설명공인인증서의일련번호공인인증기관식별명칭공인인증서유효기간시작일과만료일을명시공인인증서소유자의실명을포함한식별명칭공인인증서소유자의공개키전자서명, 암호화와같은공개키의사용목적인증서에적용된인증서정책등을명시공인인증기관의소명값 공인인증서의동작과정은 ( 그림 19) 와같다. 사용자는먼저공인인증기관등에서대면확인을통해공인인증서를발급받을수있도록신청한뒤발급기관의홈페이지에서 [ 표 4] 와같은정보들을포함하는자신의공인인증서를발급받는다. 발급받은공인인증서를통해사용자인증을시도하게되면전자서명은전자문서등을해쉬값으로변환해이를서명자의전자서명생성키 ( 개인키 ) 로암호화하여전송하는것이며이를전달받은거래자는전자서명검증키 ( 공개키 ) 를이용해복호화하고전자문서를해쉬한값과비교하여전송받은정보를검증한다. 이렇게공인인증서를이용해사용자를인증하기위해서는인증서를발행해주는제 3의신뢰할수있는기관인공인인증기관이필요하게되는데현재국내에서는최상위공인인증기관인한국인터넷진흥원
(Korea Internet Security Agency) 과함께한국정보인증, 코스콤, 금융결제원, 한국전자인증, 한국무역정보통신이존재한다. 전자금융감독규정제3장 7조에서모든전자금융거래에서필수적으로공인인증서를사용하도록정의하고있었으나전자금융환경이다양화되고공인인증서소프트웨어를사용할수없는전자금융환경이많아지면서 2010년 6월전자금융감독규정의개정안에공인인증서외인증수단의이용이허용되었다. 공인인증서는전자서명법에의해보장되어비교적안전하고사용자가많으며인증서하나로인증서를이용해인증하는많은정보시스템에접근가능하다. 하지만소프트웨어토큰의특징상악성코드에의한유출이가능성이높고유출시사용자가인지할수있는가능성이낮다는점이문제가되고있다. 이러한문제점들을보완하기위해최상위인증기관인 KISA는
암호화키를 2048byte로증가시키고점차적으로하드디스크에공인인증서를저장할수없도록하는등공인인증서의보안성향상을위한대책들을강구하고있다. 현재공인인증서는 [ 표 5] 와같이국내전자인증수단중가장보편적으로사용되고있다고해도과언이아닐정도로많은분야에서사용되고있다. 구분금융전자상거래공공기타 분야 온라인뱅킹 온라인증권 보험가입및대출서비스 기업금융서비스등 온라인쇼핑 예약서비스 소프트웨어구매, 전자세금계산서및전자영수증등 전자민원서비스 전자입찰서비스등 의료업무 전자우편송수신등 전자금융서비스와전자상거래서비스등에서는공인인증서를이용해본인인증및거래내역의위변조예방, 부인방지등의목적으로사용되고있고민감한개인정보들을다루는전자정부서비스에서도본인인증을위해사용되고있다. 2011년현재행정안전부에서조사된공인인증서이용자통계에의하면공인인증서사용자수는 2,095만명으로집계되어있으며현재는이용률이더높아졌을것으로예상된다.
공인인증서의생명주기는 [ 표 6] 과같다. 발급등록인증갱신폐기 공인인증기관이나등록대행기관을직접찾아가발급신청발급기관에서참조번호및인가코드를부여받은뒤, 발급기관홈페이지에접속해다시인증서발급신청 이용하려는금융기관이나사이트별로이용자가등록 공인인증기관에서검증 인증서유효기간 30일전부터가능하며처음공인인증서를발급받은금융기관에서갱신 신청후 1년이지나기간이만료된경우사용자가저장매체에문제가생겼거나필요에따라재발급받는경우
3. 하드웨어토큰기반 가. HSM(Hardware Security Module) HSM 은공인인증서와같은소프트웨어형태의인증토큰을안전하게보관하기 위해고안된하드웨어형보안토큰으로기기내부에프로세서및암호연산장치가 있어전자서명키생성, 전자서명생성및검증등이가능하다. HSM은은행등에서발급받은후발급받은기기에공인인증서를저장하는형식으로저장된공인인증서는수정될수없고 PC에저장된공인인증서가보안위협으로인해공인인증서및생성된정보들이노출될수있지만 HSM을이용할경우자체적으로모든과정을처리하므로 HSM을사용하지않을때보다훨씬안전성이높다. 금융권에서는현재금융권의보안매체등급에서는보안카드와같은타인증수단과함께사용할경우가장높은등급인 1등급으로지정되어있다. HSM은공인인증서를안전하게보관해공인인증서유출을막을수있고 USB형태로제공되기때문에어느 PC환경이든사용가능해높은보안성과호환성을가지지만하드웨어모듈을늘소지해야하므로편의성이낮아지고타하드웨어토큰에비해가격이다소높은편에속한다는단점을가지고있다. HSM자체가공인인증서를안전하게저장하는저장매체이므로그기반은공인인증서와같다고할수있으며공인인증서를사용해본인인증을수행하는
모든서비스에서사용이가능하다. HSM 의생명주기는기본적으로공인인증서와동일하지만발급과정에서 공인인증서저장매체를 HSM 으로선택하여발급된다. 나. OTP (One Time Password) OTP(One Time Password) 는기존의고정된비밀번호방식과달리무작위로생성된일회용비밀번호를이용해사용자를인증하는방식이다. OTP는보통단일인증수단으로사용되지않고아이디 / 비밀번호혹은공인인증서등과함께사용된다. 일반적으로 OTP 생성기 (OTP를생성해주는하드웨어 ) 에서일회용비밀번호를생성해주며이비밀번호는매번다른값으로생성되며재사용이불가능한특성을가진다. OTP의종류는 OTP 인증매체와비밀번호생성방식에따라나눌수있으며방식은 Challenge-Response 방식, S/Key 방식, Time Synchoronous 방식, Hardware OTP 방식, MOTP 등이있다. (1) Challenge-Response 방식 Challenge-Response 방식은비동기식방식으로사용자가인증을시도할때 인증서버로부터받은값으로 Response 값을생성하여서버에전송하여
인증하는방식이다. 사용자는인증을요청하면서사용자의 PIN을서버에전송한다. 서버는임의의난수를생성하여인증요청시전송된 PIN에대응하는비밀키를이용해암호화하여저장하고동시에생성된난수를사용자에게 Challenge 값으로전송한다. 사용자는 Challenge 값을 OTP 생성기에입력해자신이가진비밀키로암호화한후 Response 값으로전달하고서버는 Response 값과저장된값의일치여부를확인하여사용자를인증한다. (2) S/Key 방식 S/Key 방식은해시체인을사용하여사용자를인증하는방식으로해쉬암호의일방향성을이용해암호화를하는방식이다. 초기에사용되는비밀키를해쉬암호를이용해 n번만큼암호화하여사용자의비밀키에대한해쉬체인을만들어낸후사용자가인증을시도할때 n-1에대응하는값으로인증을시도하며카운터가모두사용되어 0이될경우다시초기화과정을수행해야한다. 인증서버에저장되는값은이미사용된비밀번호값이므로유출이되더라도아무런문제가되지않지만기반이되는비밀키가유출될경우해쉬체인자체가노출될수있으므로비밀키에대한안전한관리가필요하다. (3) Time Synchoronous 방식 Time Synchoronous 방식은 OTP 토큰과인증서버간의시간정보, 인증횟수를이용해인증을하는방식이다. 사용자와서버는특정한키를공유하고이를각각 OTP 토큰과인증서버에저장한다. 사용자가인증서버에인증을요청할때 OTP 토큰에서생성된 PIN과 6개의숫자로이루어진난수를전송한다. 이난수는 OTP 토큰에저장되어있는비밀키와시간을특정한알고리즘에적용해생성된다. 생성된난수를서버로전송하면전송받은난수에기록된 PIN을인덱스로하여서버의데이터베이스에서 PIN과매칭되는비밀키를찾는다. 이렇게찾은비밀키와시간값을특정알고리즘에
적용해생성된값이사용자로부터받은난수와일치여부를비교해사용자를 인증하게된다. (4) Hardware OTP 방식 타방식에비해비교적간단한방식으로 OTP 토큰의일련번호와아이디를이용해비밀번호를생성하는방식이다. 사용자가발급받은 OTP의일련번호를인증서버에등록하고인증요청시사용자의아이디와일련번호값을이용해생성된비밀번호를서버로전송한다. 서버는아이디에매칭되는 OTP 토큰의일련번호를가지고난수생성알고리즘을수행하며결과값을사용자가보낸비밀번호와일치여부를비교하여사용자를인증하게된다. (5) Mobile OTP 방식 MOTP 는 OTP Token 이휴대폰의어플리케이션형태로존재하는방식으로 Hardware OTP 방식과동작과정은같지만별도의하드웨어없이사용자의휴대폰을 OTP 단말기로사용할수있다는장점으로온라인게임의접속등을위한용도로많이사용되고있다.
OTP는인증시사용되는비밀번호를유추하기가사실상불가능하기때문에보안성이높고타인증기술과접목이쉬우며하나의기기로모든인터넷뱅킹및증권거래시이용가능하다. 또한별도의보안소프트웨어가필요하지않아비교적편의성이높다. 하지만타인증수단에비해휴대가불편하고 OTP 토큰을분실시위험도가높아지며하드웨어토큰이므로하드웨어사용에대한비용이증가되고토큰의건전지및수명에따라교체가필요하다는단점이있다. 인터넷뱅킹에대한위협이부각되면서온라인금융서비스사용자들은좀더안전한보안매체인 OTP 사용이늘어나고있는추세이다. 금융서비스에서 OTP는공인인증서와함께본인인증수단으로사용되고있으며국내온라인게임포털등에서는모바일 OTP를도입하여사용자를인증하는방식을사용하고있다. 현재 OTP는은행및증권사등모든금융사에서도입되어사용되고있으며금융보안연구원의자료에의하면 2011년 7월현재 4,823,000 여건이발급되어있다. 일반적인 OTP 의생명주기는아래 [ 표 7] 과같다. 발급 등록 인증 갱신 폐기 은행등과같은금융기관에이용자가직접방문이용하려는금융기관별로이용자가등록 OTP 화면에조회되는번호입력하면 OTP 통합센터에서검증별도의갱신과정없음 OTP를발급받은해당기관에직접방문 4. 생체인증 생체인증기술은개개인이가진신체적, 행동적특성을이용해사용자를 인증하는방식이다. 사람은자신만의고유한생체적특성을가지는데이에대한 정보나템플릿을생체인증서버에저장하고인증이필요할경우생체정보
입력장치를통해자신이등록한생체부위를입력하고이를인증서버로보내본인을확인한다. 생체인증에서활용가능한신체부위로는지문, 안면, 홍채, 장문, 정맥, 귀 / 입술등이있으며행동적특성은서명 ( 필체 ), 음성인식등으로나눌수있다. 생체인증은분실, 변경의위험이없어타인증수단에비해높은보안성을가지지만생체정보를인식할수있는시스템이나기기가필요하며이러한시스템구축시많은비용이소모되고개인의생체정보를이용한다는것에대한거부감이있을수있으며변경이불가능한정보이므로유출될경우복구가불가능하다는단점을가진다. 생체인증은대표적으로물리적인통제수단으로써많이사용되고있다. 온라인전자인증수단으로사용하기에는구축비용이많이소모되는등의문제로아직많이활성화되지는않았지만일부금융권의인터넷뱅킹등에서는
지문인식을이용한본인인증서비스를제공하고있고이외에도일부현금 인출기에서본인인증수단으로사용하고있다. 생체인증의생명주기는 [ 표 8] 과같다. 발급등록인증갱신폐기 별도의발급과정없음 지문, 얼굴, 홍채등의바이오정보의원본정보영상을디지털화하고이것의특징정보를생성하여저장 업체의바이오센터의데이터베이스에저장된값과비교하여검증 별도의갱신과정없음 이용자가요청하거나정보가필요하지않은경우 5. 기타인증 가. OpenID OpenID는 2005년미국의개발자브래드피츠패트릭이제안했으며 2007년 6월에설립된비영리단체 OIDF(OpenID Foundation) 에의해개발된인증방식으로기존의로그인방식의불편함을없애고보안성과효율성을좀더높이기위해 URL 을식별자로사용하는 OpenID 를제안하였다. 이는여러사이트에서개별적으로아이디와비밀번호를관리하는것이아닌하나의 OpenID를제공하는서버에서사용자의정보를가지고사용자가로그인하려는사이트에서 OpenID 인증요청이들어오면정보를확인해사용자를인증해주는방식이다. OpenID 의구성요소는 OpenID Provider, Relying Party, Users 의세가지요소로구분되며이들이상호연동하여 OpenID 인증구조를가지게된다. OpenID Provider는 OpenID로사용할 URL을발급해주는아이디발급자의
역할과사용자가로그인하려는서비스에접근할때요청한 URL 을받아정당한사용자인지인증해주는역할을하고 Relying Party 는사용자에게필요한서비스를제공해주는사이트측을의미하며사용자의로그인을위해 OpenID Provider 와통신하여사용자에게인증과정을진행할페이지를전달해주는역할을한다. Users 는 idp 로 OpenID 를발급받아 RP 가제공하는서비스를이용하는사용자를의미한다. OpenID 의동작과정은 ( 그림 25) 와같다. User 가 OpenID 서비스를이용하기위해서는먼저 idp와 RP 사이의인증절차를설정해야한다. 인증절차를설정하고나면 idp에등록된 OpenID로서비스에접근할수있게된다. 사용자는 RP의서비스에접근하기위해먼저 idp에서 OpenID 를발급받아야하고발급받은 URI형태의 OpenID를이용해 idp와연결된모든 RP들의서비스를제공받을수있다. 사용자가 RP에접근하면 RP는 User에게발급받은 OpenID를전달받아이를분석해 URI가가리키는 idp로접근하여인증을진행할페이지의주소를받아사용자에게전달하고인증결과를전달받을 URL을 idp로전달한다. 인증을진행할페이지의주소를받은 User는그주소에서인증과정을거치고인증이완료되면 idp는인증결과를전달받을 URL로인증결과및정보등을 RP로전달하고인증과정을마친다.
