Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

창조경제 핵심과제 공인인증서와 인터넷 개방성

창조경제연구회 이사장 벤처기업협회 명예회장

K A I S T 초빙교수

인터넷 갈라파고스로부터의 탈피

이민화

© 2013 (사)창조경제연구회(KCERN). All Rights Reserved.

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

지난 포럼의 성과: 9월 창업자 연대보증

▶9/24 제1차 공개포럼

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

지난 포럼의 성과: 10월 M&A 혁신시장

벤처 창업에 대핚 초기 자금 지원을 융자에서 투자 중심으로 바꾸고, 선배 기업인들의 엔젤투자와 M&A를 비롯핚 재투자가 더욱 확대되며 멘토링이 활발해질 수 있도록 정책적 노력을 기울여가겠습니다.

두려움 없이 창업하고, 실패해도 다시 도전해서 성공핛 수 있도록 창업자 연대보증 면제 제도도 더욱 확대해 나갈 것입니다.

대통령님의 화답(12.4일 벤처대전)

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

지난 포럼의 성과: 11월 정부3.0

▶11/26 제3차 공개포럼

안전행정부

미래창조과학부

직접 민주제의 코스트가 커서 간접을 해왔는

데, 앞으로는 효율성과 민주성을 더 찾다보면

직접 민주제도 가능핛 것 같다.

보다 나은 정부3.0이 만들어질 것이다.

모든 발제 내용에 전적으로 공감을 많이 하고,

정부3.0 추짂에 있어서도 적극 반영하겠다.

민간 협치 거버넌스 정말 중요하다. 국민참여

확대를 대폭 상승시킬 것이다.

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

지난 포럼의 성과: 12월 기업가정신

미래부&국방부

국방부는 4일 “국방과학 분야 이공계 우수인재와

최정예 정보보호 전문인력의 양성과 군 복무, 전

역 후 취업과 창업을 연계하는 프로그램을 운영

할 방침”이라며 “우수인재의 선발·양성·활용의 전

과정에서 미래부와 협업하기로 했다”고 밝혔다.

교육부

청소년에게 창업 정싞을 심어주기 위해 기업가

정싞, 과학·기술 경영, 짂로 교육 등으로 구성된

과학기술 창업교육 패키지 프로그램을 올해 과학

영재학교에 도입핚다. 내년에는 과학고에도 같은

프로그램을 도입하고 2016년 일반고로 확산핛

계획이다.

▶12/17 제4차 공개포럼

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

공인인증서의 시작

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

공인인증서 잔혹사

웹 브라우저 암호화 강도 미국 내: 128bit 미국 외: 40bit로 제한

당시 웹 브라우저, 보앆 기능 취약

Plugin 방식(Active x) 도입

보앆 모듈 자체개발

90년대 말

128bit 보앆 모듈 자체 개발 성공

브라우저에 심기위한 방법은?

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

진화의 함정, 갈라파고스화

미국 정부 암호기술 수출 허용 1999년 말

웹 브라우저, 128bit 보앆 내장 (플러그인 방식 불필요)

2000년

Active x 방식 고집

지금의 공인인증서

BUT

cf) WIPI로 iPhone 도입지연 갈라파고스화

2009.6.12

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

비정상의 정상화 금융보안의 원칙

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

한국 금융보안의 문제

금융보앆 사용자 보앆 서버 보앆

플러그인의 취약성

공인인증서

보관방법

특정 브라우저 종속성

서버인증 부재

서버관리 취약

암호화

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

안전하지 않은 불편 #1 - 사용자보안 -

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

사용자보안

플러그인의 취약성

공인인증서 보관방법

특정 브라우저 종속성

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

플러그인의 취약성

Plugin 웹 브라우저가 할 수 없는 기능을 대싞 해주는 어플리케이션 외부의 프로그램이 들어올 수 있는 통로

보앆의 취약점(악성코드, 멀웨어)

개인 PC

인터넷

웹 브라우저 Plugin

자료: 김인성, 도난당한 패스워드

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

가장 위험한 플러그인, Active X

웹 프로그램

JAVA 가상머싞

PC

웹 프로그램

PC

Active X JAVA 애플릿

PC 보호

JAVA에 비해 빠르나 위험

ActiveX를 보앆과 같이 시스템 레벨에서 사용하는 것은 지양되어야 합니다. 128bit SSL을 비롯한 표준화된 읶증 체제, 그리고 암호 발생기 등 다양한 보앆 솔루션을 국가적 차원에서 열릮 자세로 수용하여, 다양한 플랫폼에서 기 구현

되고 검증된 인프라를 홗용하도록 하는 것이 바람직합니다. 현재 Internet Explorer는 세계 표준적 보앆 기능을 내장하고 있고, 세계 각국의 은행들은 브라우저 내장의 보앆 기능을 홗용하고 있습니다.

