비밀번호 486 공인인증서(참고자료 포함)
TRANSCRIPT
Security No. 486
구진아 김혜경 임주희
전자 상거래 보안,
Are You Okay?
1. 정보보안과 전자상거래
2. 공인인증서와 보안구조(암호화 기능)
3. ActiveX, 그리고 문제점
4. 대안
5. 향후 전망
공인인증서의 의무화 폐지!
30만원 이상의 온라인 카드결제 시 공인인증서 의무 사용화 폐지
단, 온라인 계좌이체로 30만원 이상 결제 시 공인인증서 사용
외부의 공격과 유출을 막아 나의 정보를 지킨다.
시스템 보안
웹 보안
네트워크 보안
전자상거래 보안
모바일 보안
코드 보안
정보보안
1. 정보보안과 전자상거래
1996 한국의 전자상거래 시작
1994 미국 전자상거래 시작
넷스케이프 1.0 개발 SSL 암호화 기능 적용
1999 공인인증서 도입
2002 금융 업무
공인인증서만 유효
2003 증권거래에
공인인증제 의무시행
2005 신용카드 30만원이상시
공인인증서 이용 의무화
1. 정보보안과 전자상거래
2014 의무화 폐지
공인인증서
정보통신의 발달과 초고속 통신망의 보급
전자서명 필요성↑
문서의 전자 유통 증가
인터넷에서의 본인 신원 확인을 위한 증명서
미래창조과학부가 지정한 공인인증기관이 발급
5개의 공인인증기관 + 25개 금융회사의 등록대행업무
2. 공인인증서와 보안구조
공인인증서 : 4대 기능 (신원확인, 무결성, 기밀성, 부인방지)
부인방지 는 곧,
[ [ “송신자와 수신자가 거래하기로 또는 거래 한 내용을
부인하지 못하게 하는 것”
2. 공인인증서와 보안구조
썰전 58회 중
8
2. 공인인증서와 보안구조
잠깐! 인증서 구조보고 가실게요~!
비대칭 공개키 암호화(RSA)
혜경의 비밀키
신뢰하는 기관에서 부여한 공개키 개인키 알고리즘은 암호를 풀기 위해서 거치는 복잡한 과정(원래 의미는 주어진 문제를 해결 하기 위해 컴퓨터 프로그래밍이 수행해야 할 과정)
주희 혜경
[암호화] [복호화]
혜경의 공개키
알고리즘 알고리즘
그대를 만나고 그대의 머리결을 만질수가 있어서
그대를 만나고 그대의 머릿결을 만질수가 있어서
2ab4%ddfgzitla#!42apykk
2ab4%ddfgzitla#!42apykk
[암호문] [암호문]
2. 공인인증서와 보안구조
신뢰하는 기관에서 부여한 공개키 개인키 알고리즘은 암호를 풀기 위해서 거치는 복잡한 과정(원래 의미는 주어진 문제를 해결 하기 위해 컴퓨터 프로그래밍이 수행해야 할 과정)
다수에게 공개되는 공개키 + 본인만 사용하는 비밀키
공개키는 비밀키와 같지 않다
공개키를 알아도 비밀키 계산 불가능
공개키로 암호화 누구든지 OK! 복호화는 해당 비밀키 소유자만 가능
비대칭 공개키 암호화(RSA) 특징
2. 공인인증서와 보안구조
공인인증서 구조
인증기관
공개키 개인정보
공인인증서
비밀키
공인인증서
비밀키
개인정보 개인키는 컴퓨터에 저장
C:/Prpgram Files/NPKI
알고리즘
2. 공인인증서와 보안구조
Event :)
2. 공인인증서와 보안구조
ㄱ ㄴ ㄷ ㄹ ㅁ ㅂ ㅅ ㅇ ㅈ ㅊ ㅋ ㅌ ㅍ ㅎ
a b c e f g h n o y s p u m
ㅌ ㄹ ㅇ ㅂ ㅊ ㅈ ㅍ
정답은
2. 공인인증서와 보안구조
Pengyou (친구)
암호화 기술
1. 암호화 전송기술 2. 사용자 인증 3. OTP (일회용 암호) 로 보안
한국 : 암호화 기술(암호화 전송기술과 사용자 인증)을 위해 ‘공인인증서’ 필요
해외 : SSL 로 암호화 기술 해결
2. 공인인증서와 보안구조
SSL프로토콜
www브라우저와 웹 서버 사이에서 데이터를 안전하게 교환하기 위해 인증
인터넷상에서 사용자pc와 웹 서버 사이에 송수신되는 개인정보를 암호화하여
웹 서버와 웹 브라우저간에 신뢰 형성
2. 공인인증서와 보안구조
두 사이트의 차이점은 무엇일까요? (2개)
2. 공인인증서와 보안구조
그림 출처:KOREA IDC
인터넷에서 문서 교환을 위한 통신규약
네트워크 데이터 가로채기 가능한 문서형태
비연결형 : 페이지를 계속 볼 수 있다
http:// → https:// Http + S(Secure Socket Layer) : 보안강화
SSL프로토콜 이용
암호화 키를 모른다면 데이터 가로채기 X
인터넷 연결이 끊긴다면 https 재인증 필요 (경로 자체에서 인증)
2. 공인인증서와 보안구조
공인인증서의 문제점
1. 안정성
18
나의 컴퓨터에서 공인인증서 개인키를 가져간다면 ???
