전자서명 - KAIST AI Lab
Download
Report
Transcript 전자서명 - KAIST AI Lab
20050801 장의택
20080802 정성효
Content
서론
1. 공인인증서
2. 우리 나라의 공인인증서 이용 현황
3. Privacy
4. Personal information
본론
1. 전자서명법 및 관련 법규
2. 공인인증서 관련 기술, 메커니즘
3. 공인인증서의 장단점
4. 스마트폰과 공인인증서
5. 해외의 온라인 뱅킹 제도
결론
1.
2.
3.
4.
공인인증서
우리 나라의 공인인증서 이용 현황
Privacy
Personal information
공인인증서란?
전자 서명의 검증에 필요한 공개 키+소유자 정보
전자 신분증
공개 키 증명서, 디지털 증명서, 전자 증명서
1999년 전자서명법을 제정, 공인인증서의 발급 및 관
리의 체계를 마련
http://ko.wikipedia.org/wiki/공인인증서/
국내 공인 인증서 이용 현황
공인인증서 인식 현황
분야별 이용 현황
KISA , 대국민 전자서명 이용실태조사 (2009.12)
KISA , 대국민 전자서명 이용실태조사 (2009.12)
공인인증서 분야별 이용현황
인터넷 뱅킹: 97.3%로 가장 많이 이용됨
월 평균 7.6회
인터넷 신용카드 결제 2.2회
사이버 증권 거래 3.9회 등
총 14.7회
KISA , 대국민 전자서명 이용실태조사 (2009.12)
Privacy
사생활의 내용을 공개 당하지 않을 권리
자신에 관한 정보를 스스로 관리, 통제할 수 있는 권리
“모든 국민은 사생활의 비밀과 자유를 침해 받지 아니
한다”
대한민국 헌법 제 17조
Personal Information
생존하는 개인에 관한 정보
개인을 알아볼 수 있는 부호, 문자, 음성, 음향
성명,주민등록번호, 기타 정보
정보통신망이용촉진및정보보호등에 관한 법률 제2조 제6호
1.
2.
3.
4.
5.
전자서명법 및 관련 법규
공인인증서 관련 기술, 메커니즘
사용자 측면에서의 공인인증서
스마트폰과 공인인증서
해외의 온라인 뱅킹 제도
전자서명법
전자문서의 안전성과 신뢰성을 확보
전자문서의 이용을 활성화
국가사회의 정보화를 촉진
국민생활의 편익을 증진
전자서명법 제 1조(목적)
전자금융거래법
금융위원회는 전자금융거래의 안전
성과 신뢰성을 확보를 위해서
「전자서명법」 제2조 제8호의 공
인인증서의 사용 등 인증방법에 대
하여 필요한 기준을 정할 수 있다.
전자금융거래법 제21조(안전성의 확보의무)
전자금융감독규정
모든 전자금융거래에 있어 「전자서명법」에 의한 공
인인증서 또는 이와 동등한 수준의 안전성이 인정되
는 인증방법(이하 ‘공인인증서 등’)을 사용하여야 한다.
다만, 기술적․제도적으로 공인인증서 등의 적용이 곤
란한 금융거래로 금융감독원장이 정하는 경우에는 그
러하지 아니하다.
전자금융감독규정(10.6.30) 제7조(인증방법 등)
전자금융감독규정
금융기관 및 전자금융업자는 전산실 설치 등 보안성
확보가 필수적인 경우로서 감독원장이 정하는 경우에
감독원장에게 보안성심의를 요청하여야 한다.
전자금융감독규정(10.6.30) 제8조(보안성심의)
간단 요약
전자금융거래에서 공인인증서 사용을 강제
금융감독원의 감사권 부여
현행법의 문제점
전자금융감독규정 (제 7조, 8조)
공인인증서 사용을 의무화
금융감독원의 직권남용
공인인증서를 위한 기술 규격을 강제
웹표준방식 인증방식은 외면
Only
Not U
우리나라 공인 인증서 기술
공개키 기반 암호화 구조 (PKI)
심동철, PKI 개념과 해외시장 현황, itfind 2001. 12
신뢰 컴퓨팅 기반: TCB
Trusted Computing Base
컴퓨터 시스템 내의 총체적 보호 매커니즘.
