RSA SecurID (OTP) 솔루션소개
APT 사이버테러!! 반복되는침입사례무엇이문제인가?? 내부중요정보탈취를위해가장먼저하는행위는?? 관리자 ID/PW 탈취!! 2
고정패스워드문제점 가장초보적인인증단계 기억해야만한다!! 주기적인변경관리가필요하다!! 쉽게노출될수있다!! Post-It 짐작, 유추혹은조합할수있다!! 내비밀번호는언제나 password, p@ssw5rd 내비밀번호는내이름.. 생일.. 전화번호.. Social engineering Password cracking L0phtCrack Cracker Jack Network sniffing 3
OTP (One Time Password) 배경 기업비즈니스가오프라인에서온라인으로확대 복잡고도화된업무시스템, 기업정보자산에대한접속증가 Something you know 해킹툴과기법발달 ID 와고정패스워드에의존한가장초보적인인증체계에서는 1. 내비밀번호는늘 1234 또는내생일 2. 복잡한비밀번호는꼭 Post-it 해둔다 3. 업무시스템의비밀번호는항상공유 보안취약점발생, 정보자산유출 그룹웨어에접속하는사용자는모두우리직원인가? 경쟁사직원인가? 또는퇴사직원인가? APT, Snipping, 등등 PIN 사용자만알고있는정보 + Something you have 사용자가소유한 OTP 토큰 기업자산보호를위해강력한사용자인증필요 One-Time Password (RSA SecurID) 4
RSA, The Security Division of EMC e-security Industry Leader 인증 / 보안분야 25 년이상의풍부한개발경험 전세계 1,350 여명직원보유 전세계 1,000 여개회사와기술 / 마케팅제휴 Market Leader 전세계 2,500 만명이상사용 전세계 9,500 여개기업사용 Fortune 500 대기업 65% 이상사용 Global 100 대기업 80% 이상사용 Technology Leader 엄격한개발자선별및기술교육을통한연구분야관리 각연구소를통한세계적수준의 Technical Consulting 업계표준 (Industry Standard) 의주도적인역할 Liberty SAML PKCS SafeNet (11.7%) Other (15.4%) Gemalto (8.8%) VASCO (18.9%) 전세계 OTP Market 1 위 RSA, The Security Division of EMC (45.1%) [ 출처 ] Frost & Sullivan 2013 5
RSA SecurID 솔루션개요 PIN + OTP 를이용한강력한 Two-Factor 인증제공 RSA 특허기술인 Time-Sync 방식 OTP 생성및인증수행 1. 사용자 Passcode 입력 (PIN + OTP 값 ) ****159759 RSA Authentication Agent 3. 사용자인증성공 Hardware Token Software Token RSA Authentication Manager Corperate Network 2. 인증서버에서 Passcode 생성비교 Smart phone Token Users ****159759 6
RSA SecurID 동작원리 Token 과인증서버는동일한시간, Seed 값을가지고동일한 6 자리코드생성 Passcode Token Code and PIN are Verified Passcode Token Side Encryption Algorithm Encryption Algorithm Server Side User Seed Token Time User Seed Token Time Same Seed Same Time 7
RSA SecurID 시간보정 인증서버에서는인증시마다사용자가입력한 OTP 값을기준으로 Token 과의시간 차이를인지하고이를보정하기위해서버에저장된토큰정보를변경 Token Time UTC 16:22 Server Time UTC 16:23-1 min. (16:22) -> 159759 AIM±0 (16:23) -> 321903 +1min. (16:24) -> 497212 인증서버는 Token 과차이나는시간만큼 Offset 를변경시켜시간을보정 변경전토큰정보 Token# 000653454218 Seed : xxxxxxxxxxxxx Offset : 0 sec. Token# 000653454219 Seed : xxxxxxxxxxxxx Offset : 0 sec. 변경후토큰정보 Token# 000653454218 Seed : xxxxxxxxxxxxx Offset : -60 sec. Token# 000653454219 Seed : xxxxxxxxxxxxx Offset : 0 sec. 8
Authenticator (Token) H/W, S/W(PC, Smart Phone), SMS(or E-Mail) 등다양한형태의 Token 제공 RSA Token은유효기간이존재하며, 유효기간내에발생하는불량은 100% 무상교체 유효기간이경과한 Token은자동만료되며, 관리를통해선재적으로교체가능 H/W Token 현재기업및금융권에서가장많이사용되고있는형태 방수 / 물리적충격 / 고온 / 저온 / 정전기에우수한내구성제공 Epoxy-Filling 기술을통한 H/W 복제방지 Temper-Proof 설계를통한보안향상 S/W Token (PC, Smart Phone) Windows, Mac, BlackBerry, iphone, Android, Win Mobile, Symbian, 등다양한환경에서동작가능 Toolbar Type은지정된사이트에서만 OTP를생성하도록하여 Anti-Phishing 기능제공 CT-KIP을이용한 Seed값전송으로보안강화 9