2. 공인인증서와 보안구조
공인인증서의 문제점
2. 인증기관 독과점 • 현재 국제 표준에 미치지 못하는 개발 당시의 암호화 기술
• 저장위치의 보안 취약성
한국전자인증
한국무역정보통신
한국정보인증 금융결제원
코스콤
2. 공인인증서와 보안구조
공인인증서의 문제점
• 현재 국제 표준에 미치지 못하는 개발 당시의 암호화 기술
• 저장위치의 보안 취약성
3. 바젤 협약 위반
“ 국가는 특정 기술을 강요하지 않아야 하고 금융기관이 반드시 선택해야 한다 “ (제4원칙)
2. 공인인증서와 보안구조
24.26% 4월
17.87% 1월
74.43% 4월
79.77% 1월
공인인증서의 문제점
4. 호환성
Active X 기반의 공인인증서를 사용하기 위해 IE의 사용은 불가피했다
2013년 기준. 글로벌 정보기술 시장조사업체 스탯카운터 조사
2. 공인인증서와 보안구조
22
23
3. Active X Active X
인터넷 익스플로러(IE)에서만 사용 가능 Plug In 한 종류
Plug In 웹 브라우저 성능 보조 & 강화
암호화, 멀티미디어 재생이 가능해짐
3. ActiveX, 그리고 문제점
24
Active X 한국 공인인증서의 진짜 문제점
25
Active X 한국 공인인증서의 진짜 문제점
YES Man!?
플러그인 설치의 역설적 문제점
컴퓨터 성능저하 원인
제한된 웹 사용 환경 초래
보안 취약
26
Active X 한국 공인인증서의 진짜 문제점
구글 ‘크롬 NPAPI 사용중지’
모질라 ‘파이어폭스 NPAPI 제거 공지’
정부 홈페이지, 인터넷 뱅킹, 동영상 스트리밍, 웹하드….. ‘Active X 설치 필수’
한국은?
4.대안
일회용비밀번호 OTP 방식
페이 게이트 금액인증방식
LG CNS 엠페이(Mpay)
이베이 페이팔
1분마다 새로운 비밀번호 생성 →1등급 보안매체
유료 이용, 큰 부피 보관 문제점
(금융기관-판매자-구매자) 거래금액이 암호가 되어, 세 곳 모두 일치할 경우 결제 이루어짐
카드정보, 인증번호는 한번만 입력-application 기반
< 30만원 미만의 전자금융에만 사용 >
개인 금융정보 등록 → 아이디, 비밀번호 발급 → 로그인만 하면 언제 어디서든 결제 가능
개인정보 수정이 번거로움, 거래과정에서의 수수료
4.대안
아마존 ‘원클릭’
29
ActiveX 없는 안전한 웹 환경
HTML5
기존 텍스트와 하이퍼링크만 표시하던 HTML 형태에서 플러그인 설치 없이 멀티미디어, 보안시스템 등 다양한 애플리케이션 표현 제공
4.대안
기존 HTML
텍스트 …
HTML
HTML 비디오, 오디오,
파일처리, 공인인증서…
확장기능 (비표준 영역)
ActiveX등 플러그인 설치
별도 프로그램
IE, FireFox, Safari, Chrome….
브라우저
HTML5
IE, FireFox, Safari, Chrome….