신뢰성 있는 컴퓨터 시스템을 위한 보호환경, 서비스
제공
보안 정책이 TCB 내의 매커니즘을 통해 정확 수행될
수 있는 환경을 제공.
ActiveX기반 정보 흐름 순서
계좌 번호
금액
보안 카드 번호
+
전자서명
계좌 번호
금액
보안 카드 번호
User
Active X
복호화된 처리내역
Server
암호화된 처리내역
ActiveX기반 공인인증서 문제점
ActiveX는
MS Explorer에서만 설치 및 가능
즉 MS에서 만든 OS에서만
공인인증서 사용 가능
즉 MS에서 제공하는 프로그램을 사용해야만 공인인증서
사용 가능
이는 정부가 MS의 시장 독점을 유도
그러면, ActiveX는 안전한가?
MS의 ActiveX에 대한 의견
마이크로소프트도 기술 개발 당시에는 예측하지 못했
던 문제로, 스파이웨어나 바이러스 등 인터넷을 통해
사용자의 PC를 파괴할 위험성을 지닌 프로그램이 이
ActiveX에 의존하고 있습니다.
ActiveX를 보안과 같이 시스템 레벨에서 사용하는 것
은 지양되어야 합니다.
http://www.microsoft.com/korea/windows/compatibilit
y/activex.mspx#e
사용자가 꼽은 단점 (1/2)
복잡한 발급 절차
설문 조사 결과 37.6%를 차지
국내사용자 -> 공인인증 발급 -> 사이트 접속 -> 공인인
증 확인 -> 신용카드 결제
공인인증서 불편한 점이나 개선에 필요한 사항에 대해
서 복잡한 발급절차 개선이 37.6%로 2위를 차지
1위는??
사용자가 꼽은 단점 (2/2)
공인인증서 안전성 강화 (51.8%)로 1위
공인인증서는 단순한 파일의 형태로 존재
PC의 하드디스크 67.7%
USB 저장 63.8%
공인인증서 비밀번호 관리
공인인증서 비밀번호 관리 형태
다른 비밀번호와 공인인증서 비밀번호가 동일: 15%
유사한 경우 48.8%
완전 다른 경우 36.2%
공인인증서 유효기간 (1년)동안
비밀번호를 변경하는 경우 39.5%
변경하지 않는 경우 60.5%
스마트폰 공인인증서
현재 스마트폰을 통한 30만원 미만 금융거래시 공인
인증서를 의무화한 규정이 폐지
금융 보안에 있어 특정 기술을 강요하지 않고 각 은행
에 기술 선택권 부여
금융 사고가 생길 경우 은행의 책임 -> 새로운 인증 방
식 제시에 신중
공인인증서 대안
아이핀 활용
일회용 비밀 생성기 (OTP)
SMS활용
지문, 홍체인식
SSL(Secure Sockets Layer)
공인인증서 대안 문제점
아이핀인증: 이용자가 분실하였을 경우 보안에 취약
바이오인증: 기술적 한계와 시스템 구축비용의 문제
존재
영국
영국의 고객 인증은 IC 카드를 이용한 인증방식 사용
인증서 사용은 법률상 자율
인터넷 뱅킹 사고에 대비해 보안프로그램 무상 배포
와 이체 한도 설정
사후적으로 고객의 잘못 없이 발생된 손실에 대해 전
액보상규정 명시
중국
고객 인증을 위해 대부분의 은행이 공인인증서 저장
매체인 USB Key를 유상 배포
고객 인증 수단별 이체 한도 차별화로 인터넷 뱅킹 사
고에 대해 사전적으로 예방
미국
연방금융감독위원회가 제시한 가이드라인을 바탕으
로 은행이 자율적으로 적절한 고객인증 수단을 도입
하는 형태로 운영
고객 인증 수단을 위해 SSL, ID/PW, 질문응답, OTP,
SMS인증, E-mail, 현금카드 PIN 인증 등의 방식 운용
금융사고 발생 시 2일 이내에 은행에 신고할 경우 50