사용자입장에서의 OpenID 서비스는 idp에서인증을받는 RP의경우지정된 idp에서발급받은 OpenID와비밀번호만으로인증이가능하여편의성이높고사용자의정보가서비스를제공하는모든웹사이트에가입해야하는것과달리하나의서버에만자신의정보를저장하면되므로사용자의정보노출을최소화시킬수있다. 또한웹브라우저만으로인증과정이진행되므로플러그인설치등이필요치않아추가플러그인에서발생하는보안위협으로부터자유롭다. 서비스를제공자가 OpenID를사용할경우자체적인사용자인증시스템을구축하고관리할필요가없어지므로관리적인측면에서높은효율성을얻을수있고개인정보관리의주체가 idp이므로사용자정보유출에대한위협또한크게줄어든다.
나. OAuth OAuth는 Open Authorization의약자로인증방식들의표준이존재하지않은점을보안하기위해제안된프로토콜이다. 기존의인증방식은각회사마다고유의인증방식을개발해사용하고있었고이러한방법들을통합시키기위한표준의필요성이부각되면서이에대한연구가진행되었다. 트위터의프로그래머 Blaine Cook, 구글의 Chris Messina, Ma.gnolia의 Larry Haff의세사람은 2007년 10월 OAuth 코어 1.0의초안을발표하였고이후 OAuth 1.0a 등의이름으로발전하다가 2010년 4월에 RFC 5849로게시되었고현재에는 OAuth 2.0 프로토콜까지공개된상태이다. OAuth는 OpenID와비슷해보이지만 OpenID가사용자를식별하는하나의아이디를발급하는형태라면 OAuth는보통사용자의인증에관여하는것이아닌사용자에의해보호된자원에접근하기위한용도로사용된다. OAuth 2.0 에서는인증서버, 클라이언트, 자원소유자, 자원서버등으로이루어진다. 인증서버 (Authorization Server) 는 OAuth 1.0에서서비스제공자 (Service Provider) 의역할을하며 OpenAPI를제공하는웹서비스혹은어플리케이션을의미한다. 자원소유자 (Resource Owner): OAuth 1.0에서사용자 (Users) 의역할을하며서비스제공자또는컨슈머가제공하는서비스를사용하는주체를의미하고클라이언트 (Client) 는 OAuth 1.0에서컨슈머 (Consumer) 의역할을하며서비스제공자가제공하는 OpenAPI를이용해개발된웹서비스혹은어플리케이션을의미한다. 자원서버 (Resource Server) 는 OAuth 1.0에서서비스제공자 (Service Provider) 에서보호된자원을보관하는역할을한다. 1.0에서는서비스제공자가사용자접근권한을확인하면서동시에보호된자원을소유하고있었지만 2.0에서는이두가지역할을분산하여처리한다. OAuth 2.0의인증과정은 ( 그림 27) 과같다. 자원소유자가클라이언트를이용해보호된자원에접근을시도하면클라이언트는자원소유자에게인증을요청하고자원소유자는 Authorization Grant를클라이언트에게
전달한다. 클라이언트는자원소유자가전달한 Authorization Grant와클라이언트가가진인증정보를인증서버로전달한다. 인증서버는클라이언트의인증정보와자원소유자의 Authorization Grant를검증하여클라이언트에게액세스토큰을전달한다. 클라이언트는인증서버로부터받은액세스토큰을이용해자원서버에저장된자원소유자의자원에접근이가능하고자원서버는자원소유자의보호된자원을클라이언트에게전달해준다. 다. SSO (Single-Sign On) 싱글사인온 ( 이하 SSO) 은 1997 년 IBM 에서개발된기술로한번의인증과정으로 여러가지서비스들을사용할수있게하는서비스이다. 과거의포털이나웹사이트등은 하나의회사에서하나의서버만을사용하였지만서비스가다양해지면서하나의
회사에서다양한서비스를제공하게되었고이와함께여러개의사이트가분리되어 운영하는경우가많아졌다. 이러한환경에서서비스를이용할때다른서비스를이용할 때마다사용자인증을거쳐야하는불편함을줄이기위해 SSO 가사용되기시작하였다. SSO 의기본적인동작개요는 ( 그림 28) 과같다. 사용자가서비스제공자에게서비스를요청할때먼저인증서버로부터사용자인증과정을거치게된다. 사용자인증에성공하면인증서버는사용자가요청한서비스를연결하여준다. 연결이성립되어있다면 SSO로연결된다른서비스들에대해서는추가적인인증과정을거치지않고서비스를사용할수있게된다. 라. 2 채널인증 기존의인증수단들은인증을위해연결된하나의채널만을사용해인증 과정을진행하므로인증과정에대한많은보안위협이나타나게되었으며
이를방어하기위한여러보안기법의적용이요구되었다. 현재에는높은보안성을위해하나의채널에보안기법을적용하는것이발전되어전자인증과정에대한채널을분리해인증을시도하는 2채널인증방식이나타나기시작했다. 2채널인증방식은온라인환경에서의채널이아닌인증을위한별도의채널을생성해사용자인증과정에사용하는방식을의미하며이러한 2채널인증방식의가장대표적인예가전화승인서비스이다. 전화승인서비스는사용자가금융거래등을시도할때지정된전화번호로승인번호를보내사용자가이를직접휴대폰에입력하여올바른사용자임을확인하거나사용자가직접전화를받아승인번호등을전달해올바른사용자임을증명하는방식으로세부적인동작과정은 ( 그림 29) 와같다. 전화승인서비스를신청한사용자가금융서버에계좌이체등의서비스를사용하게되면이체를위한승인을받기위해금융서버에서전화승인시스템으로전화승인을요청한다. 전화승인시스템은사용자에게전화승인을위한 ARS를통해거래정보등을통보하고이를승인하기위한승인번호를받는다. 입력받은승인여부와승인번호를금융서버에서확인해최종적으로거래를성립한다.
2채널인증서비스는채널이분리되어있어타인증방식에비해높은보안성을가지지만사용이불편하고적용이어려운단점을가지고있어많이적용되지않고있으며현재에는 ( 그림 30) 과같이금융거래서비스등일부에서만사용되고있다. 마. 휴대폰 SMS 인증 휴대폰 SMS인증은사용자가소지하고있는휴대폰에인증번호를보내이를입력해사용자를인증하는방식으로늘소지하고있는휴대폰을이용하므로별도의인증수단을소지하지않아도되고별도의어플리케이션설치등이필요하지않아높은편의성을가진다. 사용자인증과정은 ( 그림 31) 과같다. 사용자가웹사이트에가입등을시도할때웹사이트는사용자의휴대폰번호와통신사, 주민등록번호등을입력받고이번호가올바른번호인지확인하기위해이동통신사에본인확인을요청한다. 이동통신사는사용자에게본인확인을위한정보를보내고사용자는
가입을시도하는웹사이트에본인확인을위한정보를입력하고웹사이트는 이정보를확인해올바른사용자임을확인한다. 휴대폰 SMS 인증의사용은점점늘어나는추세이며현재웹사이트 가입이나전자상거래등에서많이사용되고있다. 바. 그래픽인증 그래픽인증은금융권에서피싱 / 파밍등의보안위협을방지하기위해 사용하는방식으로사용자가지정한개인이미지를통해거래를진행하는
서버가올바른서버임을확인할수있는방법을의미한다. 현재국민은행, 우리은행, 농협등에서사용되고있으며각금융사별로인증방식의차이가존재한다. 국민은행의피싱방지개인화이미지서비스는피싱을방지하기위해사전에사용자의개인이미지를등록한뒤로그인시왼쪽상단에사용자가사전에등록한이미지를보여주어올바른사이트임을확인할수있도록서비스하고있다. 우리은행의그래픽인증서비스는국민은행의개인화이미지서비스와다르게이미지를비밀번호로입력하는방식이다. 사용자가그래픽인증서비스를신청하면우리은행의인증서버는사용자로부터하나의 Hole Key와세개의 Ball Key를입력받아저장한다. 사전등록과정이끝난후사용자가인터넷뱅킹서비스에로그인을시도하면그래픽인증로그인화면이나타나고사용자가사전에지정한 Ball Key를순서대로 Hole Key로드래그하여올바른값일경우사용자를인식하게된다. 우리은행의그래픽인증서비스화면은 ( 그림 32) 와같다.
제 2 절국내전자인증수단사용사례 금융기관에서는 2008년 4월발표된보안등급별이체한도차등화정책에따라전자금융거래의안전성강화를위하여인터넷뱅킹이나텔레뱅킹이용시거래수단별로보안등급을부여하고, 부여된보안등급에따라이체한도를적용하고있다. 보안등급 거래이용수단 OTP발생기 + 공인인증서 1 등급 HSM 방식공인인증서 + 보안카드 보안카드 + 공인인증서 + 2 channel 인증 2 등급 보안카드 + 공인인증서 + 휴대폰 SMS( 거래내역통보 ) 3 등급 보안카드 + 공인인증서 보안등급은 [ 표 9] 와같이총 3개의등급으로분류되며공인인증서와보안카드와같은일회용비밀번호를사용해야하며, 조합되는인증수단에따라등급을구분하고있다. 보안 1등급으로 OTP발생기, HSM 방식공인인증서, 2채널인증이사용되고, 2등급으로는휴대폰 SMS( 거래내역통보 ), 그리고보안카드는 3등급으로분류된다. 시중은행및증권사에서보안등급별인증수단사용여부를조사한결과아래 [ 표 10] 과같다.
1등급 2등급 3등급 HSM 방식보안카드 + 보안카드 + OTP + 보안카드 + 공인인증서 + 공인인증서 + 2 공인인증서 + 공인인증서공인인증서보안카드 channel 인증 SMS 신한은행 국민은행 우리은행 하나은행 SC제일은행 씨티은행 외환은행 농협 수협 한국산업은행 기업은행 한국투자증권 현대증권 이트레이드증권 우리투자증권 교보증권 [ 표 10] 과같은인증수단외에도금융권에서보안성을높이기위해추가적으로사용하는보조인증수단으로는지정된 PC에서만금융거래가가능하도록하는 PC 지정서비스, 2채널인증인전화승인서비스, 피싱방지를위한그래픽인증서비스, 바이오인증등을사용하고있었다. 이러한추가적인보조인증수단들은필수가아닌선택적인인증요소로각금융권마다제공되는서비스의종류가다르고인증방법역시차이가있었다. 각금융권에서사용되는추가적인보조인증수단들의사용현황은 [ 표 11] 과같았다.
