행정전자서명인증관리센터
I 행정젂자서명인증체계 II 암호체계고도화 III 표준 API 1
I 행정젂자서명인증체계 1. 행정젂자서명의개요 2. 행정젂자서명인증체계 3. 행정젂자서명인증서 4. 인증서활용업무
1. 행정젂자서명의이해 추짂배경구축목적주요업무 전자정부의행정환경이종이문서기반에서전자문서로전환됨에따라 해킹등에의한주요정보의노출, 변조, 훼손등의문제로인한전자정부신뢰성및안정성확보의중요성대두 전자문서송 수신에대한행정기관및공무원신원확인, 전자문서위 변조방지등보장 행정전자문서안정적유통을위한정부차원의정보보호체계마련 행정, 공공 금융기관의행정전자서명인증서비스를위한인증관리시스템구축 운영및인증업무지원 인증기관및 ( 원격 ) 등록기관지정 관리를위한인증체계구축 운영 행정젂자서명인증서발급수 인증서비스활용건수 백 12,000 1,200 10,000 1,000 8,000 800 6,000 600 4,000 2,000 0 2006 2007 2008 2009 2010 400 200 0 2006 년 2007 년 2008 년 2009 년 2010 년 발급건수 누적건수 배포실적 누적실적 3
2. 행정젂자서명인증체계 정부인증체계 (GPKI) 민간인증체계 (NPKI) 최상위인증기관 (Root CA) 행정안전부 상호연동 최상위인증기관 (Root CA) 한국인터넷진흥원 행정안전부 국방부 대검찰청 병무청 대법원 교육과학 기술부 금융결제원 한국증권전산 한국정보인증 한국전자인증 한국무역정보통신 공무원공무원공무원공무원공무원공무원 국민국민국민국민국민 공무원의신원확인및행정업무처리를위한인증서발급 전자관인, 서버등의기관용인증서발급 일반국민의신원확인 인터넷뱅킹및증권, 보험, 연말정산, 쇼핑, 민원신청 등의생활전반으로확대 4
3. 행정젂자서명인증서 인증서발급대상 인증서 발급대상 행정기관행정기관의보조기관및보좌기관행정기관과전자문서를유통하는기관, 법인및단체행정정보공동이용이용기관 ( 전자정부법제36조제2항의법인, 기관, 단체 ) 인증서종류 구분용도유효기간 기관용 전자관인용 서버용 SSL 용 전자문서유통등송수신기관확인이필요한행정업무 컴퓨터시스템에지속적으로처리하는행정업무 사용자 PC 와웹사이트사이에송 수신되는정보의암호화하여전송 개인정보유출방지 2 년 3 개월 2 년 특수목적용 차량용, 공직자통합메일용 2 년 3 개월 개인용 가입자인증및전자결재, 통합메일, 행정업무 (GVPN, 행정정보공동이용, 디지털예산회계등 ), 전자민원 24 등각개인의용도로사용 2 년 3 개월 5
3. 행정젂자서명인증서 인증서발급현황 행정젂자서명인증서는기관용 / 개인용으로구분하여발급 공무원개인에게는유선용과무선용으로, 기관에게는젂자관인용과기관별정보시스템의서버용으로구분하여 발급 ( 11.2 월기준 ) 구분 계개인용기관용 기관건수유선무선전자관인서버용 계 1,009 571,850 559,235 756 570 11,289 중앙행정기관 61 163,315 158,576 656 127 3,956 지방자치단체 248 264,701 257,789 95 321 6,487 시도교육청, 공공기관등 700 143,834 142,861 5 122 846 현재인증서는약 50 만건이발급되고있으며, 인증관리센터와 800 여명의 (L)RA 담당자가인증업무를수행하고있음 6
II 암호체계고도화 1. 암호체계고도화추짂배경 2. 암호체계고도화추짂내용 3. 암호체계고도화추짂계획 7