달러 내에서만 책임
또한 은행에 따라 고객 책임금액을 면제해 주는 고객
보호프로그램 운영
일본
인증에서 쓰는 인증 수단은 은행이 자율적으로 선택
하여 운영됨
SSL 및 ID/PW, 보안카드, 거래용 PW, SW보안키보
드,OTP 등 운용
로그인시 ID/PW로만 고객 인증이 이루어지며, 자금
거래시 거래용 PW, 보안카드, OTP등 추가 인증
금융사고 방지 위해 접속 IP제한, 자금이체한도 설정
제도 운영
결론
현재 사용되는 공인인증제도의 문제
Active X 중심, 정부의 MS IE 시장 독점 유도
금감원의 필요 이상의 권한 부여
사용자의 보안 인식 문제
Solution A
기존의 공인인증서 시스템을 폐지
관련 기술의 검토
새로운 보안 체계의 수립
Globalization
Solution B
현행 시스템 유지 + 웹
표준 시스템 개발
이용자들에게 다양
한 선택권 부여
Q and A
전자서명
전자문서를 작성한 자의 신원확인
전자문서의 변경여부를 확인
전자서명 생성키로 생성한 전자문서에 대한
작성자의 고유한 정보
Digital signature
전자서명의 조건
위조불가
생성 키를 소유하지 않은 자는 전자서명 생성불가
변경불가
생성 키를 소유하지 않은 자는 전자문서 변경불가
서명자인증
생성 키를 소유한 자가 전자서명의 행위자
재사용불가
A문서의 전자서명을 B문서의 전자서명으로 대치불가
부인불가
생성 키의 소유자가 전자서명 후에 행위에 대한 부인불가
전자서명의 구성
전자서명
전자서명
전자서명
생성
검증
전자문서
전자서명
생성키
전자문서
전자서명
전자서명
검증키
전자서명 키생성
전자서명 키생성
전자서명생성키
전자서명검증키
•생성키: 안전한 장치(스마트카드등)에 보관
•검증키: 공개되는 정보
•생성키/검증키는 유일한 하나의 쌍
•생성키/검증키는 안전한 키 생성 알고리즘을 통해 생성
전자서명 생성
전자서명생성키: 전자서명을 생성하기 위하여 사용되
는 전자적 정보
계약서
갑과 을은
1998.6.18
전자문서
전자서명 생성키
전자서명 생성
전자서명 검증키
공개되는 정보
전자서명 생성과정
계약서
갑과 을은
1998.6.18
전자문서
전자서명 생성 프로그램
전자서명
전자서명 생성키
입력값
출력값
<전자서명 생성작업 수행도>
전자서명 검증
전자서명검증키: 생성된 전자서명을 검증하기 위하여
사용되는 전자적 정보
전자서명
계약서
갑과 을은
1998.6.18
전자문서
전자서명
전자서명 검증키
전자서명 검증 프로그램
전자문서의 진위여부 확인
SSL
SSL(Secure Socket Layer)은 넷스케이프사에서 전자
상거래 등의 보안을 위해 개발하였다. 이후
TLS(Transport Layer Security)라는 이름으로 표준화
되었다. SSL은 특히 네트워크 레이어의 암호화 방식
이기 때문에 HTTP 뿐만 아니라 NNTP, FTP등에도 사
용할 수 있는 장점이 있다. 기본적으로 Authentication,
Encryption, Integrity를 보장한다.
OTP
로그인할 때마다 그 세션에서만 사용할 수 있는 1회성
패스워드를 생성하는 보안 시스템. 동일한 패스워드
가 반복해서 사용됨으로써 발생할 수 있는 패스워드
도난 문제를 예방하는 것이 목적이다. 일반 패스워드
와는 달리 단방향 암호 기반의 해시라는 패스워드를
사용하며, 그 세션이 끝나면 폐기되기 때문에 재사용
이 불가능한 안전한 기능이다.