X

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

특정 브라우저 종속성 한국 웹 브라우저 점유율 젂세계 웹 브라우저 점유율

특정 브라우저에 종속 글로벌 호홖성 제한

크롬

IE IE 크롬

먻티플랫폼

자료: 스탯카운터

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

공인인증서 보관방법

한국 공읶읶증서 NPKI 폴더

IE, Chrome, Firefox 등 key chain 등

카피가 쉬움

인증서 대량 유출

카피가 어려움

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

안전하지 않은 불편 #2 - 서버보안 -

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

서버보안

서버인증 부재

서버관리 취약

암호화

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

서버인증과 암호화(SSL)

국제표준(SSL) 미준수 피싱 + 파밍

서버인증 암호화

SSL

*SSL: Secure Socket Layer

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

서버인증 부재

HTTPSecure

서버읶증 이용자가 자싞을 증명하는 인증방법을 사용하는 것처럼 서버 역시 자싞을 증명해야 함

한국은 서버인증 개념 부족

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

자료: 김인성, 도난당한 패스워드

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

서버관리 취약

서버관리 원칙 암호화 + 역할 분할 + 기록 관리 + 감사

1인 유출 방지 시스템

서버관리 취약 금융기관, 규정만 지키면 면책

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

지금 우리는? - 빨간 모자와 늑대 -

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

서버 비인증거래

http://..

? 상호인증을 하지 않은 채 거래

X

공인인증서

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

인터넷 보안의식 저하

묻지도 따지지도 않고 „예‟

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

인터넷 보안수준 저하

사용자 PC의 보앆레벨 낮춤 악성코드의 천국

악성코드

악성코드

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

보안만이 문제인가?

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

온라인 해외직구의 급증

자료: 이데일리(2014.2.19)

갂편한 결제의 해외직구 외국인은 사용할 수 없는 국내 온라인 쇼핑

자료: 노컷뉴스(2014..15)

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

온라인 B2C 역조

대한민국 외국

쉬운 해외직구

어려운 해외직판

공읶읶증서

알리익스프레스 원클릭 페이팔

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

인터넷 기술 선진국? 스마트폰 1위 LTE 1위 인터넷 속도 1위

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

인터넷 기술 선진국?

서버 클라이언트

금융회사

서버인증 부재

사용자

Active X 과용

보앆의식 저하 피싱, 파밍

보앆레벨 감소

인터넷 보앆 후짂국

표준 비준수

갈라파고스

온라인 B2C 역조

서버보앆 취약

서버관리 부재

해킹 유출

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

문제는 기술이 아니라 제도다

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

인증방법의 국제표준

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

바젤 협약

핵심내용

“젂자금융거래, 기술의 짂보에 상응하여 지속적으로 대처할 사앆

획읷적 해법(one size fits all)으로 대처할 문제가 아님

은행의 기술 선택권, PIN, 암호, 스마트카드, 생체정보 , 디지털인증서 등을 포함한 다양한 인증 기법을 사용 가능

은행이 스스로 결정(must determine)해야 한다.”

http://www.bis.org/publ/bcbs98.pdf

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

창과 방패의 싸움

실시갂 짂화

보앆을 뚫는 기술 보앆을 지키는 기술 정부 규제, 늦장대응

탈 규제로 실시갂 대응력 증짂

금융사고에 대한 젂폭적 책임

• 현재, 금감원 규제만 충족하면 면책

• 앞으로 금융기관이 스스로 보앆 강화

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

은행의 기술 선택권

• “PIN, 암호, 스마트카드, 생체정보 , 디지털인증서 등을 포함한 다양한 인증 기법을 사용” – 바젤협약

• 글로벌 젂자금융 방법들

– SSL + OTP

– 페이먺트 게이트; 페이팔, 알리페이

– 아마졲 원클릭

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

금융의 다양성

중요도에 따른 다양한 보앆 방법 필요

앆젂

위험

편리 불편

공인 인증서

싞금융 기회

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

해외 사례

애플 앱 스토어/구글 플레이 스토어 싞용카드를 한번만 등록하면 이후 물품 구입 시 계정 비번을 묻거나 또는 아무것도 묻지 않음.

페이팔 미리 싞용카드를 등록(등록 과정이 까다로움)

등록 후에는 물품구매, 송금 등에서 계정, 비번만 알면 됨

아마존 카드를 미리 등록하여 원클릭으로 구매가능.

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

해외 인터넷 뱅킹 현황

국가 은행 인증매체 암호화

방식 비고

미국

Bank of America(BOA) - 문답식 로그인 인증

- SMS OTP카드 OPT

EV

SSL 백싞 제공

City Bank - 이메일을 통한 Secure

Authorization Code SSL

US Bank - 문답식 로그인 인증 SSL

영국

Barclays Bank - 스마트카드 리더기 OTP SSL 백싞 제공

Royal Bank of Scotland - 스마트카드 리더기 OTP SSL 개인

방화벽 제공

네덜란

드

ABN-AMRO Bank - 인터넷뱅킹 젂용 단말기 SSL

SNS Bank - 토큰 OTP SSL

RABO Bank - 토큰 OTP SSL

호주

Bank of Qeensland(BOQ) - 토큰 OTP SSL

계좌번호 및

이체금액을 추

가 입력

Commonwealth Bank - 토큰 OTP(기업고객) SSL

ANZ Bank - 토큰 OTP(기업고객) SSL

국가 은행 인증매체 암호화

방식 비고

싱가

포르

DBS Bank - 토큰 OTP SSL

United Overseas Bank

(UOB)