1. 암호체계고도화추짂배경 국내 컴퓨팅기술의급속한발달로기존암호알고리즘의안정성저하 - NIST 등암호전문기관의권고에따르면, 국내인증체계에서이용중인암호알고리즘은 13 년이후안정성담보어려움 NIST 권고사항 (Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths - Part 1, 2011.1.13) 알고리즘의안전성보장기간 보안강도 ( 비트 ) 인수분해기반 ( 예 : RSA) 비대칭키알고리즘 이산대수기반 ( 예 : KCDSA) 공개키 개인키 해쉬함수 ~ '12 년 80 1024 1024 160 SHA-1 '13 년 ~ '30 년 112 2048 2048 224 SHA-256 128 3072 3072 256 SHA-256 '30 년 ~ 192 7680 7680 384 SHA-3 256 15360 15360 512 SHA-512 국가 공공기관정보시스템의젂자서명및암호키생성등에사용되는알고리즘은 11 년까지 SHA-2 또는새로운국가표준알고리즘으로대체 인증서자체에대한해킹 ( 불법복제, 위조생성등 ) 을방지하고, 행정젂자서명인증서의신뢰성확보를위해 젂자서명키길이상향조정, 해쉬알고리즘교체 필요 국가 공공기관암호사용기준 (09.12.4) 8
2. 암호체계고도화추짂내용 해쉬알고리즘교체 공인인증서발급및전자서명수행시사용되는해쉬알고리즘교체 160 비트해쉬 (SHA-1) 256 비트해쉬 (SHA-256) 젂자서명키길이상향조정 암호용알고리즘 RSA 1048비트 2048비트젂자서명용알고리즘 KCDSA 1048비트 2048비트 해커가전자서명키를알아내기위한연산량이 2 1024 번에서 2 2048 번으로증가되어 2030년까지안정성확보 9
2. 암호체계고도화추짂내용 ( 참고자료 ) 해쉬알고리즘 (SHA1 -> SHA256) 해쉬알고리즘 : SHA1 해쉬알고리즘 : SHA-256 10
2. 암호체계고도화추짂내용 ( 참고자료 ) 젂자서명키길이 (RSA 1024bit -> RSA2048bit) 공개키알고리즘 : RSA 1024bit 공개키알고리즘 : RSA 2048bit 11
3. 암호체계고도화추짂계획 2010 년 2011 년 2012 년 표준 API 기능개선 (4 월 ) 최상위인증기관 (RootCA) 시스템시범구축 (5 월 ) 표준 API 보급관리시스템개선 (5 월 ) 암호체계고도화적용표준 API 재배포 (10 월부터 ) 공인인증서 (NPKI) 와상호호환성확보 표준 API 재배포 (10 월 ) 행정전자서명인증시스템암호체계고도화 (8 월 ) 인증기관 (5), 등록기관 (4) 인증시스템개선지원 통합테스트및정화 (10 월 ~12 월 ) 1 월부터신규인증서발급 - 2012 년 1 월이후에도기발급된인증서는이용가능 - 갱신또는재발급시점에새로운인증서발급 12
III 인증서처리모듈 ( 표준 API) 1. 표준API 개요 2. 표준API 변경사항 3. 표준API 재배포계획 4. 표준API 신청방법 5. 표준API 교체방법 6. 표준API 적용범위별검토사항 13
1. 표준 API 개요 표준 API 란? 표준 API 정의 공무원의신원확인및행정기관의전자문서위ㆍ변조방지등을보장하고, 안정적인전자문서유통을위해개발된표준보안모듈 행정기관및지방자치단체등에배포하고있음 표준 API 종류 표준 API 웹용표준 API 사용자인증및데이터암복호화수행을위한핵심모듈 인증서선택 UI 가필요한웹서비스를위한모듈 표준 API 설치후웹용표준 API 적용 표준 API 용도 사용자로그인및신원확인송수신데이터암 복호화및전자서명인증서검증 ( 통합검증시스템, OCSP, CRL) 타임스탬프토큰발급을통한시점확인 14
1. 표준 API 개요 용도 15
1. 표준 API 개요 지원운영체제 구분배포버전개발언어운영체제 Windows HP-UX 표준 API V1.4 C/C++, JAVA IBM-AIX SUN OS Linux UnixWare ASP Windows IIS 웹용표준 API V1.4 JSP / PHP Weblogic 8.X, 9.X, JEUS 4.X, 5.X, Websphere Tomcat 4.X, 5.X, 6.X 16