브라우저
텍스트 기존 비표준 영역 (오디오, 비디오, 파일처리 등)
Html5보러가기
5. 향후 전망
점진적 정부(금융감독원) 규제 철폐
민간 시장 개방
논(non) 플러그인 웹 기술에 주목
보안관리 투명성 확보
정기적인 감사 실시
Q & A
보안이 되지 않아 해킹 당했던 경험담, 그때 어떻게 대처했는지 등 자신의 경험담
Group Work
참고자료 및 출처 용어 참조 및 개념 인용
보안 [security, 保安] (산업안전대사전, 2004.5.10, 도서출판 골드)
정보보안 [Information Security] (공학 – 학문명백과, 형설출판사)
전자상거래 [electronic commercel] (두산백과)
SSL [Secure Sockets Layer] (IT용어사전, 한국정보통신기술협회)
SSL (컴퓨터인터넷 IT용어대사전, 2011.1.20, 일진사)
복호화 [decoding, descrambling, 復號化] (용어해설)
키스트로크 [keystroke] (IT용어사전, 한국정보통신기술협회)
HTTP [hypertext transfer protocol] (두산백과)
대칭형암호화방식 [Symmetric Cryptosystem] (매일경제, 매경닷컴)
비대칭형암호화방식 [Asymmetric Cryptosystem] (매일경제, 매경닷컴)
액티브X (위키백과)
HTTPS (위키백과)
PKI (public key infrastructure) ; 공개키 기반구조 , http://www.terms.co.kr/PKI.htm
논문 서적 및 학술지 자료
이정현, 『스마트 환경에서의 공인인증서 활용과 문제점』, Internet & Security Focus, (2013년 3월)
정기석, 『전자금융거래시 공인인증서 의무사용 개선방안에 관한 연구』, 융합보안 논문지 제13권 제6호 (2013)
정철현, 『PKI전자서명과 인증제도』, 2003,
참고자료 및 출처
웹사이트 포스팅 블로그
악성봇/알기 쉬운 정보보호/KISA 보호나라 http://www.boho.or.kr/kor/protect/protect_05.jsp
‘HTTP 대 HTTPS : 뭐가다른가?’ http://misako.co.kr/articles/HttpVSHttps.aspx
TechNet ‘공개 키 암호화 이해’
http://technet.microsoft.com/ko-kr/library/aa998077(v=exchg.65).aspx
의미하나, ‘공인인증서 저장위치, 개념을 알면 ok!’ http://meaningone.tistory.com/137
윤 코 치 의 특 별 한 상 상 , ‘ 공 인 인 증 서 의 4 대 기 능 ( 신 원 확 인 , 무 결 성 , 기 밀 성 , 부 인 방 지 )’
http://yoon2848.blog.me/130168590516
오픈웹, 이른바 “부인방지” 기능? , http://openweb.or.kr/?p=6598
신문기사
‘ 페 이 게 이 트 , 표 준 보 안 ‘PCI-DSS 버 전 2.0 레 벨 1 인 증 ’ 통 과 ’, <CCTV 뉴 스 > 2014 년 02 월 14 일 ,
http://www.cctvnews.co.kr/atl/view.asp?a_id=7760
공인인증서 대체 수단 ‘만지작’, <etnews.com>, 2014/4/6 http://www.etnews.com/20140406000008
인 터 넷 공 인 인 증 서 의 무 폐 지 … 무 엇 으 로 대 체 하 나 ? , < 조 세 일 보 > 2014/05/19
http://www.joseilbo.com/news/htmls/2014/05/20140519220627.html
[ 뉴 스 와 현 장 ] 액 티 브 X, 이 게 최 선 입 니 까 , < 국 제 신 문 >, 2013/06/23
http://www.kookje.co.kr/news2011/asp/newsbody.asp?code=1700&key=20130624.22026194421
공인인증서 폐지, 그 이후, <M이코노믹 뉴스>, 2014/05/06
http://www.m-economynews.com/news/article.html?no=8536
참고자료 및 출처 ‘반쪽’ 개인 정보보호…’숙제’남은 처벌 법안, <머니투데이 뉴스>. 2014/05/16
http://www.mt.co.kr/view/mtview.php?type=1&no=2014050114377646176&outlink=1
[정보안전지킴이]쉽고 안전한 모바일결제 LG CNS '엠페이', <아시아경제>, 2014/03/28
http://view.asiae.co.kr/news/view.htm?idxno=2014032716181180987
원클릭·페이팔, 어떻게 편하고 안전하지?,<지디넷코리아>, 2014/05/05
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140430115645&type=xml
카드사 정보유출로 보안위협 세계 5위 오명, <지디넷코리아>, 2014/03/27
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140327114644&type=det
'카드사 고객정보 유출'…전세계 3위 규모,<아시아경제>, 2014/02/06
http://www.asiae.co.kr/news/view.htm?idxno=2014020607013654137
시중은행 공인인증서 7000여개 유출로 폐기, 예방법은? <경향 비즈n라이프>, 2014/05/12
http://bizn.khan.co.kr/khan_art_view.html?artid=201405121600221&code=930100&med=khan
‘소프트웨어 크리덴셜’로 강력한 이중 인증 구현, <데이터넷>, 2013/11/06
http://www.datanet.co.kr/news/articleView.html?idxno=69285
“공인인증 15년이 보이스피싱 천국 만들었다”, <블로터닷넷>, 2014/02/28
http://www.bloter.net/archives/183014
여 전 히 사 용 되 는 공 인 인 증 서 왜 ?, < 비 즈 한 국 >, 2014.05.23
http://biz.hankooki.com/lpage/economy/201405/d20140523083153135880.htm