PC지정 전화승인 그래픽인증 바이오인증 국민은행 신한은행 우리은행 SC제일은행 하나은행씨티은행외환은행농협 정부기관사이트들에대한전자인증수단사용사례는 [ 표 12] 와같았다. 조사한 40개의정부기관사이트중에서로그인기능이있는사이트는 24개였고, 이중에서 8개의사이트에서공인인증서로로그인을할수있는기능을제공하고있다. 기본적으로로그인기능을제공하는사이트들은아이디 / 비밀번호방식으로로그인을지원하고있었고, 공인인증서로그인을지원하는사이트는아이디 / 비밀번호또는공인인증서로그인을지원하고있었다. 그리고 G-PIN이나 I-PIN을사용하는사이트는일반적인로그인개념이아니라단순히개인식별을위한방법으로사용하고있다. 하지만로그인기능을제공하는사이트에서단일인증수단이외에 ( 공인인증서 + 보조인증수단 ) 또는 ( 그외인증수단 + 보조인증수단 ) 과같은인증을제공하고있는사이트는한곳도존재하지않았다. 공인인증서 보조인증수단 그외인증수단 대한민국정부 ID/PW 관세청 ID/PW 통계청 ID/PW 교육과학기술부 N/A 법무부 ID/PW 국방부 N/A 방위사업청 ID/PW
행정안전부 G-PIN 문화체육관광부 ID/PW 농촌진흥청 ID/PW 산림청 ID/PW 지식경제부 ID/PW 보건복지부 N/A 식품의약품안전청 ID/PW 환경부 N/A 기상청 ID/PW 고용노동부 N/A 여성가족부 N/A 국토해양부 N/A 해양경찰청 N/A 행정중심복합도시건 N/A 설청 감사원 N/A 국가정보원 N/A 방송통신위원회 G-PIN/I-PIN 국가과학기술위원회 N/A 법제처 N/A 국가보훈처 ID/PW 공정거래위원회 N/A 금융위원회 N/A 국민권익위원회 N/A 한국장학재단 ID/PW 민원24 ID/PW 팩토리온 ID/PW 중재센터 ID/PW 고용노동부 e-고객센터 ID/PW 건축행정시스템 ID/PW 행정정보공동이용센터 IC-Card 국가정보통신서비스 ID/PW 정부통합전산센터 ID/PW 국립중앙도서관 ID/PW
개인확인 이름, 생년월일, 성별네이버 I-PIN, 주민등록번호 이름, 성별, 연락처 ( 휴대전화번호, 유선전화번호중 1개선택 ) 다음 I-PIN, 주민등록번호파란 휴대폰번호 I-PIN, 주민등록번호 네이트 I-PIN, 주민등록번호 구글 없음 야후 이름, 생년월일, 성별 [ 표 13] 을보면국내포털및정부기관사이트등에가입할때수집하는개인정보는연락처및주민등록번호, 연락처등이있으며국내대형포털의경우대부분이 I-PIN을지원하고있었다. [ 표 12] 와같이국내정부기관도개인확인용도로 I-PIN 이나주민등록번호등을이용하고있었다. 전자금융서비스와전자민원서비스들을살펴본결과금융사들은보안등급별이체한도차등화정책에맞춰금융서비스에인증수단들을도입하여사용하고있었다. 추가적인인증수단의사용여부는일부금융회사의경우사용하지않고있었으며대표적인금융회사들의경우다양한추가인증수단을도입해보안성을확보하고있었다. 이에반해전자민원서비스들의경우에는인증수단적용에대한정책이나가이드라인이없어온라인에서처리되는민원서비스들이사용하는인증수단들중가장높은수준의인증수단은공인인증서하나만을사용하고있었고또한추가적인인증수단들을사용하지않아전적으로공인인증서에의존하고있어전자금융서비스에비해전체적인보안성이낮은것으로나타났다.
제 3 절국내외전자인증연구동향 본보고서에서살펴본전자인증관련보고서는총다섯가지이다. 이외에도전자인증관련연구결과들이공개되어있었으나명확한가이드라인을가지고있거나새로운지표개발에참고가능여부등을고려하여아래의네자료로함축하였다. 1. FFIEC 의전자인증연구동향 2011년 6월 28일미금융회사검사위원회인 FFIEC(Federal Financial Institutions Examination Council) 는 2005년 10월에배포한 Authentication in an Internet Banking Environment을개선한문서인 Supplement to Authentication an Internet Banking Environment 를공개하였다. 이문서에서는 [ 표 14] 와같이위협관리프레임워크를강화하고고객인증, 계층형보안, 또는온라인환경에서의통제수단들과관련된기관의기대사항등을강화하였다. 보안기법효과위험평가 주기적위험평가실시고위험거래를 고객유형별고객계층형보안구현위한고객인증계층형보안 거래프로세스에서의지점별통제수단분배프로그램특정인증 인증수단들의보안성향상기법의효과고객인식교육 고객의보안인식향상 위험평가는전자금융에서일어날수있는위험을평가하기위한고려사항을 기술하고있으며새로운정보가있거나새로운전자금융서비스를구현할때 혹은최소한 12 개월마다기존의위험평가를검토하고갱신하여야한다는것을
강조하고있으며고객인증통제수단을고객의온라인계정에대한새로운위협에적절히대응할수있도록수정해야한다는점을강조하고있다. 고위험거래를위한고객인증은모든온라인거래가같은수준의위협을제기하는것이아니며이에따라전자거래별위험수준이증가함에따라좀더견고한통제수단을구현해야한다는것을강조하고있다. 소매 / 소비자금융거래는상대적으로낮은수준의위험을수반하며이에상대적으로기업 / 상업금융거래는비교적높은수준의위험을수반하므로각보안위험수준에부합하는계층형보안을구현해야함을기술하고있다. 하나의거래프로세스에대해여러지점에통제수단을사용하여보안성향상시키는계층형보안프로그램의사용을제언하고있으며이계층형보안프로그램에의심활동의탐지및대응, 관리기능의통제등을포함시킬것을권고하고있다. 장치식별과확인질문과같은인증기법들의보안성을분석하여단순한장치식별방식보다복잡한장치인식방법이좀더효과적이며정교한질문과복수의질문등으로보안성을향상시킬수있다. 금융기관에가입된모든사용자들은보안적인측면에서인식이재고되도록교육이필요하다. 2. NIST SP800-63 전자인증가이드라인 미국의 NIST는 2011년 6월 OMB의가이드라인 (OMB M-04-04) 을보충하는가이드라인인전자인증가이드라인의세번째 draft 문서를공개하였다. NIST의가이드라인은전자인증지침으로전자인증과정, 토큰및인증에대한위협요소, 인증메커니즘등의기술적가이드라인에대해기술하고있으며각항목에대한레벨별요구사항등을정의하고있다. NIST의전자인증가이드라인의기반이되는 OMB 가이드라인은 [ 표 15] 와같이총다섯단계를통해정당한인증수단적용여부를확인하며 NIST의가이드라인에서는다섯단계중세번째단계를중점으로두고있다.
단계인증보증요구사항 1 단계 정부시스템의위험평가실시 2 단계 위협을식별하여적절한보증수준과매핑 3 단계 전자인증기술가이드를기반으로인증수단선택 4 단계 구현시스템이요구하는보안수준을만족하는지확인 5 단계 주기적으로정보시스템을재평가요구사항만족성확인 가. NIST 의전자인증가이드라인등급 (1). NIST 의가이드라인 1 등급 Level 1은가장낮은보안등급이며 CSP를통한엄격한신분증명이요구되지않고동일한사용자가보호된정보나작업에접근하는것을보장하고비밀번호에대해암호학적기법사용을요구하지않으며오랫동안사용된인증비밀값이신원확인자에게노출될수있다. (2). NIST 의가이드라인 2 등급 Level 2는 CSP를통한신분증명과정을요구할경우사용자가비밀번호나 PIN등의한가지인증수단을이용해신분을증명할수있으며도청, 재사용공격, 온라인추측공격을방지할수있어야한다. 또한오랫동안사용되는인증비밀값이외부에유출되지않아야하고 NIST에서승인된암호기술을사용하도록명시되어있다. (3). NIST 의가이드라인 3 등급 Level 3 은 CSP 를통한신분증명과정에서암호프로토콜을통해비밀키나 일회용비밀번호의소유를증명하는것을기반으로하며다양한공격에의해 인증토큰이유출되는것을막을수있는암호메커니즘을요구한다.
또한두가지이상의인증수단을이용하는사용자인증을요구한다. 이레벨에서도위와마찬가지로모든동작에 NIST 에의해승인된암호 기술사용을요구한다. (4). NIST 의가이드라인 4 등급 Level 4는원격네트워크인증의가장높은신뢰등급이며 Level 3과유사하지만하드웨어기반의암호토큰만을사용해야하며중요데이터의전송도인증이되어야한다. 또한강력한암호학적인증을요구하고대칭키, 공개키기술이사용될수있으며악성코드에의한비밀번호유출을포함한보안위협에서안전해야하고 NIST에서승인된암호기술중가장강력한암호기술을사용하여야한다. 나. 보안등급을만족하는보안인증수단 위에서언급한등급을만족하는인증수단으로는암호학적하드웨어장치, 일회용비밀번호, 암호학적소프트웨어장치, 비밀번호등이있다. 각인증수단들은모두만족하는보안등급들이다르며상위등급을만족하는인증수단들은모두하위등급의등급들을만족한다. 위에서언급된등급에대한인증수단들은 [ 표 16] 과같다. HSM과같은암호학적요소가포함된하드웨어인증장치는모든등급을만족하고있고일회용비밀번호나공인인증서등은가장높은 4등급을제외한나머지등급들을만족하고있다. 지식기반인증수단들의경우가장낮은 1등급과 2등급을만족하고있다.
[ 표 16] 보안등급별적용인증수단 인증수단 Level 1 Level 2 Level 3 Level 4 암호학적하드웨어장치 (HSM) O O O O 일회용비밀번호 (OTP) O O O 암호학적소프트웨어장치 ( 공인인증서 ) O O O 지식기반인증수단 ( 아이디 / 비밀번호, PIN) O O 3. NIST SP 800-118 Guide to Enterprise Password Management Guide to Enterprise Password Management 는 2009년 4월에공개된문서로문자기반의암호와기업내에서비밀번호에대한일반적인위협을완화하기위한문서이다. 이문서는효과적인비밀번호관리를통해비밀번호기반의인증시스템의손상을줄일수있음을이야기하고있고이를위해암호정책요구사항을정의하고중앙및로컬비밀번호관리솔루션을포함하고있으며그래픽기반암호와같은비문자기반암호등은포함하지않고있다. 또한비밀번호를보호하기위해 [ 표 17] 과같은권장사항을구현해야한다고서술하고있다. 번호권장사항 1 비밀번호관리에대한요구사항을지정하는암호정책생성 2 비밀번호캡쳐공격에대한방어 3 추측과크래킹에대응가능한암호매커니즘구성 4 조직의비밀번호관리에대한모든요구사항을암호정책으로구현 5 가용성과보안성에따라반드시암호만료에대한요구사항을확인 비밀번호에관한위협은 [ 표 18] 과같이제시하고있고이에대한위협을 경감시키기위한방안등을제시하고사용자의비밀번호를안전하게관리하기위한 솔루션으로단일로그온 (Single Sign On) 과비밀번호동기화, 로컬비밀번호
관리기술등을설명하며가용성에초점을맞춰기술들의비교를제공하고있다. 비밀번호취약점 비밀번호저장 비밀번호전송 사용자지식과행동에대한캡쳐 비밀번호추측 비밀번호크랙 잊은비밀번호에대한복구및리셋 저장된계정과비밀번호에대한액세스 사회공학기법 손상된비밀번호의사용 위협설명비밀번호캡처 사용자의비밀번호등의정보가운영체제에저장되어있고이정보가암호화되지않았을경우유출이가능 네트워크를통해전송되는비밀번호정보가스니핑등의위협에의해유출될수있다. 기술적이지않은방법으로사용자가비밀번호를입력할때훔쳐보는등의방식으로비밀번호가유출가능하다. 비밀번호추측및크래킹 무작위대입공격이나사전대입공격등을시도해사용자의비밀번호가유출될수있다. 암호화된사용자의비밀번호해쉬값과같은해쉬값을가지는비밀번호를알아내인증할수있다. 비밀번호바꿔치기 사용자의비밀번호를재설정하는과정에서정확한신원식별이되지않을경우제 3자에의해비밀번호가변조될수있다. 인증서버등에저장된사용자의계정과비밀정보에직접접근해비밀번호정보를알아내거나손상시킬수있다. 공격자는사회공학적기법을통해사용자의비밀번호를공격자가알고있는비밀번호로변경하도록사용자를속일수있다. 타협된비밀번호의사용 사용자의비밀번호를손상시켜인가받지않은접근이가능할수있다. 가. 비밀번호캡처 비밀번호캡처는저장, 전송또는사용자의지식이나행동등에대해비밀번호를취득하는공격이다. 이파트에서는이러한공격들에대한위협을설명하고있으며이러한위협들을완화하기위한방법으로비밀번호의최소길이, 복잡성등의비밀번호강도정책을권장하고있다.
