2016. 4. 김재중 이사(jjkim@signgate.com)
바이오인증 클라우드 플랫폼 서비스 바이오 인증(FIDO) 기술 바이오 공인인증 서비스
PART I. 바이오인증 클라우드 플랫폼 서비스
1. 추진배경 (1/4) 1) 쉬운 비밀번호가 유출 사고 원인 : 더 길고 어렵게 해야 한 해 200만명 이상 비밀번호 유출사고 겪어 (미 패스워드 관리 전문업체 스플래시데이터 인용, ZDNET 보도, 2016.01.19) 최악의 비밀번호는 123456 그 외 password 12345678 qwerty 12345 비빌번호 더 길고 복잡하게 해야 안전 안전도 향상 편리성 저하 Copyright c 2016 KICA All Rights Reserved - 4 -
1. 추진배경 (2/4) 2) 비밀번호 규칙 강화의 문제 : 보안은 개선되었지만, 이용자와 사업자 모두 불편 복잡한 비밀번호 암기 비밀번호 입력 오류 비밀번호 입력 불편 비용의 증가 (재발급율에 따른 인증비용) (SMS:11원, H/P본인확인:40원) PW분실회원이탈 매출하락 사이트별 비밀번호 형식 달라 타인의 부정로그인 위험 비밀번호 찾기 불편 신뢰도 하락 (타인의 부정 로그인) Copyright c 2016 KICA All Rights Reserved - 5 -
1. 추진배경 (3/4) 안전하면서도 편리한 인증 방법은 없나? 기억할 필요 없고, 소지할 필요 없고, 비용도 절감할 수 있는 ~~~~ 바이오인증 방법의 적용 ~~~ 구축 비용 비싼데 ~~~ 직접 구축해야하나? 바이오인증 클라우드 플랫폼 서비스 Copyright c 2016 KICA All Rights Reserved - 6 -
1. 추진배경 (4/4) 독자구축형 클라우드형 + 삼성전자 주도로 신용카드사/은행 중심 서비스 제공 카드결제, 계좌결제, ATM 입출금, 계좌이체 등 서비스 제공 간편결제 등에서 사용자 인증수단으로 활용(PIN 대체) 금융권에서 비대면 본인확인 방법으로 고려 공인인증서 비밀번호 대체 수단으로 KISA에서 주도로 진행 공인인증서 이용의 편리성과 안전성 제공 클라우드(SecaaS) 기반 통합인증서비스 제공 다양한 응용서비스에 저렴하고 손 쉽게 적용 가능 Copyright c 2016 KICA All Rights Reserved - 7 -
2. 서비스 소개 (1/4) 바이오인증 클라우드 플랫폼이란? 서비스 이용자 (제휴사이트 고객) 3 바이오 SDK가 적용된 앱 배포 4 사이트 앱에서 지문 등록 (FIDO표준 등록절차 공개키 전송) 5 바이오정보를 통해서 로그인 (ex. 지문의 경우, Touch) 서비스 제공자 (제휴사이트) 6 지문일치시(공개키 확인) 로그인 허용 쇼핑 포털 게임 IOT (기기) 등 사용자 KICA 바이오인증 서비스 플랫폼 바이오 인증 서비스 바이오 로그인 등 바이오 공인인증 서비스 전자서명 등 5 공개키 수령 쇼핑 포털 게임 IOT (기기) 등 사이트 지문 얼굴 얼굴 등 1 SDK제공 2 SDK를 앱에 적용 FIDO Infra Copyright c 2016 KICA All Rights Reserved - 8 -
2. 서비스 소개 (2/4) 적용 가능한 영역 1 서비스 : 시작은 로그인에서 ~~, 향후는 IOT 까지 ~~ 2 인증수단 : 시작은 지문인증에서~~, 향후는 다양한 바이오인증수단까지 ~~ 바이오 로그인(웹사이트) 바이오 도어락(현관문) 바이오 원격제어(온도, 조명, 가전) 바이오 원격시동(자동차) 바이오 OTP 바이오 공인인증(전자서명) Copyright c 2016 KICA All Rights Reserved - 9 -
3. 서비스 소개 (3/4) 쉽고 편리한 바이오 인증 적용 1 바이오 인증 SDK적용 2 S/W, H/W 없이 즉시 이용 가능 서비스 요청 KICA 바이오인증 클라우드 서비스 바이오 인증 플랫폼 FIDO 연동 Client SDK 배포 FIDO 연동 Server SDK 지문 얼굴 음성 FIDO 기반 서비스 App. 적용 인증 DB #1 인증 DB #1 인증 DB #1 DBMS 보안/시스템 모니터링 서비스 이용 SecaaS(SECurity As A Service) 보안 서비스를 클라우드 서비스의 형태로 제공하는 모델 Copyright c 2016 KICA All Rights Reserved - 10 -