2. 표준 API 변경사항 구분주요기능개선사항비고 알고리즘 전자서명생성및인증서검증 NPKI 인증서검증지원 유 무선전자서명생성및처리 암호체계고도화에따른 NPKI 인증서검증 SHA256/RSA/KCDSA/ ECDSA 젂자서명생성및검증처리 키보드보안 웹용 API 키보드보안 키보드보안제품과연동확대 1 종 5 종 애플리케이션 라이센스적용 API 적용시라이센스발급 표준 API 적용시라이센스적용 17
3. 표준 API 재배포계획 표준 API 재배포현황 (2011 년 2 월현재 ) 표준 API 재배포현황 1,323 개의행정정보시스템을대상으로표준 API 재배포 현재까지약 24% 표준 API 재배포완료 구분 합계내부서비스 (GPKI) 대민서비스 (GPKI-NPKI) 실적대상실적대상실적대상 계 313(24%) 1,323 200(18%) 1,123 113(57%) 200 중앙행정기관 194(25%) 756 124(19%) 645 70(63%) 111 지방자치단체 87(24%) 350 54(18%) 303 33(70%) 47 공공기관 16(33%) 49 16(34%) 47 0(0%) 2 교육 연구기관 16(10%) 168 6(4%) 128 10(25%) 40 18
3. 표준 API 재배포계획 표준 API 재배포추짂일정 구분 2011 년 1 분기 2 분기 3 분기 4 분기 신규인증서처리모듈 ( 표준 API) 적용계획수립및공문안내 (2 월 ) 다부처이용시스템신규인증서처리모듈재배포방안협의 (3 월 ) 시도행정, 전자문서유통, 행정정보공유등 암호체계고도화에따른표준 API 적용설명회개최 인증시스템암호체계고도화및인증기관상호호환성확보테스트 (3 월 ~8 월 ) 신규인증서처리모듈재배포독려및기술지원 (~10 월 ) 암호체계고도화통합테스트및안정화추진 (10 월 ~12 월 ) 암호체계고도화된신규인증서발급 ( 12.1 월 ) 신규인증서테스트발급 (9 월 ) 19
4. 표준 API 신청방법 이용기관업무담당자 5. 표준 API 적용 9. 표준 API 적용완료 ( 정상라이센스적용 ) 1. 시스템로그인 2. 표준 API 이용신청서작성 4. 표준 API 및임시라이센스다운로드 6. 적용결과표제출 8. 정상라이센스다운로드 표준 API 신청및배포젃차 표준 API 적용관련기술지원 표준 API 담당자 표준 API 배포관리시스템 3. 공문과신청내역을확인후승인처리 7. 적용결과표검토및승인처리 1. 표준 API 배포관리시스템 (http://api.gpki. go.kr) 접속하여 GPKI 인증서를이용하여로그인 2. 표준 API 이용신청서작성 ( 공문, 적용시스템구성도첨부 ) 3. 표준 API 담당자는공문과신청내역확인후승인처리 4. 이용기관업무담당자에게 SMS 문자메시지발송, 메시지수신후표준 API 및임시라이센스다운로드 (2 개월의임시라이센스부여 ) 5. 이용기관업무시스템적용 6. 표준 API 보급관리시스템에접속하여적용결과표제출 7. 표준 API 담당자는적용결과표검토후승인처리 8. 이용기관업무담당자에게 SMS 문자메시지발송, 메시지수신후정상라인세스다운로드 9. 정상라이센스파일만교체후 WAS 재구동및테스트를통하여표준 API 적용완료 20
5. 표준 API 교체방법 표준 API 적용젃차 업무시스템적용 WAS 중지라이브러리교체 WAS 재구동테스트 표준 API 보급시스템 WAS 가가동중일 라이브러리교체시 WAS 를재구동한다. 표준 API 적용및 으로부터다운로드한표준API 및라이센스를보안서비스를제공할시스템에적용한다. 경우, 기존라이브러리삭제가블가능하므로 WAS 서비스를중단해야한다. FTP로설치파일을반드시 binary 모드로업로드한다. 동일한라이브러리가 WAS 라이센스동작을위한업무시스템테스트 FTP 로설치파일을 WAS 다운후기존 또는서비스엔진에 업로드시에는 라이브러리를 중복으로있을경우, 반드시 binary 백업한다. 라이브러리는모두 모드로해야한다. 교체해야한다 21