나. 비밀번호추측및크래킹 공격자는비밀번호추측및크래킹의두가지유형을통해비밀번호해쉬로부터취약한암호와복구가능한암호를찾으려시도한다. 크래킹은암호해쉬에접근권한을얻은공격자에의해시도될수있는반면추측은인증인터페이스에접근이가능한공격자에의해시도될수있다. 이파트에서는이러한위협에대해자세하게설명하고위협들을완화하기위한방법을권장하고있다. 다. 비밀번호바꿔치기 비밀번호바꿔치기공격은비밀번호가존재하는계정에공격자가아는다른비밀번호로바꿔치기하여계정에성공적으로인증할수있다. 이공격은공격자가기존의비밀번호를알지못하더라도성공할수있다. 이파트에서는공격자가접근암호를대체할수있는몇가지방법을설명하고있다. 라. 타협된비밀번호의사용 공격자의공격으로비밀번호가노출되었을경우공격자는정상적인 사용자의계정으로접근이가능하다. 이파트에서는이러한공격을방어하기 위한정책적인요소들을설명하고있다. 4. 금융감독원의인증수단안전성기술평가기준 금융감독원은 2011 년 1월 31일전자금융거래인증방법의안정성을평가하기위한기준인 전자금융거래인증방법의안전성세부기술평가기준 을공개하였다. 공개된기준의목적은공인인증서를제외한전자금융거래인증수단을대상으로하고있으며세부기술평가기준을제시함으로서인증수단들의안전성과신뢰성확보를목적으로하고있다.
금융감독원안전성기술평가기준은보안 3등급에서보안 1등급까지총세등급으로나누어진다. 보안 3등급은가장낮은수준의보안을요구하고보안 1등급은가장높은수준의보안을요구하며각등급은하위등급의보안요구조건을모두포함하여야한다. 등급별보안요구사항은 [ 표 19] 와같다. 등급 3등급 2등급 1등급 보안요구사항 비밀번호추측방지 피싱및파밍방지 유출및노출방지 위조및변조방지 거래내역무결성확인정보에대한검증 금융기관에저장된거래내역에대한안전한보관대책수립 인증수단의등록, 발급, 배포, 폐기등에대한안전한관리적요건수립 안전성이검증된암호알고리즘및암호키길이사용 암호키관리를위한물리적, 관리적절차마련 인증관련기록의보존및변경에대한보호대책제공 인증장애시대응방안제공 3등급보안요구사항을모두만족 인증정보재사용방지 인증정보생성값유출방지 중간자공격대응 세션가로채기방지 거래사실부인방지 부인방지확인정보에대한합리적인검증 사용자의부인방지정보가사용자에속한유일한정보임에대한합리적인검증 부인방지정보는거래여부에대해유일하게증명 부인방지정보에대한위 변조여부확인 2등급보안요구사항을모두만족 인증수단의비밀정보의물리적유출방지 5. ITU-T 의개체인증을위한보안프레임워크 개체인증을위한보안프레임워크는엔티티인증보증을관리하기위한 프레임워크를제공하기위해 ITU-T 에서국제표준화로진행중이다.
개체인증을위한보안프레임워크에서는인증위협을완화하기위한 4가지보증레벨을제공하고있으며엔티티인증보증의단계에대한지침, 제시한보증레벨과다른인증보증스킴과의매핑에대한지침등을설명하고있다. 이외에도엔티티인증프레임워크의구성요소, 관리및조직의고려사항, 위협및제어, 운영서비스보증레벨등에대해기술하고있다. 가. 보증레벨수립기준 개체인증을위한보증프레임워크에서는적절한보증레벨을수립하기 위해총여섯가지분야에대한위협을최소에서높음까지총네가지로 분류하고이는 [ 표 20] 과같다. 인증오류의잠재적영향 보증레벨 1 2 3 4 불편, 정신적고통혹은명예훼손 Min Mod Sub High 금융적손실혹은기관의법적책임 Min Mod Sub High 공공의피해, 프로그램의손상 N/A Min Mod High 인가되지않은민감한정보의공개 N/A Mod Sub High 개인의안전 N/A N/A Min Sub Mod High 민사혹은형사상의위배 N/A Min Sub High * Min= 최소 ; Mod= 보통 ; Sub= 실질적인 ; High= 높음 불편, 정신적고통혹은명예훼손은위협으로인해사용자에게정신적피해등을입히는경우를의미하고금융적손실혹은기관의법적책임은위협으로인한실질적인금전적피해를입거나법적인책임을물어야하는상황을의미한다. 공공의피해, 프로그램의손상은개인에대한피해가아닌다수가피해를보게되고위협으로인해프로그램에문제가생기는경우를의미한다. 인가되지않은민감한정보의공개는위협으로인한
사용자의개인정보유출여부를의미하며개인의안전은사용자에게실질적인 물리적영향을끼치는경우를의미한다. 민사혹은형사상의위법의여부를 확인하는것을의미한다. 나. 보증레벨 1 사용자에대한최소한의신뢰를요구하며연속된인증에대해서는동일한수준을제공한다. 또한이레벨은최소의위험이잘못된인증과연관되었을경우에사용한다. 이레벨에서는몇가지최소한의보증을제공하지만사용자인증메커니즘사용에대한구체적인요구사항이존재하지않으며다양한기술을가용하라수있으며높은수준의보증레벨의크레덴셜, 아이디 / 비밀번호와 PIN의조합등을사용할수있다. 또한암호화의사용을요구하지않는다. 이등급의자세한가이드라인은다음과같다. 사용자의신원을확인할수있는신원확인정책을게시하여야한다. 게시된신원확인정체에따라모든신분대해신원검사를수행하여야한다. 신원증명과정은대면환경이나비대면환경모두가능하다. 사용자의크레덴셜이지식기반크레덴셜일경우꼭불가피한경우를제외하고는절대타인과공유하지않는다. 인증도구생성과정등은공식화하고문서화하여야하며이에대한특별한요구사항은존재하지않는다. 비밀키와같은공유되는비밀은관리자의접근제한아래접근이제어되어보호되어야한다. 나. 보증레벨 2 이레벨은신원확인에대해약간의신뢰성을가진다. 잘못된인증이약간의 리스크를가져올경우이레벨을사용한다. 또한단일요소인증이허용된다.
성공적인인증은보안인증프로토콜을통해사용자의자격증명을제어하고이에의존한다. 이는온라인게싱공격과도청자의공격의효과를줄인다. 또한크레덴셜을저장한엔드시스템을보호한다. 이등급의자세한가이드라인은다음과같다. 크레덴셜을소지하는사용자의신원정보는적어도하나이상의신뢰가능한기관에서인증하여야한다. 신원증명은대면환경과비대면환경모두에서가능하다. 대면환경에서의신원인증과정 - 발급요청자의신원확인을위한서류의사진과사용자의외관과일치하는지확인해야한다. - 발급요청자가제출한문서가발급유효기간내에서발행된올바른문서인지확인해야한다. 비대면환경에서의신원인증과정 - 발급요청자는연락처와신원정보를모두포함한문서를제공해야한다. ( 주민등록증, 운전면허증등 ) - 발급요청자와의연락이필요할경우사용하기위해제출된문서중하나에기록되어있는연락처의정확성을확인해야한다. NPE 인증과정 - 기기등의신뢰할수있는정보들을기록한다.( 시리얼넘버, MAC 주소등 ) 비밀키와같은공유비밀은크레덴셜발행기관과본인을제외한다른사용자에게공개되지않아야하며아래의사항과같다. - 개인크레덴셜또는약한바운드의권한주장이나잠재적으로사용이정지된크레덴셜등을포함하는크레덴셜발급자와크레덴셜검증기사이의모든메시지에대해암호를이용한보호가요구된다. 개인크레덴셜은비밀정보와변경에하는것에대한보호를보장하기위해인증된당사자에게보호채널을통해전송된다. - CSP는약한바운드크레덴셜이유효하다거나강한바운드크레덴셜이
나중에취소되지않았다고주장하는어떤메시지를검증기에보낼수있다. 이경우에는메시지는크레덴셜그리고메시지, 논리바인딩을논리적으로바운드되어야하며, 크레덴셜은검증기와인증된 CSP 사이에하나의무결성으로보호된세션내에서전송되어야한다. 만약취소에문제가있다면, 무결성보호메시지에스탬프타임이없거나, 세션키는해지목록의만료시간이내에만료시간은만료되어야한다. 그대신에, 타임스탬프메시지, 바인딩및크레덴셜은 CSP에의해서명될수있다. 형식화및문서화프로세스는크레덴셜의발급및크레덴셜을생성하는방법의발급에사용되어야한다 ; 발급메커니즘은크레덴셜이나올바른사용자제공되도록생성하는방법을보장하는메커니즘이포함되어야한다. 만약크레덴셜이나생성하는방법이직접전달되지않으면, 메커니즘은예비배달주소가존재하고합법적으로본인과관련이있는지확인하는데사용해야만한다. 절차는크레덴셜을보유하는장치또는본인을대상으로제어하에있는경우에만활성화되어크레덴셜을생성하기위한장치를보장하기위해존재해야한다. 이절차에대한구체적인요구사항은없다. 비밀키와같이공유되는비밀은관리자와접근을필요로하는응용프로그램에대한액세스를제한하는임의의액세스제어에의해보호되어야한다. 이러한비밀키등은일반텍스트암호또는비밀을포함하지않고다른메소드는공유비밀을위해사용될수있다. 저장된크레덴셜의보호를위한요구사항과사용자에의해저장되어보관되거나생성되었던크레덴셜을사용하는보호된장치에대해문서화되어야하고사용자가크레덴셜을사용할때관련해확인할수있어야한다. 크레덴셜발급자는폐기통보를받은뒤 72시간내에저장된크레덴셜이나자격증명수단을취소하거나파기한다. 크레덴셜발급자는갱신및자격교체에적합한정책을수립하고적절한갱신이나자격증명을생성할수있는방법으로교체한다. 만료되지않은현재의크레덴셜또는크레덴셜을생성할수있는방법등은
크레덴셜발급자에의해갱신및교체를허용하기전에올바른사용자에의한것임을증명하여야한다. 비밀번호는새롭게갱신되지않는다. 크레덴셜을생성하는기기나크레덴셜이만료된후, 갱신이허용되지않는다. 모든통신은 SSL/TLS로보호되는채널을통해야한다. 등록, 히스토리, 각자격증명의상태 ( 해지를포함 ) 등은인증수단발급자에의해기록되어야한다. 다. 보증레벨 3 보증레벨 3은신원확인에대해높은신뢰성을가지며잘못된인증이실질적인리스크를가져올경우이레벨을사용한다. 이레벨은멀티팩터인증을사용한다. 신원검증과정은사용자정보에의존한다. 인증프로토콜의교환시모든비밀정보는암호화되어야한다. 크리덴셜의생성이나저장에대한아무런규제가없으며일반 PC 및특수목적의하드웨어에저장혹은생성할수있다. 이등급의자세한가이드라인은아래와같다. 신원확인은대면환경이나비대면환경에서가능하다. 대면환경에서의신원인증과정 - 발급요청자를확인할수있는다른컨텍스트로부터의문서등을엔티티로부터확인하고엔티티의공과금용지나전화요금용지같은매체로부터전화번호나주소등을확인한다. - 엔티티가제공한문서의연락처를활용해정보의정확성을확인한다. - 관련된신뢰할수있는정보부처에서받을수있는하나이상의신원확인서류를확인한다. - 최근에갱신된개인정보를다른컨텍스트로부터제공받고고유한신원임을확인한다. 비대면환경에서의신원인증과정
- 올바른 LoA3의요청자증명서또는인증정보들보다상위크레덴셜등은신뢰가능한제 3자에의해검증되어야한다. - 이전에제공한정보를확인하거나요청자만알수있는정보를알아본다. NPE의인증과정 - LoA3에서는신뢰할수있는하드웨어를사용한다 (ex TPM) - NPE의사용을준비할때등록기관으로부터크레덴셜과장치를 LoA3의사용자발행을이용해 NPE를물리적으로등록한다. - NPE를발급하기전에 LoA3의휴먼인증이나디지털서명을 NPE에적용한다. 제조업체의 RA는등록을수행하고신뢰할수있는하드웨어를사용한다. 그후 NPE에대해개인설정을하고발행하며발행된하드웨어는초기화되고네트워크에연결된다. - 다른컴퓨터에서 NPE는장치와바인딩사이에암호로보호하고소유자가 RA와네트워킹혹은통신을할때신뢰할수있는하드웨어컴퓨터와비슷한방식을사용한다. 사용자에게발행되는 LoA3 크레덴셜이발행되기전에 LoA3 소프트웨어코드와디지털적으로서명을하고이것의사용이허가되기위해 RA 쪽의서명을받는다. 인증수단발행자는검증자또는 RP들의크레덴셜이유효한지확인할수있는보안메커니즘을제공한다. 이러한메커니즘은온라인인증서버또는인증거래상황기록에대한액세스권한에발행자서버의개입이포함될수있다. 크레덴셜생성에사용되는프로세스를공식화하고문서화하여야한다. 크레덴셜과관련된하드웨어는물리적으로안전해야하고인벤토리를추적한다. 스마트카드등은안전한장소에보관해야하고도난이나무단으로크레덴셜을생성하는시도로부터보호하기기록된자신의일련번호를저장할수있다 크레덴셜바인딩은사용자부당한변경에의한보호기능을제공한다. 크레덴셜생성방법에서생성과정의마지막은과정은바인딩이여야한다.