3. 서비스 소개 (4/4) 다양한 플랫폼, 다향한 인증장치, 다양한 응용서비스 제공 1 Any Platform: Android, APPLE ios, Windows, 2 Any Authenticator: 지문, 얼굴, 음성, 홍채, 수기서명, 3 Any Application: 웹사이트로그인, 공인인증서 로그인, 본인확인, PW대체 등 FIDO Server (FIDO1.o, FIDO 2.0) RP Server Any Application! ANDROID APPLE IOS MICROSOFT Any Platform! WEB PLATFORMS CLOUD SERVICES; INTERNET OF THINGS Any Authenticator! Copyright c 2016 KICA All Rights Reserved - 11 -
PART II. 바이오인증(FIDO) 기술
1. FIDO 기술 필요성 패스워드 대체 강력한 인증 수단 요구 Passwords Too many to remember, difficult to type, and not secure Inconvenient to type password on phone Password could be stolen from the server Something Device Authentication User Too many passwords to remember re-use Password might be entered into untrusted App/Web-site ( phishing ) Server (Source: NokNok Labs) - 13 -
2. FIDO 정의 및 탄생배경 FIDO 란? FIDO는 Fast IDentity Online의 약자로 온라인환경에서 사용자의 신원을 빠르게 식별하기 위한 방법 FIDO의 탄생배경 시장현황 (안전하거나 or 편리하거나) 시장요구 (안전하고 and 편리하고] Strong 바이오인증을 활용할 수 있는 사용자 인증 플랫폼 SECURITY 소지기반의 인증 Weak 지식기반의 인증 Poor USABILITY Good - 14 -
2. FIDO 기본개념 사용자 인증과 원격 인증 프로토콜의 분리 사용자 인증수단은 지문, 얼굴, 음성, 홍채, 토큰, 패턴 등 다양하게 지원 원격 인증은 공개키 기반 단일 방식으로 서버 변경 없이 다양한 인증 수단 사용 사용자 로컬인증 FIDO 표준 원격인증 생체인증 Public Key Cryptography User Better Privacy Device Better Experience Better Security Service Biometrics stay on device Private Keys stay on device (Source: NokNok Labs) Faster authentication More natural experiences Different authenticators - 15 - Public keys instead of passwords Fraud Reduction Unified Authentication Infrastructure
3. FIDO 아키텍처 FIDO 프로토콜은 등록, 인증, 거래확인, 해지로 구성 Authentication Methods APP FIDO Client Authenticator 등록(Registration) 인증(Authentication) 거래확인(Transaction Confirmation) 해지(Deregistration) Unified Authentication Protocol (Public Key) WEB Server FIDO Server Relaying Party Smart Phone (Samsung) Plugin any authentication Method on device Authentication clients for any device Private Key(FIDO) Public Key(FIDO) - 16 -
3.1 FIDO 등록 FIDO 등록 절차 (Source: www.fidoalliance.org) - 17 -