Authentication Manager Primary - Replica 구조의이중화및다중화구성 1Primary-1Replica 구성의기본이중화에서 1Primary-15Replica 다중화구성가능 다중화구성으로안정적인대용량인증서비스제공 (100만유저지원가능 ) Primary Server : 기본인증기능에추가적으로관리 ( 등록 / 변경 / 삭제 ) 기능수행 Replica Server : 기본인증기능만수행 ( 관리기능없음 ) Web Base 관리서비스및 Self-Service 제공 WebLogic 솔루션 OEM 을통해안정적으로서비스제공 Credential Manager 를통한개인이직접관리하는 Self-Service 제공 고객이원하는형태의관리기능제공 고객이원하는형태로관리서비스를개발할수있도록 Java API 지원 (JDK 1.5 이상 ) 고객의다양한환경에맞는인증서버개발을위한 LIB 제공 10
Authentication Agent 별도 L4 스위치없이도자체 Load-Balancing 기능을통해안정적인인증서비스제공 C, Java API 제공으로사용자가원하는형태의 Agent 개발가능 약 300여글로벌기업의 1,100여종 Application들과제품출시부터상호연동되어있어간단한설정만으로손쉽게연동이가능함 ( 연동가이드제공 ) 11
활용방안 기업내부 RSA 인증서버 MS AD 사용자 ID 연동 VPN 그룹웨어 / 업무시스템 서버팜 (Win, UNIX, Linux) 12
제품적용분야 13
구축사례 - 현대기아자동차 사업명 : 현대기아자동차그룹웨어및단위업무시스템 OTP 인증수행 도입배경 현대기아자동차내부에서지속적으로발생하고있는내부자료유출에대한시스템접근통제강화 현대기아자동차전체계열사 2 차인증표준으로 OTP 인증시스템도입 구축내용 현장근로자를제외한전체임 / 직원들약 5.5 만명에게 OTP 배포 국내및해외법인모든그룹웨어및내부업무시스템로그인시 OTP 인증수행 관리자들이 OTP 를쉽게관리할수있도록별도의관리웹페이지제공 OTP 사용자들이스스로관리할수있는 Self-Service 웹페이지를제공하여관리자의업무를최소화함 기대효과 퇴직자, 이직자등의불필요한인원의접근을원천적으로방어 OTP 인증을수행함으로써내부임 / 직원들의보안의식고취 패스워드유출및공유문제해결 패스워드관리및교체프로세스가필요없어져관리비용 / 업무경감 그룹웨어로그인연동 14
구축사례 - 한국예탁결제원 사업명 : SAFE/eSAFE 전자결재시스템 OTP 인증수행 도입배경 SAFE/eSAFE 업무시스템을이용하면서상급관리자가스마트카드 /PKI 인증을통한전자결재시보안문제발생 스마트카드 /PKI 인증시상급관리자가아닌일반관리자의해공유 / 대리사용되어보안관리및책임문제발생 고정패스워드방식의지속적인보안및관리이슈로인해 OTP 인증시스템도입 구축내용 고객인증권사들의결재권한이있는상급관리자들에게 OTP 배포 SAFE/eSAFE 업무시스템에서상급관리자들이결재가필요할때 OTP 인증수행 한국예탁결제원관리자들이 OTP 를관리할수있도록관리기능제공 DR 센터를고려하여 3 중화 (1Primary-2Replica) 구축 기대효과 OTP 인증을수행함으로써상급관리자들의보안의식고취 스마트카드, PKI 대신 OTP 를사용함으로써전체 TCO 절감 패스워드유출및공유문제해결 패스워드관리및교체프로세스가필요없어져관리비용 / 업무경감 내부보안정책으로 OTP 인증웹페이지공개불가 전자결제시스템연동 15
구축사례 - 삼성전자 사업명 : B2B 파트너포탈사이트 OTP 인증수행 도입배경 B2B 파트너포탈사이트로그인시사용되고있는 PKI 인증의복사 / 유출문제발생 전세계 15 만사용자의인증관리를위한효율적인방안수립필요 복사가가능한 PKI 인증체계를폐기하고 OTP 인증시스템도입 구축내용 B2B 파트너포탈사이트에등록되어있는사용자를대상으로 OTP 배포 기존 PKI 인증체계를 OTP 인증체계로개편 관리자들이 OTP 를관리할수있도록관리웹페이지제공 OTP 사용자들이스스로관리할수있는 Self-Service 웹페이지를제공하여관리자의업무를최소화함 기대효과 PKI 대신 OTP 를사용함으로써전체 TCO 절감 B2B 거래내역및중요정보의접근권한통제가능 온라인보안강화를통해보다풍부하고세부적인정보를온라인으로제공함으로써오프라인비즈니스의부담해소 패스워드유출및공유문제해결 패스워드관리및교체프로세스가필요없어져관리비용 / 업무경감 전자결제시스템연동 16
구축사례 - BC 카드 사업명 : 내부 UNIX 서버및 VPN OTP 인증수행 도입배경 BC 카드는 90 년대후반부터중요서버 Telnet 로그인시 OTP 인증수행 개인정보보호법과감사원감사에따라중요서버를포함한모든서버 SSH 로그인시 OTP 인증수행적용 외부개발자및시스템관리자들을위한 Mobile 워크및 VPN 인증강화 구축내용 기존시스템관리자들이외에시스템에접근하는개발자들도 OTP 배포 BC 카드내부에있는모든 UNIX(SUN, HP, IBM) 서버 SSH 로그인시 OTP 인증수행 외부개발자및시스템관리자 Mobile 워크및 VPN 로그인시 OTP 인증수행 기대효과 개인정보보호법에따른내부보안준수 패스워드유출및공유문제해결 패스워드관리및교체프로세스가필요없어져관리비용 / 업무경감 UNIX 서버및 VPN 연동 17
기타공급사례 18
고영명차장 010-5555-7708 02-501-0223 ymko@impl.co.kr