크레덴셜을보관하는장치나크레덴셜을생성하는장치는올바른사용자가제어할때에만활성화되는것을보장하는절차가필요하다. 바운드시크레덴셜을활성화하거나크레덴셜을생성하는수단등에서사용자의신원을인증하는과정이필요하다. 장기적인공유비밀 ( 비밀키등 ) 에대한파일은관리자에의해제한된액세스와접근을필요로하는어플리케이션에대해서자유재량에의한접근제어에대해보호되어야한다. 이러한공유비밀파일은암호모듈에저장된키를이용해공유비밀파일을위한키로암호화되어야하며오직인증작업에서필수적으로복호화되어야한다. 크레덴셜의생성혹은저장에사용되는장치를보호하기위한자격요건은문서를제작하고사용자의크레덴셜사용과관련해서이를확인할수있어야한다. 발급자는폐기통보를받은뒤 48시간내에저장된자격증명이나수단을취소하거나파기한다. 각레코드들에대한처리과정들에대해공식화하고문서화하여야한다. 라. 보증레벨 4 보증레벨 4는높은신뢰를필요로하는거래에서신원확인을위해사용한다. 이레벨은잘못된인증이높은위험을가져올경우에사용한다. 또한인증을보증하는데최고수준을제공한다. LoA3과비슷하지만사람에의한위협을제외하고있으며신원검사에필요한비밀정보또는개인암호화키등의조작방지를위해하드웨어단에서의보호가필요로한다. 인증프로세스에서암호화기법을사용할때높은레벨의암호화기법을사용한다. 또한모든 PII(Personally Identifiable Information) 와다른민감한정보들은모두암호화하여보호해야한다. 이에대한자세한가이드라인은아래와같다. 신원증명은대면환경에서만가능하며대면환경에대한요구조건은 LoA 3 과같다.
NPE 신원인증과정 - 장치와바인딩준비과정이변경등은 RA 를통해관리되는것을보장하여야한다. 작업중에어떠한장치관계들의변화가일어나는것을막는능력이필요하다. 크레덴셜생성방법이직접전달되지않으면이는반드시보안채널을사용해전달해야하고본인이나본인의대리인이영수증에서명해야한다. 크레덴셜을저장하거나크레덴셜생성에사용되는기기가사용자의통제하에활성화될경우이에대한과정이반드시존재해야한다. 그과정은아래와같다. - 상호간의바운드후크레덴셜을활성화하거나크레덴셜을생성하는방법에서사용자의신원확인이필요하다. - 오직지정된시간내에서의인증만을허용한다. 사용자나사용자의대리인들은크레덴셜저장에대한요구사항을이해하고이에따라자격증명을보유하거나생성되는데사용되는크레덴셜과고정되거나크레덴셜을생성하는장치보호하기위한문서에서명해야한다. CSP는통보받은뒤 24시간내에저장된자격증명이나수단을취소하거나파기한다.
제 4 절시사점 앞서살펴본전자인증연구들은기술적, 관리적가이드들을포함하고있다. FFIEC의전자인증연구동향의경우세부적인가이드라인이제시되어있지않고서비스들의보안성을높이기위한관리적인요소들을제시하고있으며 NIST 의전자인증가이드라인의경우기존의 OMB-M-04-04 를기준으로하여기술적인가이드라인을제시하고있고각등급에맞는인증수단들을제시하고있다. NIST의 Guide to Enterprise Password Management의경우비밀번호에대한위협을방어할수있는안전한비밀번호관리를위한가이드라인을제시하고있고금융감독원의인증수단안전성기술평가기준은금융거래에서발생할수있는보안위협을방지하기위한가이드라인을총 3등급으로나누어제시하고있으며관리적요건은포함하지않고있다. ITU-T 의개체인증을위한보안프레임워크는전자인증과정에서발생할수있는보안위협들에대한보안요구사항과이에대한기술적가이드라인, 서비스제공자가적용해야하는관리적가이드라인등을포함하고있다. 기술적가이드라인의위협에대한등급이따로나누어져있지않아인증수단의선택의폭을넓히고서비스제공자가인증수단을도입할때서비스에적합한인증수단을선택적으로사용할수있도록하고있다. 관리적가이드라인의경우인증수단생성을위한사용자식별에서인증수단갱신까지총 10단계로나누어각단계에서발생할수있는위협들과위협들에대한제어, 가이드라인을제시하고있다. 개체인증을위한보안프레임워크는타가이드라인들에비해인증의전체적인프로세스에대해자세하게나타나있고많은보안위협에대한제어를포함하고있어전자인증수단도입을위한가이드라인으로적용이가능할것으로판단되었다. 하지만현재의가이드라인을그대로적용하기에는현재국내전자인증환경에맞지않는부분들이상당수존재하여국내사정에맞게보안요구사항들과위협제어들을수정하여국내전자인증환경에맞는새로운가이드라인작성시참조할수있는기반이될것으로판단되었다.
제 3 장안전한전자인증을위한보안요구사항분석 제 1 절전자인증서비스의보안위협 전자인증과정에서다양한보안위협이발생할수있는데이러한위협들은 [ 표 21] 과같다. 본보안위협들은전자인증과정에서발생가능한다양한위협에대해자세하게다룬 ITU-T의개체보증인증프레임워크와 NIST의전자인증가이드라인을기반으로도출하였고이러한위협에대한시나리오, 각보안위협발생에대한조건과그에대한피해를받을수있는인증수단들을정리하였다. 아래의보안위협을기반으로보안요구사항을추출해낼수있다. 위협스니핑 / 도용피싱 / 파밍도난 / 분실에의한도용 위협환경및시나리오, 피해가능한인증수단 전자인증시필요한정보들이암호화되지않고평문으로전송이될경우 공격자와서비스이용자가같은네트워크내에존재할경우 대역외인증기술을제외한모든인증기술은인터넷을통해전송되므로네트워크상에서스니핑의가능성이존재한다. 만약인증에필요한정보들이암호화되어있지않다면공격자는사용자의인증정보를엿볼수있다 아이디 / 비밀번호 I-PIN/G-PIN 사용자가피싱사이트임을인지하지못한경우 공격자가금융서비스를제공하는웹페이지와동일한웹페이지를만들어사용자의인증정보를도용할수있다 ID/PWD OTP 공인인증서 보안카드 인증매체를습득한공격자가대상의개인정보를알고있을경우 소지를기반으로하는인증수단들이도난 / 분실될경우이를이용해악의적인불법적접근이가능 HSM
물리적보안매체고장및손실복제온라인비밀번호크래킹오프라인비밀번호크래킹정보재사용세션하이재킹 MITM 공격사회공학적기법 OTP 보안카드 공격자가사용자가사용하는보안매체의물리적위치를알고습득및손상시키는것이가능할경우 보안매체의고장혹은고의적인손상등으로가용성에피해를받을가능성이존재 HSM OTP 보안카드 공격자가사용자의인증수단에접근이가능한경우 사용자의지문이채취가능할경우이를이용한악의적접근이가능 인증서 보안카드 모든상황에서가능 사용자인증정보의비밀번호를추측해인증을시도할수있다. ID/PWD 공격자가암호화된사용자의비밀정보를습득한경우 인증과정외의상황에서사전대입이나무작위대입을통해사용자의인증정보를유추해낼수있다. ID/PWD 공인인증서 HSM 공격자가사전정보수집을통해사용자의인증정보를습득한경우 이전에사용된사용자인증정보를캡쳐해재사용할수있다. ID/PWD 공인인증서 HSM 네트워크가감시되고있는것을사용자가인지하지못하는경우 네트워크를통해전송되는인증정보들이암호화되지않은경우 사용자와인증서버와의통신중간에세션을가로채인증을진행할수있다. 재사용을검증하지않는인증수단 네트워크가감시되고있는것을사용자가인지하지못하는경우 네트워크를통해전송되는인증정보들이암호화되지않은경우 사용자와인증서버의중간에서정상적인서버의역할과동시에사용자의정상적인사용자로가장해공격할수있다. ID/PWD 인증정보를요구하는자가공격자임을사용자가인지하지못하는경우 관리자로위장하거나친분이있는사람으로위장해비밀번호등의인증정보를알아낼수있다. 모든인증수단
제 2 절전자민원서비스별보안등급 G4C(Government for citizen) 는 2002년 10월에서비스를시작한통합민원시스템으로정부전자민원서비스라불린다. 전자민원서비스의기본적틀은기존의각각분리되어있는행정서비스들과민원서비스신청시정보를제공해주는정보제공기관을하나의전자정부서비스를통해모두이용할수있도록하는것이다. 이러한 G4C 서비스는기관에방문하지않고시간, 공간적제한없이온라인환경에서사용자민원을처리할수있게되었고현재는민원24(http://minwon24.go.kr) 에서통합민원서비스를제공받을수있다. 국내전자민원서비스의사용자가점점늘어가고그중요도가커지고있는반면이러한서비스들의등급에대한기준이존재하지않으며그로인해많은개인정보를취급하는서비스와그렇지않은서비스에대한안전한인증수단도입이어려움을겪고있다. 이러한서비스들이안전한인증수단을도입하기위해서는참고할수있는가이드라인이필요하며가이드라인을적용하기위해서는각서비스에대한보안등급분류가선행되어야한다. 현재민원24에서제공하는민원서비스는총 3015건에달하며이러한민원서비스들에서요구하는인증정보로는이름과주민등록번호, 공인인증서등이있다. 1. 보안등급별업무특성 대상이되는전자민원서비스들의보안등급을나누기위해서는각서비스별업무특성의분석이필요하다. 보안등급에영향을미치는서비스의업무특성으로는서비스가다루는개인정보의민감도와서비스의중요성, 편의성등이있다. 개인정보의민감도는서비스가다루는개인정보가유출될경우추가적인문제가발생할수있는지와개인의비밀정보가포함되어있는지를의미하며서비스의중요성은서비스가개인, 사회에얼마나영향을미치는지를의미한다. 또한업무에서취급하는개인정보에따라편의성도고려되어야하는데민원업무가제공하는정보에비해편의성이너무높거나낮을경우실질적인
도입이불가능하기때문이다. 업무특성의등급은보안위협에따라 총네단계로나눌수있으며이에대한업무특성은 [ 표 22] 와같다. 4 등급은개인정보를다루지않고공개할수있는정보만을제공하거나 간단한사용자식별만을요구하는업무를포함한다. 이등급에서는보안 요구사항의 4 단계에따라기밀성유지만을만족해최소한의보안성만을요구한다. 3등급은회원가입과같은사용자의개인정보를제공하거나민감할수있으나유출시추가적인문제가발생하지않는개인정보를다루는업무를포함한다. 이등급에서는같은등급의보안요구사항에따라기밀성을유지하고사용자가사용하는비밀정보추측방지가필요해 4등급에비해다소높은보안성을요구한다. 2등급에서는사용자의민감한정보를다루는업무와증명서, 자료등을발급하거나발급된자료의유출로인해개인사용자의추가적인피해가발생할수있는업무를포함한다. 같은등급의보안요구사항에따라하위등급들의보안요구사항을만족해야하고인증정보재사용, 피싱 / 파밍, 세션가로채기, 중간자공격등에대한방어가필요해높은보안성을필요로한다. 이단계부터취급하는정보의민감도가높아지므로사용자의편의성보다는높은보안성에중점을둬야한다. 1등급은개인을대상으로하는것이아닌 B2G와같은기업대국가, 국방정보등을대상으로한다. 이등급에서는대규모경제활동과같이정보유출등으로인해경제적으로큰피해가발생할수있는업무들이나국가의민감한정보를취급하는업무들이기때문에아주높은보안성을요구한다. 이등급은보안요구사항에따라물리적공격을대응하고물리적인증토큰을이용해높은보안성을만족해야한다.