3.2 FIDO 인증 & 거래확인 절차 인증 & 거래확인 절차 (Source: www.fidoalliance.org) - 18 -
4. FIDO Alliance FIDO Alliance 1. 설립시기 : 2012년 7월, 바이오인증을 활용한 기술표준을 정하기 위한 협의회 창설 2. FIDO Alliance 조직구조(2015.9 기준) : 236개 기업 Board Level 26 개 기업 Sponsor Level 71개 기업 (DELL, GEMALTO, ING, SKT, ETRADE, ETRI, ING, KICA 등) Associate Level 139개 기업 (Source: www.fidoalliance.org) - 19 -
5. FIDO UAF Certified TM Products 인증제품 종류 : FIDO UAF Server, FIDO UAF Client, FIDO Authenticator 인증업체 목록 (지역별 현황 2016.1 기준) Korea US Japan China (Source: www.fidoalliance.org) - 20 -
6. FIDO 기반 인증서비스 국내외 동향 2014년 4월: 페이팔은 삼성(+ NokNok)과 서비스 런칭 2014년 9월: 알리바바는 화웨이 단말을 통해 서비스 (Alipay Touch) 런칭 2014년 12월: 구글(Google)은 U2F 서비스 런칭 2015년 2월: Microsoft Windows 10 부터 FIDO 지원 예정 2015년 3월: Qualcomm Snapdragon Processor에 지문인증 탑재 2015년 5월 26일: NTT DoCoMo 서비스 FIDO 적용 런칭 - 지원 스마트폰 업체: 2015년 8월 20일: 삼성페이 런칭 - 21 -
7. FIDO 향후 진행방향 현재 FIDO 시스템의 현황 및 향후 발전 방향 분석 구분 AS-IS TO-BE 사용자 환경 스마트폰 운영체계 인증 장치 인증서비스 인증기술 스마트폰 환경 (FIDO 1.0) 안드로이드(Android) 환경 지문 인증 간편결제(S-Pay, PayPal, AliPay 등) FIDO 단독 사용 PC 등 웹 브라우저 환경으로 확대 (FIDO 2.0) 안드로이드(Android), 아이폰(iOS) 등 지원 홍채, 얼굴, 음성, 행위 등 멀티 팩터 인증으로 확대 자금이체, 2채널인증, 싱글사인온 등 서비스 확대 FIDO + 공인인증서 결합 등 다양한 인증기술과 결합 사용 - 22 -
8. FIDO 기반 인증서비스 확대 스마트폰, 웹브라우저 등을 기반으로 바이오인증을 이용한 다양한 서비스의 진화 - 23 -
PART III. 바이오 공인인증 서비스 +
1. 서비스 소개 바이오공인인증 서비스란? 기존 고객의 스마트뱅킹, 인터넷뱅킹, MTS, HTS에서 사용 중인 공인인증서를 KICA의 바이오공인인증 서비스 로 보다 편리하고 안전한 공인인증서 사용할수 있도록 제공하는 인증 서비스 공인인증서 대체 기술이 아닌 보다 편리한 공인인증서 서비스 공인인증서 비밀번호를 지문으로 대체하는 서비스 - 공인인증서 사용고객의 편의성 제공 (문자+숫자+특수문자가 섞인 10자리 암호 대체) - 안전한 공인인증서 사용 제공 (금융사 자체 App에 암호화 보관) 기존 App에 반영할 수 있는 SDK 제공 Copyright 2012 KICA. All Rights Reserved. - 25 -
2. 서비스 방식 바이오 공인인증 서비스 한국인터넷진흥원(KISA) 주도로 FIDO의 바이오인증 기술을 연계한 공인인증 활용 기술 기존 공인인증서의 비밀번호 를 FIDO 인증 기술을 적용하여 바이오 정보(지문) 로 쉽게 인증 할 수 있는 서비스 지문 인증 방식 로그인 완료 공인인증서 Copyright 2012 KICA. All Rights Reserved. - 26 -
3. 서비스 구성 요소 서비스 구축 시 App 필요 항목 단말기 제조사 기본 제공 기본 지문센서 사용 주) KICA 제공 목록 FIDO Client, Authenticator, FIDO Client용 SDK 제공 사용자 App App 구성 요소 KICA 제공 RP App FIDO 표준 프로토콜 FIDO Client Authenticator 지문 API PKI 모듈 보안영역 (Secure Element) 지문 인식 센서 주) 현재 이용 단말기 : 갤럭시노트5, 갤럭시S6 엣지플러스, 갤럭시S6, 갤럭시S6 엣지, 갤럭시 A5, 갤럭시 A7(2016 에디션), 갤럭시 S7 시리즈 Copyright 2012 KICA. All Rights Reserved. - 27 -