- 토큰 OTP

- SMS OTP

EV

SSL

OCBC Bank

- 마우스입력기

- 토큰 OTP

- SMS OTP

- Mobile OTP

SSL

중국

공상은행

- USB키 인증서

- 보앆카드

- SMS 인증

SSL

바이러스백싞

키보드보앆프로그램

CAPTCHA 제공

건설은행

- USB키 인증서

- 보앆카드

- SMS OTP

SSL

마우스입력기

(가상키보드)

CAPTCHA 제공

중국은행 - OTP

- 개인인증서 SSL

키보드보앆프로그램

제공

말레

이시

아

RHB Bank - 보앆카드 + SMS OTP SSL 마우스입력기

(가상키보드) 제공

Maybank

- SMS OTP

- ATM OTP

- Telebanking OTP

SSL

AmBank - SMS OTP

- Telebanking OTP SSL

젂세계 95%가 OTP+SSL 사용 출처:금융보앆연구원

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

NIST: 전자 인증 가이드라인

한국의 공인인증서

SF 인증서들

인증서 + 보앆카드

자료: 이종걸 의원실, 젂자금융거래법 개정법앆에 대한 젂문위원 검토보고서 분석

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

한국의 사례

피자 한판 먹는데 사용되는 Active x: 3개

분명 설치했는데.. 재설치 팝업

피자H, 인터넷 주문

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

1차 공인인증서 개혁

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

2010년 1차 공인인증서 개혁

호민관실에서 시작한 1차 공인인증서 개혁

- 5개월갂 금융위, 행앆부와 치열한 논쟁

- 총리실, 공인인증 강제규제 철폐

- 위원회 통해서 다른 인증방법 허용

읶증방법 평가위원회 설립

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

인증방법 평가위원회

젂자금융거래법

시행령

시행세칙

금융감독원 감독규정

금융감독원 감독규정 시행세칙

인증방법 평가위원회 규정 포함

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

2010년, 설립 이후

30만원 이하의 거래

공인인증서 비사용 거래방법 2가지 추가 인증

(원래부터 30만원 이하의 거래는 공인인증서가 필요가 없다.)

사실상 규제가 늘어난 것

결과적으로 새로운 읶증방법을 추가하지 않음

2차 젂자금융규제 개혁

읶증방법 평가위원회의 성과

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

2차 전자금융거래 개혁

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

대안과 보완책

젂자금융거래법 일부개정

인증방법 평가위원회 혁싞

대앆

공읶읶증서 브라우저 내장

보완책

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

전자금융거래법 일부개정법률안

금융위원회는 젂자금융거래의 앆젂성과 싞뢰성을 확보하기 위하여 「젂자서명법」 제2조 제8호의 공읶읶증서의 사용 등 읶증방법에 대하여 필요한 기준을 정할 수 있다.

금융위원회는 젂 항의 기준을 정함에 있어서 보앆기술과 인증기술의 공정한 경쟁을 저해하거나, 특정기술 또는 서비스의 사용을 강제하여서는 아니된다.

젂자금융거래법 제21조 제3항

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

인증방법 평가위원회 혁신

금융위원회

금융감독원

읶증방법 평가위원회

금융위원회

금융감독원

읶증방법 평가위원회

규제부처가 규제를 해결하기 힘들다

평가위원회를 금감원으로부터 분리 미래부, 앆행부 혹은 민갂단체로

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

공인인증서 브라우저 내장

Non-Plugin 방식

자료: 오픈넷, https://openweb.or.kr/html5/#sthash.cM20LB1p.dpuf

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

페이먼트 게이트 방식

자료: 이동산

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

갈라파고스로부터의 탈피

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

박근혜 대통령 공약

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

요약

•인증방법 평가위원회를 금융감독원으로부터 분리

•전자금융거래법 일부개정안 통과

•OTP+SSL 와 같은 기술 도입

•인증기술 및 보안기술, 독점체제에서 경쟁구도로

다양핚 인증기술, 보안기술의 도입

•MS도 사용하지 않을 것을 권장한 Active x

•JAVA 등의 다른 Plugin 방식 역시 취약

•HTML5와 같은 Non-Plugin 기술 사용

Plugin 방식에서 Non-Plugin 방식으로

•암호화 + 서버인증 (SSL)

•서버관리, 업무의 분할과 통제 (카드대란의 원인)

서버 보안의 강화

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

예상 시나리오

다양한

인증방법

허용(SSL

+OTP 등)

금융기관의

자율과 책임

(바젤협약)

Active x

대체

보앆의식,

보앆레벨

강화

인터넷

선짂국화

글로벌

B2C 강국

Lee Min Hwa Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

(아래는 본 포럼에 도움을 주싞 기관들 입니다.)

인터넷기업협회 벤처기업협회 소프트웨어협회 엔젤투자협회

이노비즈협회 프리보드기업협회 여성벤처협회 소호짂흥협회

감 사 합 니 다

(사)창조경제연구회(KCERN) http://www.kcern.org