등급업무특성해당전자정부서비스 경제활동 ( 조달, 군수, 자산등 ) 과 조달관련하여정보유출및인증수단유출시 입찰직접적경제적손실피해가범위하게 방산 1 등급발생하는업무 조달 국가 ( 국방정보체계 ) 민감한정보를 항만취급하는업무 항공등 2 등급 3 등급 4 등급 실명인증된가입자를통해개인정보를취급하는업무 ( 민원접수 / 조회 / 증명서발급 ) 부정하게발급된증명서, 자료를통해 2 차피해또는개인정보유출이발생할수있는경우 개인정보입력, 가입등을통해민원 ( 본인확인필요, 개인정보조회 ) 의접수 / 조회등업무 정보시스템이용자에대한단순정보제공 ( 교육정보, 생활정보, 지식정보등 ) 회원가입이필요없는단순한민원 ( 공개정보 ) 의접수 / 조회 / 발급업무 주민등록등초본발급 소득공제자료조회 / 출력 보육료지원 전자세금계산서등 민원확인 ( 보안형 ) 영치금입금내역 개인정보가연계된민원, 신고등 나의민원확인 장관과의대화 정보공개청구 건축물대장등 초본발급 ( 열람 ) 신청 한부모가족증명서발급 토지 ( 임야 ) 대장열람 등본발급신청등 제 3 절보증수준별보안요구사항 가이드라인작성을위해서는먼저발생할수있는위협을토대로전자인증환경에서의보안요구사항을분석하고이러한위협들을등급화가선행되어야한다. 위협에대한등급화는각위협들을방어할수있는방법을각등급에맞게배치하는과정으로등급별요구보안성, 편의성, 서비스위협발생시위험도등이고려되어야한다. 본가이드라인에서는 ITU-T의보안위협들을포함한위협들을 2절에서정의한서비스별보안등급에적용해야한다.
1. 4 등급 가장낮은등급인 4등급은최소한의정보유지만을목적으로하고높은보안성을보증하지않으며높은편의성을보증하고있다. 4등급의보안요구사항으로는네트워크를통해전송되는정보를도청등의공격에의해유출될수있으므로이를방어해인증정보등이유출되지않아야한다는것을보증해야한다. 2. 3 등급 3등급은사용자정보를입력해야하거나사용자의개인정보가포함된서비스에대한등급으로약간의보안성을요구하고높은편의성을보증하고있다. 3등급의보안요구사항으로는하위등급의보안요구사항을포함하면서사용자의인증정보를추측해공격하는것을방지해야하는것을보증하고있다. 3. 2 등급 2등급은개인의민감한정보를포함하는서비스들에대한등급으로편의성이낮은대신높은보안성을요구한다. 2등급에서는하위등급들의보안요구사항을포함하면서네가지위협에대한보안요구사항을제안하고있다. 이전에사용된사용자의정보를재사용하여인증을시도하는재사용공격을방어해야하고올바른서버로위장한서버에접속을시도해인증정보를탈취하는피싱, 파밍등의위협을방지하여야하며사용자와인증서버간의통신과정에서세션을탈취해올바른사용자로위장하는세션가로채기공격을방어해야한다. 또한사용자와서버사이에서사용자에게는올바른서버로, 서버에게는올바른사용자로속여인증과정을중계하여정보를탈취하는중간자공격을방어해야한다.
4. 1 등급 1등급은편의성을보장하지못하는대신가장높은보안성을제공하고있다. 1등급에서는하위등급의요구사항을만족하면서두가지의보안요구사항을제안한다. 이등급은가장높은등급인만큼물리적공격에방어하고높은보안성을갖추기위해물리적인증토큰을해야한다고제시하고있다. 등급 1 등급 2 등급 3 등급 물리적인증토큰이용물리적공격대응 중간자공격방지 세션가로채기방지 피싱, 파밍방지 인증정보재사용방지 인증정보추측방지 4 등급기밀성유지 전자인증보안요구사항 2 등급의보안요구사항포함 소지기반의물리적인증토큰을이용하여야한다. 물리적공격에대응할수있어야한다. 3 등급의보안요구사항포함 사용자와정보시스템사이의중간자공격에대응할수있어야한다. 사용자와정보시스템사이의세션가로채기공격에대응할수있어야한다. 사용자인증을위한인증서버가올바른서버임을확인할수있어야한다. 사용자인증시사용되었던정보를재사용하는공격을방지할수있어야한다. 4 등급의보안요구사항포함 사용자의비밀정보에대해추측하여공격하는것을방지하여야한다. 사용자와정보시스템사이에공유하는비밀정보는외부로유출되지않아야한다.
제 4 장전자인증가이드라인 제 1 절개요 1. 목적 전자인증가이드라인은전자민원과같은대민서비스에서안전한전자인증수단의도입을위해참고할수있는지침서로민원을신청한사용자에대해올바른사용자인지를검증하고전자민원서비스과정에서발생할수있는보안위협으로부터안전한서비스를제공하기위한가이드라인을의미한다. 본가이드라인에서는안전한전자인증을위해전자인증의기술적, 관리적가이드라인을제시한다. 2. 구성및범위 본가이드라인은전자정부의전자민원서비스와같은대민지원서비스를대상으로한전자인증가이드라인이다. 국제표준인 ITU-T의개체인증에대한보안프레임워크에를기반으로하여신뢰성있는가이드라인을제작함과동시에국내사정에맞지않는부분을조정하여국내전자인증환경에적합한가이드라인을개발하였다. 전자인증과정에서발생가능한기술적위협과잘못된관리를통한관리적위협에대해안전하게가이드하기위해전자인증기술가이드라인과전자인증관리가이드라인으로분리하였다.
제 2 절전자인증가이드라인 본보고서에서제안하는가이드라인은국제표준이며기술적, 관리적가이드라인을포함하고있는 ITU-T의개체인증에대한보증프레임워크를근거로하고있다. 그러나 ITU-T의가이드라인은국내전자인증환경과상이해그대로적용하기에는할수없어국내환경에맞지않는부분을일부수정하였다. 제안하는가이드라인은전자인증기술가이드라인과전자인증관리가이드라인으로나누어져있다. 두가이드라인은모두가장낮은 4등급에서가장높은 1등급까지총네단계로나누어져있다. 1. 전자인증기술가이드라인 기술가이드라인은전자인증을수행하는과정에서발생가능한보안위협을방어하기위한가이드라인이다. ITU-T 의개체인증에대한보증프레임워크는전자인증시발생하는보안위협에대해등급을나누지않고그에대한보안대책을제시하여서비스의중요도에따라선택하여사용할수있도록하였지만국내전자인증서비스들에적용하기위해서는서비스등급에따라정보의민감도및편의성등을고려해야하므로본가이드라인에서는서비스의민감도와추가적인위협발생여부및개인서비스와 B2G 서비스등의서비스규모등을고려하여전자인증위협에대해등급화하여가이드라인을작성하였다. 모든등급에대해서는공통적으로 TLS와같은암호화통신을이용하도록권장하고있다. 전자인증기술가이드라인은 [ 표 24] 와같다.
등급 1 등급 ( 양방향인증 ) 2 등급 ( 양방향인증 ) 3 등급 ( 양방향인증, 단방향인증 ) 4 등급 ( 단방향인증 ) 물리적인증토큰이용 물리적공격대응 전자인증기술가이드라인 2등급보안요구사항포함 OTP, 보안토큰, 바이오보안토큰과같은물리적인증수단을사용해야한다. 보안토큰에 PIN 을입력하는등과같은사용자자격증명기능을추가한다. 보안토큰에일정횟수이상의잘못된인증을시도할경우보안토큰을잠글수있는메커니즘을추가한다. 1 등급옵션 보안토큰과함께 2 채널인증을사용할수있다. 3등급보안요구사항포함중간자공격 중간자공격을방지하기위해인증과관련된모든방지통신은암호화된채널을이용해야한다. 세션가로채기공격을방지하기위해인증서버는세션인증과정에서일어나는패킷의유실및재전송등의가로채기비정상적인행위를탐지하여야한다. 방지 MITM공격을방지하기위한방법과같이암호화된세션을이용한다. 수신과발신되는메시지에대해피싱공격탐지를위해 IP 블랙리스트, URL 기반필터, 베이지안필터등을사용해야한다. 피싱, 파밍 EV SSL과같은시각적인단서를제공해사용자가방지올바른서버임을확인할수있도록한다. 상호인증을사용해올바른사용자와올바른서버임을확인한다. 사용자인증과정에서인증정보에일회성정보를포함하거나다른채널을이용해비밀번호를입력인증정보받는등인증정보재사용방지를위한방법을재사용방지포함해야한다. 공격자가지어낼수없는타임스탬프와같은값을각메시지에포함한다. 2 등급옵션 2채널인증을사용할수있다. 4 등급보안요구사항포함인증정보 사용자의비밀정보의안전성을높이기위해일정추측방지길이이상의비밀정보를사용해야한다. 3 등급옵션 PC 등록, MAC 등록을이용할수있다. 기밀성유지 네트워크를통해전송되는인증정보는안전성이검증된암호화기법을사용해기밀성을유지하여야한다.
가. 전자인증기술가이드라인 4 등급 4등급은가장낮은등급으로단방향인증을통해사용자를식별하고있으며총한가지보안위협에대한가이드라인을제시한다. 기밀성유지는네트워크상에서주고받는인증정보들이스니핑등의공격에의해유출되는것을방어하기위한가이드로서위협에대한방어를위해네트워크를통해전송되는모든정보를암호화된채널을통해전송하도록하여기밀성을유지하도록지침하고있다. 나. 전자인증기술가이드라인 3 등급 3등급은양방향인증과단방향인증을선택적으로사용할수있으며한가지위협에대한가이드를제시한다. 인증정보추측방지는사용자가인증에사용하는인증정보가간단해이를유추하여인증정보를알아낼수있는위협을방지하기위한방법을의미하며이러한위협을방어하기위한지침으로일정길이이상의비밀정보를생성하고제 3자가유추하기힘든비밀정보를사용하도록지침하고있다. 다. 전자인증기술가이드라인 2 등급 2등급은양방향인증을사용해야하며네가지위협에대한가이드를제시한다. 인증정보재사용방지는사용자인증과정에서서버와사용자간에주고받는인증정보를재사용해정당한사용자로인증서버를속이는위협을방지하기위한방법을의미하며위협을방어하기위한방법으로서버와사용자간에주고받는인증정보들사이에일회성정보를포함하거나공격자가지어낼수없는타임스탬프값과같은메시지를포함하도록지침하고있다. 피싱, 파밍방지는사용자가인증을시도하려는서버와똑같은사이트를생성하는등의방법으로사용자의인증정보를획득하는위협을방어하는
방법을의미하며이런위협을방어하기위한방법으로수신, 발신되는메시지에대한 IP 블랙리스트, URL 기반필터, 베이지안필터등을활용해정당하지않은서버및클라이언트의접근을막고 EV SSL과같은시각적인단서를제공해사용자가인증을시도하는서버가올바른서버임을확인할수있도록지침하고있다. 세션가로채기방지는사용자와인증서버사이에서인증을위해연결된세션을통신과정에가로채정당한사용자로위장하는위협을의미하며이러한위협을방어하기위한지침으로인증서버는세션하이재킹이의심되는패킷의유실이나재전송등의네트워크에서발생하는비정상적인행위를탐지하고암호화통신을이용해통신과정에공격자가접근할수없도록지침하고있다. 중간자공격방지는공격자가사용자와인증서버사이에서올바른서버와올바른사용자로위장하여사용자와인증서버사이에서인증과정을중계하는위협을방지하는방법을의미하며이를방어하기위한지침으로사용자와서버는인증과정을시작하기전에암호화세션을맺어중간자공격을방지하도록지침하고있다. 라. 기술가이드라인 1 등급 1등급은양방향인증을통해사용자와서버가모두올바르다는것을확인해야하고한가지위협에대한가이드라인을제시한다. 물리적공격대응은하드웨어인증토큰등이물리적으로유출되거나분실되었을경우제 3자에의해사용될수있는위협을방지하기위한방법을의미하며이를방어하기위한지침으로보안토큰에올바른사용자식별을위한 PIN을입력하는등의자격증명기능을추가하고무작위대입등의공격을방어하기위해잘못된인증의연속적으로시도될경우보안토큰을제 3자가사용하고있는것으로간주하고보안토큰을사용할수없도록잠금메커니즘을추가하도록지침하고있다.