4. 서비스 구성도 바이오 공인인증 서비스 사용자: 단말기 SE(Secure Element) 영역의 지문 정보로 인증 KICA: 단말기에서 지문인증 요청시 FIDO Server로 1차 인증 후 OCSP(공인인증서 유효 성 검증)을 통해 2차 검증 후 단말기로 인증 정보 전달 사용자 단말기 RP Server FIDO UAF 표준 (확장필드:공인전자서명 송/수신) FIDO Server FIDO 표준 프로토콜 인증서 검증 인증서 발급/ 재발급/갱신 CA Directory Server OCSP Copyright 2012 KICA. All Rights Reserved. - 28 -
5. 서비스 인증 방식 바이오공인인증 서비스 인증 절차 OTT(One Time Token) 주1) - 일회성의 고유한 시큐어키"는 서비스 실행시도 요청 정보 또는 서비스 실행 인증 처리 때마다 일회성으로 발급 Session Key 주2) KICA가 지문 인증을 위해 생성하여 App 통해 금융 社 로 전달되는 지문인증 확인 시 사용되는 임의의 난수값 7 고객 社 2 인증 요청 8 삼성 갤럭시 (S6, S7, 엣지, 엣지플러스, 노트5, A) 4 OTT 서명 3 OTT 전달 주1) 9 1 지문 인증 6 Session Key 주2) 발행 5 서명 및 공인인증서 유효성 검증 Copyright 2012 KICA. All Rights Reserved. - 29 -
6. 서비스의 특장점 Technology Business KISA 표준에 따른 간편한 공인인증서 비밀번호 대체 바이오인증 기술 공인인증서의 유효성 검증과 지문에 대한 인증으로 한번에 2 Factor 인증 FIDO 표준 변화에 따른 신속하고 빠 른 Upgrade (FIDO 1.0, FIDO 1.1, FIDO 2.0) Android, ios(향후 지원)등 다양한 사용자 환경 지원 전자서명법에 의거한 공인인증서 본인 확인 (제18조2) 사용자 부인 방지 및 인증 로그 제공 고객 社 의 App에 SDK 추가로 짧은 시 간안에 바이오 공인인증 서비스 구축 빠른 사용자 환경(음성, 안면인식등)에 대응 인증 건수에 비례한 유연한 가격 정책 제공 Copyright 2012 KICA. All Rights Reserved. - 30 -
7. 서비스 예시 - 지문등록 지문 등록 기존 공인인증서로 등록 진행 사용자의 단말기에 공인인증서가 등록되어 있는 경우 App 실행 지문 등록 비밀번호 등록 공인인증서 등록 1. 공인인증서 등록을 위해 공인인증센터 를 선택 2. 공인인증서를 선택하여 사용할 지문 등록 3. 선택한 지문에 공인인증서 비밀번호 등록 4. 공인인증서에 지문정보 등록 완료 Copyright 2012 KICA. All Rights Reserved. - 31 -
7. 서비스 예시 지문인증 Mobile 지문인증 Mobile 로그인: 사용자 단말기에서 App 실행 후 로그인 절차 App 실행 공인인증서 선택 로그인 완료 1. 공인인증서 로그인을 위해 로그인 을 선택 2. 로그인 할 공인인증서를 선택하여 지문인증 3. 공인인증서로 로그인 완료 Copyright 2012 KICA. All Rights Reserved. - 32 -
7. 서비스 예시 지문인증 Web(1/2) Web page 로그인 Web Brower에서 로그인 절차 App 자동 실행 Push 1. 아이디 입력 후 지문인증 로그인 클릭 2. 기존 등록되어 있는 스마트폰 에 Push 방식으로 App 실행 Copyright 2012 KICA. All Rights Reserved. - 33 -
7. 서비스 예시 지문인증 Web(2/2) Web page 로그인 공인인증서 선택 로그인 완료 3. 기존 등록한 공인인증서를 지문으로 인증 4. App내 로그인 완료 메시지 5. Web page 로그인 완료 Copyright 2012 KICA. All Rights Reserved. - 34 -