Transcript 한국인터넷뱅킹보안에대하여

한국의 인터넷 뱅킹 보안에 대하여
Oxford University Computing Laboratory
Wolfson Building, Parks Road, Oxford, OX1 3QD
Hyoungshick Kim Jun Ho Huh Ross Anderson
2012.4.19
유창훈
Table of Contents
1. 서론
2. 공개키인증서
3. 한국에서 사용되고 있는 보안 메커니즘
1.
2.
3.
안전하고 검증된 커뮤니케이션 채널
사용자 인증
신뢰할 수 있는 사용자 플랫폼
4. 어째서 이 보안 메커니즘들이 그다지 효과적이지 않은가?
1.
2.
3.
4.
피싱공격에 대한 무방비
디지털 인증서의 문제점
외부 플러그인의 한계
보안증명의 부재
5. 권고사항
1.
2.
3.
사용자들에게 선택권을 제공하자
사용자 편의적이고 호환적인 메커니즘을 구축하자
보다 신뢰할 수 있는 컴퓨팅 환경을 위하여
6. 결론
1. 서론
<지역에 따른 웹 브라우저 시장점유율 (2009 년 10 월)>
<1> 한국 뱅킹 시스템들이 표준 기술을 대신 적용하고
있는 고유한 보안 메커니즘의 장점과 약점
<2> 고유한 보안 메커니즘을 도입함으로써 발생하는
편의성 문제에 대한 연구
<3> 보안과 편의성을 향상시키기 위한 권고사항
<2008 년부터 2009 년까지 ActiveX 관련 트래픽 상위 10 개국>
2. 공개키 인증서
• 사용자 정보와
사용자 공개키
발급기관서명키가 있음
• 목적
– 인증
– 암호화 통신 위한 키 교환
2. 공개키 인증서
• 키 교환을 위한 인증서 사용
1.
2.
3.
4.
A가 세션생성을 위한 비밀키 생성
A가 B의 인증서를 얻음(공개키)
A가 얻은 B의 공개키로 비밀키를 암호화해서 보냄
B는 개인키로 복호화후 비밀키 얻음
2. 공개키 인증서
• 인증을 위한 인증서 사용(사용자 인증)
1. B는 랜덤값생성후 A에게 보냄
2. A는 개인키로 랜덤값을 암호화 후 B에게 인증서와 함께
보냄
3. B는 인증서에서 얻은 공개키로 복호화 후 값이 같으면
인증 완료
2. 공개키 인증서
• 인증서내용을 신뢰할 수 있는 이유는 발급기관을 신뢰
하기때문
2. 공개키 인증서
• 최상위기관의 인증서는 웹브라우저에 저장
2. 공개키 인증서
3. 한국에서 사용되고 있는 보안 메커니즘
• 기밀성
• 사용자 / 서버 인증
• 데이터 무결성
• 부인 방지
*추가 : 한국에선 악성코드를 탐지 제거 해야한다
3. 한국에서 사용되고 있는 보안 메커니즘
3.1 안전하고 검증된 커뮤니케이션 채널
• PKI 기반 한국 공인인증서
– 1999년 도입
– 암호전쟁의 부산물로 Seed사용
– 세션키를 생성하는데 사용되는 프로토콜 비공개
3.2 사용자 인증
1. 고객은 자신의 ID/패스워드를 이용해 웹사이트에 로그인 한다.
2. 은행거래를 수행하기 위해서 사용자 개인 보안카드에 기재된
몇몇 숫자를 입력하거나, OTP 생성기에 의해 생성된 OPT를 입
력한다.
3. 온라인 거래 내역은 사용자의 PC 혹은 외장 메모리에 저장되어
있는 사용자의 비밀 키를 이용해 디지털 서명된다.
3.3 신뢰할 수 있는 사용자 플랫폼
• 브라우저와 사용자간의 안전한 채널보장
– 안티 바이러스 제품
– 개인방화벽
– 키보드보안프로그램
4. 이 보안 메커니즘들이 그다지 효과적이지 않은이
유?
• 피싱공격에 대한 무방비
– 확실한 서버인증이 필요
– EV-SSL
• 디지털 인증서의 문제점
– 개인키 보호  인증서암호에 의존
– 무차별공격, key-logging에 취약
– 개인키만 강력하게 보호된다면 강력한 인증방법.
4. 이 보안 메커니즘들이 그다지 효과적이지 않은이
유?
• 외부 플러그인의 한계
– 안티 바이러스 프로그램
– 개인방화벽
– 키보드 보안 프로그램
• 보안증명의 부재
– 고유의 인증프로토콜
Vs
SSL/TSL
??
5. 권고사항
• 사용자들에게 선택권을 제공하자
– 플러그인 설명 및 설치유무 선택 제공
• 사용자 편의적이고 호환적인 메커니즘을 구축하자
– SSL /TLS 전환
– 암호화 어플리케이션 프로그래밍 표준 API 정의  융통성 제공
• 보다 신뢰할 수 있는 컴퓨팅 환경을 구축하자