물리적인증토큰이용은 1 등급에서다루는정보들이매우중요하므로 소프트웨어보안토큰등으로막을수있는보안위협의한계를극복하기위해 물리적인인증토큰을사용하도록지침하고있다. 2. 전자인증관리가이드라인 전자인증관리가이드라인은전자인증관리에서나타날수있는보안위협을방어하기위한가이드라인이다. 본가이드라인은 ITU-T의개체인증보증프레임워크의위협및제어부분을기반으로하고있으며국내사정에맞게개인정보의보관및관리등의항목들은모두개인정보보호법을따르도록지침하고있다. 총네등급으로나누어진이가이드라인은각등급별로등록및신원식별, 인증수단생성, 인증수단발행, 인증수단활성화, 인증수단보관, 인증수단폐기, 인증수단갱신등의전자인증에관련된여덟가지항목을나누어각각에대한가이드라인을제시하고있다. 등록및신원식별은인증수단발행등을위해올바른사용자임을식별하고등록을하는과정을의미한다. 이항목은등록및신원식별과정을대면, 비대면, 기기등의항목에대한가이드라인을제시하고있다. 인증수단생성은인증서버가인증수단을생성할때발생할수있는보안위협을방어하기위한가이드라인으로인증토큰및인증정보들을안전하게사용할수있도록생성과정에서의가이드라인을제시하였다. 인증수단발행은생성된인증수단을사용자에게안전하게발행하기위한가이드라인을제시하고있다. 인증수단활성화는사용자에게발행된인증수단및인증정보들을이용하는것에대한가이드라인을제시하며기술가이드라인에서의기술적위협을대처하는것이아닌인증수단을좀더안전하게사용할수있는관리적인요건을제시하고있다. 인증수단보관은유출될경우직접적인피해가발생가능한사용자와인증서버사이에서공유되는비밀정보를안전하게보관하기위해등급별
가이드라인을제시하고있다. 인증수단폐기는사용하지않는인증수단을보관하는경우발생할수있는보안위협을막기위한가이드라인으로각등급별로폐기요청에대한폐기시간을가이드라인으로제시하고있다. 인증수단갱신은사용자의인증수단이나인증정보의변경을요청할때발생할수있는보안위협을방지하기위한가이드라인으로제 3자에의해올바른사용자의인증정보를갱신할수없도록등급별가이드를제시하고있다. 전자인증관리가이드라인은 [ 표 25] 와같다. 등급 1 등급 2 등급 전자인증관리가이드라인 2 등급가이드라인포함등록및 [ 표 27] 의등록및신원식별에따라사용자신원검증신원식별과정을거쳐야하며대면환경에서만가능하다. 인증수단생성 인증수단생성과정이끝나면인증수단은잠금상태가되어야한다. 인증수단발행 하위등급과같다. 인증수단 지정된시간동안만인증과정을수행할수있도록활성화하여야한다. 인증수단보관 사용자자격증명을보유하고생성하는것에대해장치를보호하기위한동의를받고문서에서명해야한다. 인증수단폐기 사용자가인증수단이손상되거나폐기를신청할경우 24시간내에인증수단을폐기해야한다. 인증수단갱신 [ 표 27] 에따라사용자신원검증과정을거쳐야한다. 3등급가이드라인포함등록및 [ 표 27] 신원식별에따라사용자신원검증과정을신원식별거쳐야한다. 발행하는하드웨어토큰은도난및분실에대비해인증수단생성관련정보들을저장한다. 디지털서명등을이용해인증수단조작에대한보호기능을제공한다. 인증수단발행 하위등급과같다. 인증수단 정당한사용자에의해서만인증수단이활성화될수활성화있도록검증하는과정을거쳐야한다. 인증수단보관 공유되는비밀파일은암호화되어저장되어야하고인증과정에서필요한암호키는암호화되어저장되어야한다.
3 등급 4 등급 공통 인증수단폐기 사용자가인증수단이손상되거나폐기를신청할경우 48시간내에인증수단을폐기해야한다. 인증수단갱신 [ 표 27] 에따라사용자신원검증과정을거쳐야한다. 4 둥급가이드라인을포함등록및 [ 표 26] 의신원식별에따라사용자신원검증과정을신원식별거쳐야한다. 인증수단생성 하위등급과같다. 인증수단발행 생성된인증수단이올바른사용자에게전달되었는지확인하는메커니즘을적용해야한다. 인증수단 인증수단이올바른사용자에의해사용되고있음을활성화확인할수있는메커니즘을적용해야한다. 인증수단보관 사용자와공유되는비밀에대한파일은평문등을저장할수없고암호화되어야한다. 비밀정보를보관하는방법을문서화하여이에따라야한다. 인증수단폐기 사용자가인증수단이손상되거나폐기를신청할경우 72시간내에인증수단을폐기해야한다. 인증수단갱신 서비스제공자는인증수단갱신및교체에대한정책을수립해적절한갱신및교체가이루어지도록해야한다. 만료되지않은인증수단에대해갱신및교체하는때는서비스제공자에의해증명되어야한다. 인증수단이나장치가만료된후의갱신은허용되지않는다. 모든갱신및교체과정은암호화된채널을이용해야한다. 등록및신원식별 신원확인정책을게시하여야한다 게시된신원정책에따라모든신원에대해신원확인을실시해야한다. 신원정보는자기주장일수있다. 등록과정은대면 / 비대면모두가능하다. 인증수단생성 공식화된자격증명생성프로세스에따라자격증명을생성하여야한다. 인증수단발행 - 인증수단활성화 사용자와인증서버사이에공유되는비밀정보는관리자에의해접근이제한되어야하고올바른어플리케이션만접근이가능해야한다. 인증수단보관 - 인증수단폐기 - 인증수단갱신 - 사용자의정보취급및보관, 관리등의단계에서개인정보보호법을준수하여야한다.
분류환경가이드라인 사용자 기기 대면 비대면 사용자는사용자의모습과일치하는사진이포함된신원확인서류를가지고있는지확인해야한다. 사용자가제출한신원확인서류가올바른기관에서발행된서류인지확인해야한다. 사용자의연락처정보가포함된문서를타기관으로부터제공받을수있어야한다. 사용자연락처의정보가정확한지확인해야한다. 기기의소유자, 제조정보, MAC 주소등의기기의신원을확인할수있는정보를확인해야한다. 분류환경가이드라인 사용자는사용자의모습과일치하는사진이포함된신원확인서류를가지고있는지확인해야한다. 대면 사용자가제출한신원확인서류가올바른기관에서발행된서류인지확인해야한다. 사용 사용자연락처의정보가정확한지확인해야한다. 자 기관으로부터발급받은신원확인서류는두가지이상의서류를확인해야한다. 비대면 사용자의주소및전화번호와같은신원정보를모두포함하는서류를타기관으로부터제공받을수있어야한다. 제공받은문서로부터사용자의연락처가정확한지확인해야한다. 신뢰할수있는하드웨어를사용한다. 기기를제조할때디지털서명, 제조번호등을이용해이를등록해기기신뢰할수있는하드웨어를생성하며이는네트워크를통해초기화한다. 가. 관리가이드라인 4 등급 관리가이드라인 4등급은최소한의위협만막을수있도록지침하고있으며이에대한가이드라인은다음과같다. 등록및신원식별항목은네가지의가이드를제시하고있다. 이과정에서는올바르지않은등록을막기위한방법으로사용자등록과식별과정에서
사용자의신원을확인하는정책을게시하고게시된신원정책에따라모든사용자에대해신원을확인해야하도록지침하고있다. 또한자기주장 (self-assertion) 에의한신원증명이가능하며등록과정은대면 / 비대면환경모두가능하도록지침하고있다. 인증수단생성과발행과정에서는자격증명생성프로세스를공식화하고이를참조해자격증명을생성하도록지침하고있으며그외에별다른항목은요구하지않는다. 인증수단보관은사용자와인증서버의공유되는비밀을안전하게관리와인가받지않은접근을방어하기위해접근을제한하는가이드를제시하고있다. 인증수단의활성화와폐기, 갱신에대해서는별도의가이드라인이존재하지않는다. 나. 관리가이드라인 3 등급 관리가이드라인 3등급은개인정보를다루는민원서비스에맞추어진등급으로단순개인정보제공만을 4 등급보다좀더높은보안성을요구한다. 등록및신원식별과정에서는별도의신원검증정책을제시하고있으며이에맞춰신원검증을수행하도록지침하고있다. 제시하고있는신원검증정책은사용자에대한대면, 비대면환경과기기에대한인증으로나누어진다. 대면인증에서는사용자의모습과일치하는사진이포함된신원확인서류등을확인하고사용자가제출한신원확인서류가올바른기관에서발행된서류인지를확인하도록지침하고있다. 비대면환경에서는사용자의연락처정보가포함된문서를타기관으로부터제공받을수있도록하고있으며사용자연락처정보에대한검증과정을포함하도록하여 4등급에비해좀더높은신뢰성을확보할수있도록지침하고있다. 기기의경우에는기기의소유자, 제조정보, MAC 주소등의기기신원확인을위한정보를수집하여확인하도록해 4등급에는존재하지않는기기에대한등록및식별과정도지침하고있다. 인증수단확인과정과인증수단생성과정은 4 등급의지침을따르고있고별다른가이드를제공하지않는다.
인증수단발행과정은 4 등급에서는올바른발행만을요구했다면 3등급에서는인증수단을발행받은사용자가올바른사용자인지를검증하는메커니즘을추가하도록해발행되는인증수단을탈취되거나가로채는위협을방어할수있도록지침하고있다. 인증수단활성화과정에서는인증을수행하고있는사용자가올바른사용자임을확인할수있도록확인메커니즘을적용해제 3자에의한인증수단활성화를막을수있도록지침하고있다. 인증수단보관단계에서는사용자와서버사이에서공유되는공유비밀정보를암호화하여보관하도록하여유출시비밀정보의유출을방지하고있고비밀정보보관에대한문서화를통해비밀정보보관프로세스를정립할것을지침하여 4등급에서보다높은보안성을요구하고있다. 인증수단폐기단계에서는 4등급에서아무런요구사항이없었던것에반해사용자인증수단에대한폐기요청이들어올경우 72시간안에인증수단을폐기하여사용하지않는인증수단에대한재사용등을방지하도록지침하고있다. 인증수단갱신과정에서는세가지가이드라인을제시하고있다. 올바른인증수단갱신을위한갱신및교체에대한정책을수립하고이에따른갱신및교체가이루어지도록지침하고있고올바른만료되지않은인증수단을갱신하거나교체하는것과같은과정은서비스제공자에의해기록되고증명되도록하여비인가자에의한인증수단갱신을막고있으며갱신과정에서발생하는보안위협을막기위해갱신과정을위한암호화채널설정해갱신하여야하는등의사항을지침하고있다. 다. 관리가이드라인 2 등급 관리가이드라인 2 등급에서는사용자의개인정보가담긴서류를발급하는등의개인정보유출에직접적인영향을미치는서비스에대한가이드라인을제공하고있다. 등록및신원식별과정에서는 3 등급의신원검증보다좀더강화된보안을위한가이드를제시하고있다. 대면환경에서는기존의등급과같지만
추가적으로사용자연락처의정확성을확인해더높은보안성을요구하고있으며비대면환경에서는기관으로부터발급받은두가지이상의서류를확인하며사용자의전화번호외에도주소등의신원정보가모두포함하는서류를제공받아확인하며 3 등급과같이사용자의연락처의진위여부를확인한다. 기기에대해서는무분별한기기의사용에의한문제발생을막기위해신뢰할수있는하드웨어를사용할것을지침하고기기등록시기기의제조번호나디지털서명등을등록하고네트워크를통해초기화하여신뢰할수있는장치로등록하도록지침하고있다. 인증수단발행과정은추가적인사항없이 3등급의가이드라인을따르고있다. 인증수단생성과정은토큰들의분실로인한위협을방어하기위해하드웨어토큰에대한관련정보저장및디지털서명등을이용한인증수단조작에대한보호기능을제공하도록지침하고있다. 인증수단활성화과정은 3등급에서는정당한사용자에의해사용되고있는가를확인했다면 2등급에서는 PIN 번호입력등의방법으로정당한사용자에의해서만활성화가가능하도록검증하는과정을지침하고있다. 인증수단보관항목에서는하위등급과같이공유되는비밀파일을암호화하여저장하도록지침하고있고인증정보유출에대한보안성을높이기위해이에대한암호화키또한암호화하여저장하도록지침하여보안성을높이고있다. 인증수단폐기단계에서는폐기요청에의한폐기시간이 3등급에서 72시간이었던부분을 48시간내에폐기하도록지침하고있다. 인증수단갱신은하위등급에서의지침을포함하면서갱신요청시등록과정과같은신원식별과정을거치도록하여정당하지않은사용자의잘못된갱신으로인한위협을방어하도록지침하고있다. 라. 관리가이드라인 1 등급 관리가이드라인 1 등급에서는개인민원서비스보다는 G2B 등의서비스등을 대상으로하고있으므로타등급에비해높은보안요구사항을요구한다.