5. 표준 API 교체방법 표준 API 교체시주의사항 유형검토내역해결방안 RootCA 인증서를업무시스템서버에저장하고 있는경우 RootCA 인증서존재여부확인예 ) RootCA.cer 또는 RootCA.der 파일을검색 패키지또는프로그램교체 필요 인증서관련데이터 ( 전자서명및해쉬 ) 를 DB 에저장하여사용하는경우 DB 칼럼사이즈 (1024, 2048) 확인예 ) DB 에서전자서명또는해쉬데이터 사용여부확인 DB 칼럼사이즈변경 타 PKI 업체가표준 API 를활용하여전자서명 툴킷을제공하여업무시스템에적용한경우 해당 PKI 업체또는유지보수업체확인 - 22
6. 표준 API 적용범위별검토사항 인증서로그인이용시스템 활용분야 각기관의업무시스템 ( 홈페이지등 ) 에사용자신원확인을위한행정 (GPKI) 및공인 (NPKI) 인증서를이용하는경우 예 ) 전자결제시스템, 기관웹메일등인증서로로그인하는업무시스템 문제점 舊인증서처리모듈이설치된시스템에서신규인증서로로그인할경우, 인증서검증에오류가발생하여사용자가업무시스템이용불가 해결방법 인증서처리모듈 ( 표준 API) 을이용하는경우한국지역정보개발원 ( 행정전자서명인증관리센터 ) 를통하여표준 API 재설치 민간업체프로그램을이용하는경우유지보수업체를통해프로그램업그레이드필요 신규표준 API 교체 정상로그인 사용자 기존표준 API 사용 로그인실패 신규인증서 공직자통합메일 23
6. 표준 API 적용범위별검토사항 데이터암복호화이용시스템 활용분야 문제점 데이터송수신시보안강화를위해데이터암 복호화하는시스템 예 ) 행정정보공동이용시스템, 전자문서유통시스템, 실명확인연계시스템등타기관과데이터를연계하는시스템 데이터 ( 메시지또는파일 ) 을암 복호화시신규암호알고리즘을지원하지못해연계오류발생 연계시스템에서이용한암호알고리즘변경필요 (NEAT NES) 전자서명및암호화된데이터를시스템 (DB) 에저장하는경우변수크기증가필요 해결방법 한국지역정보개발원 ( 행정전자서명인증관리센터 ) 를통하여표준 API 재설치 시스템 (DB) 의데이터저장변수크기확인 < 암 복호화데이터크기증가예 > 구분해쉬값 ( 예 ) 구인증서 ( SHA1 ) 신인증서 ( SHA256) 827fbc75a3d766977e630d3b65bdd6a3341759cf 423dd2a5c526de1028190bf162012b0a16573b7c1ff17813fe8c86e48175616d 24
6. 표준 API 적용범위별검토사항 데이터암복호화이용시스템 정부디렉토리 (LDAP) 신규인증서 시스템 B 의인증서 ( 공개키 ) 획득 시스템 B 의인증서 ( 공개키 ) 를이용하여암호화젂송 시스템 B 자신의비밀키로복호화 시스템 A 시스템 B 신규표준 API 교체 기존표준 API 사용 암호화성공 암호화실패 25
6. 표준 API 적용기능별검토사항 기타인증서활용시스템 활용분야 행정 (GPKI) 및공인 (NPKI) 인증서를이용하여데이터암 복호화등정보보호업무에활용하는시스템 예 )SSL VPN 제품, 구간암호화프로그램, 문서보안 (DRM) 제품등인증서를활용하여전자서명, 암 복호화기능을제공하는프로그램 문제점 암호체계고도화에따라인증서규격이변경됨에따라영향성검토필요 해결방법 해당제품업체에영향성검토의뢰및조치필요시업그레이드추진 26
6. 표준 API 적용기능별검토사항 타인증기관인증서활용을위한해결방법 점검사항 해결방법 타인증기관인증서검증실패 인증기관의 LDAP URL 정보추가 인증기관 (CA) LDAP URL 교육과학기술부 ldap://ldap.epki.go.kr:389 대법원 ldap://ldap.scout.go.kr:389 대검찰청 ldap://ldap.sppo.go.kr:389 행정안전부 ldap://cen.dir.go.kr:389 인증기관 (CA) 인증서탑재 타인증기관인증서인식불가 인증기관별 OID 정보추가 타인증기관인증서정보조회불가 타인증기관의사용자정보를조회하는시스템의경우각인증기관의 LDAP 정보를참조하도록프로그램개선필요 27