등록및신원식별과정에서는 2 등급에서의가이드라인과같지만대면환경에서의등록및신원식별과정만을허용하고있으며필요에따라보증인을동행해사용자식별할수있도록지침해사용자신원에대한명확한식별과정을거친다. 인증수단발행과정은 1등급에해당하는가이드라인은존재하지않으며하위등급을따르고있다. 인증수단생성과정에서는하위등급들을포함하면서초기생성된인증수단에대해초기화과정을거치지않고는사용하지못하도록인증수단을잠금을수행해사용자에게전달하여보안성을높이도록지침하고있다. 인증수단활성화과정에서는올바른사용자에의한활성화외에도정해진인증시간동안만활성화될수있도록하여인증과정이끝난후사용되는등의위협으로부터방어할수있도록지침하고있다. 인증수단보관과정에서는인증정보보관및생성에대한정보를사용자가이해하여야하고이에대한문서에서명하도록지침하여사용자또한인증수단보관에대한지식을갖추도록한다. 인증수단폐기는 2등급에서는사용자의인증수단폐기요청후 48시간이었지만 1등급에서는 24시간으로지정해사용이정지된인증수단의사용위협으로부터더욱강한보안성을갖도록지침하고있다. 인증수단갱신과정에서는 2등급의등록및신원식별과정에따라올바른사용자를식별해야하며비대면환경에서의인증수단갱신을허용하지않고대면환경에서의갱신만을허용하도록지침하고있다.
제 3 절등급별인증수단 이보고서에서제안한가이드라인이적용될전자민원서비스들은이름 / 주민등록번호, 아이디 / 비밀번호, 공인인증서등을주로사용하고있다. 국내에서가장보편적으로사용되고있는전자인증수단들로는아이디 / 비밀번호, I,G-PIN, OTP, 공인인증서, HSM, 바이오토큰등이있으며이러한인증수단들은인증수단별특징들이모두다르므로등급별인증수단을명확하게정의할수없다. 따라서제공하는서비스를등급화하여등급의요구사항들을만족할수있는인증수단들을선택적으로사용하거나여러인증수단을복합적으로사용해가이드라인의조건을만족할수있으며이러한인증수단들은 [ 표 28] 과같다. 4등급은가장낮은등급으로단순히사용자의신원을확인하거나중요한정보에접근하지않는민원확인등의서비스에적합하므로보안성보다편의성이중요시될수있다. 이에해당될수있는전자인증수단으로는단순한로그인서비스를위한아이디 / 비밀번호, 간단한본인인증을위한이름 / 주민등록번호등이있으며이러한인증수단들을이용해 4등급의가이드라인을만족할수있다. 3등급은개인의정보를제공해야하거나민감도가적은개인정보등을열람하는서비스에적합하므로편의성과함께보안성도중요시한다. 이등급에해당될수있는대표적인서비스로는납세증명서, 병적증명서신청등이있을수있으며이러한서비스를신청할때는아이디와하드웨어토큰, 아이디와 2채널인증, 등록된기기에서의아이디를통한인증등이사용될수있다.
등급등록이용 1 등급 대면확인및대면등록 물리적인증토큰사용 바이오보안토큰 보안토큰 ( 공인인증서발급 )1) 공인인증서 +2 채널인증 (OTP2) 번호입력 ) 공인인증서 +OTP2)+PC 등록 2 등급 대면확인 소프트웨어인증토큰사용 보안토큰 ( 공인인증서저장 )+OTP3) 공인인증서 +2 채널인증 ( 비밀번호키입력 ) 공인인증서 +PC 등록 3 등급 4 등급 비대면확인 ( 기대면확인정보확인 ) 추가적정보입력 ( 일회성 ) 비대면확인 ( 주민번호 / 실명, 휴대전화 ) 아이디 +OTP3) 아이디 +2 채널인증 ( 비밀번호키입력 ) 아이디 +PC 등록 아이디 / 비밀번호 + 이미지 ( 기등록된이미지확인 ) 아이디 / 비밀번호 이름 / 주민번호, I-PIN, G-PIN 2등급은사용자의민감한개인정보의열람이나개인정보가포함된증명서및서류발급등유출시추가적인피해가발생할수있는서비스에적합하므로보안성이높아야한다. 이등급에해당될수있는대표적인서비스로는주민등록등본및초본발급, 가족관계증명서발급등이해당될수있으며이러한서비스를신청할때는등록된기기에서의공인인증서인증, 공인인증서와 2채널인증, OTP와 2채널인증등이사용될수있다. 1등급은개인에대한대민서비스를대상으로하지않고국가정보, 혹은 B2G와같이대규모의피해가발생가능한서비스들을대상으로하고있으며이에따라높은보안성을가진인증수단들을사용해야한다. 이등급에서사용가능한인증수단들로는바이오토큰, 공인인증서가저장된 HSM과 2채널인증, 공인인증서와 OTP 등을사용할수있다.
제 4 절가이드라인적용 현재서비스되고있는전자민원서비스들은대부분아이디 / 비밀번호등의인증수단을사용하고있으며개인의민감한정보가포함된민원서비스의경우공인인증서를전자인증수단으로사용하고있다. 이러한서비스들은추가적인인증수단을통한인증을요구하지않아본보고서에서제시한가이드라인에대입해보면현재공인인증서를필요로하는서비스들은대부분개인의민감한정보나유출시 2차적피해가발생할수있는정보들을포함하고있어가이드라인의 2등급에포함되어야한다. 하지만현재공인인증서만을인증수단으로사용하고있어취급하는개인정보에비해낮은보안성만을만족하고있다. 이에따라전체적인서비스의재분류가필요하며재분류된서비스들은각등급에맞는인증수단을도입해사용해야한다. [ 표 29] 는주요국가기관웹사이트와민원서비스에대한등급을표기한것이다. 서비스소관기관인증수단 회원가입 회원탈퇴대학졸업증명서신청주민등록등본신청한부모가족증명서납세증명서출입국사실증명병적증명서지방세납세증명서 대한민국전자정부 대한민국전자정부교육과학기술부행정안전부 여성가족부 공인인증서아이핀주민등록번호 기존등급 4 등급 3 등급선택 업무특성 가이드라인적용등급 - 3 등급 비밀번호 4 등급 - 3 등급 공인인증서 3 등급민감한개인정보포함 2 등급 공인인증서 3 등급민감한개인정보포함 2 등급 주민등록번호 4 등급민감한개인정보포함 3 등급 국세청공인인증서 3 등급민감한개인정보포함 2 등급 법무부공인인증서 3 등급민감한개인정보포함 2 등급 병무청공인인증서 3 등급민감한개인정보포함 2 등급 행정안전부 공인인증서 3 등급민감한개인정보포함 2 등급
제 5 장결론 현재국내에서는많은개인서비스들에대한위협들이증가해아이디 / 비밀번호, OTP, 공인인증서, I-PIN/G-PIN, 2 채널인증등많은인증수단들이도입되었고이러한인증수단들은전자금융, 전자상거래, 전자민원등의다양한분야에서사용되고있다. 하지만많은인증수단들의도입에도불구하고사용자서비스에대한위협이더더욱증가하는추세이며인증수단들은보안성과편의성등이모두달라전자인증수단의도입이필요한서비스에적절한인증수단도입이어려움을겪고있다. 이러한문제점을해결하기위해전자금융과전자상거래등의서비스는인증수단을강화하고다양한인증수단을사용하고있으며관련된연구또한다방면에서진행중에있다. 그에반해전자민원과같은사용자의민감한정보를다루는서비스들은높은보안성이요구됨에도불구하고다른서비스들에비해보안성이낮고선택할수있는인증수단의폭또한좁다. 또한이러한문제를극복하기위해새로운전자인증수단을도입을고려해야하지만국내환경에적합하고전자민원서비스에적용가능한가이드라인이존재하지않아전자인증수단도입이어려워지고있다. 전자금융이나전자거래의경우특히전자민원서비스의경우개인의정보를직접다루는등의서비스가많지만실질적인가이드라인이없어새로운인증수단도입에난항을겪고있다. 국외의경우전자인증서비스의안전성을높이기위한연구가이전부터진행되어왔으며현재까지도인증수단의안전성기준을위한연구가계속진행되고있다. 미국의경우미금융회사검사위원회에서사용자인증을위한위협관리프레임워크를도입하였고 NIST에서는전자인증의위협을분석하고이를보안하기위한가이드라인인전자인증가이드라인이연구되고있다. 또한국제전기통신연합인 ITU에서는개체인증을위한보안프레임워크를연구해현재표준화가진행되고있다. 국내의경우금융감독원에서국내전자금융서비스에도입을위한가이드
라인을연구하고있다. 하지만이는금융서비스에특화되어있고전자민원서비스에서에적합하지않은부분이존재하여적용이어려운부분이존재한다. 본보고서에서연구한전자인증가이드라인은 ITU-T의개체인증을위한보증프레임워크를기반으로국제표준에근거해위에서언급한문제점을해결하고전자민원서비스에적용해전자민원서비스의보안성을높이며전자민원서비스에새로운전자인증수단의도입에참고할수있도록작성되었다. 이가이드라인은향후전자민원서비스에서업무특성에따라새로운전자인증수단의도입등에큰도움을줄수있을것으로사료되며향후전자인증에대한연구에기반이될수있을것이라생각된다.
참고문헌 [1] FFIEC, Supplement to Authentication in an Internet Banking Environment, FFIEC, 2011 [2] Ant Allan, A Taxonomy of Authentication Methods, Update, Gartner, 2011 [3] William E. Burr, Donna F. Dodson, Elaine M. Newton, Ray A. Perlner, W. Timothy Polk, Sarbari Gupta, Emad A. Nabbus, e-authentication guideline, NIST, 2011 [4] 금융감독원, 전자금융거래인증방법의안전성세부기술평가기준, 금융감독원, 2011 [5] 김보라, 비대면지급결제서비스에서의본인인증수단현황과전망, 금융결제원, 2009 [6] 유정각, 송주민, 인터넷뱅킹호환성을고려한보안기술적용방안, 금융결제원, 2010 [7] 금융보안연구원, http://fsa.or.kr [8] 금융보안연구원, 전자금융新인증기술연구보고서, 2011 [9] ITU-T, Entity authentication assurance, 2011 [10] Karen Scarfone, Murugiah Souppaya, Guide to Enterprise Password Management(Draft), NIST, 2009 [11] Richard G, Wilsher, Zygma LLC, Identity Assurance Framework Assurance Asessment Scheme, LIBERTY ALLIANCE, 2009 [12] Alain Hiltgen, Thorsten Kramp, Thomas Weigold, Secure Internet Banking Authentication, IEEE, 2006 [13] TTA, 개체인증에대한보증프레임워크, 2010 [14] 박배효, 전자금융거래상전자적장치도입에따른고려사항및감독정책방향모색, 금융결제원, 20111 [15] 박지현, 전자금융거래시공인인증서의무사용규제완화관련
주요이슈및현황, 박지현, 2010 [16] TTA, 일회용비밀번호 (OTP) 인증서비스를위한보증레벨, 2009 [17] 맹영재, 신동오, 김성호, 양대헌, 이문규, 국내인터넷뱅킹계좌이체에대한 MITB 취약점분석, Internet and Information Security 제1권제2호, 2010
부록 별첨 1. 금융감독원의전자금융거래인증방법의안전성세부기술평가 기준 ( 공개일 : 2011 년 1 월 23 일 )