(c) Byoungcheon Lee, Joongbu Univ. 1

인증 (Authentication)2010. 11.중부대학교 정보보호학과이병천 교수

전자상거래보안

(c) Byoungcheon Lee, Joongbu Univ. 2

목 차 1. 인증이란 ? 2. 인증의 종류 3. 인증수단의 종류 4. 최신 인증기술 5. 암호학적 인증기법 6. 무선랜 인증

1. 인증이란 ? 인증이란 ?

◦ 인증을 하고자 하는 주체 (Subject) 에 대해 식별(Identification) 을 수행하고 , 이에 대한 인증(Authentication & Authorization) 서비스를 제공하는 시스템

인증기술의 역할◦ 원격지에 있는 사용자의 신원확인 기능◦ 송수신자간 전송되는 통신내역의 무결성을 보장하는 기능◦ 사용자의 통신내역에 대한 부인방지기능

3 / 50

인증시스템 사례 컴퓨터 로그인

◦ 부팅시 로그인 - 관리자 , 사용자 ◦ 화면보호기 ◦ 원격 로그인

서비스 로그인 ◦ 포털사이트 로그인 ◦ 업무 서비스 로그인

어플리케이션 로그인◦ 전자결제 , 인터넷뱅킹 등 공인인증서 활용

4 / 50

2. 인증의 종류 사용자 인증 (Identification)

◦ 사용자의 신원을 확인하고 인증 메시지 인증 (Message Authentication)

◦ 메시지가 특정 사용자에 의해 만들어졌음을 인증 ◦ Message Authentication Code, 전자서명

5 / 50

인증의 세가지 접근방법 Something You Know

◦ 사용자가 기억하는 지식을 이용◦ 사례 : 패스워드 , PIN 등

Something You Are◦ 생체조직 (Biometrics) 을 통한 인증◦ 사례 : 지문 , 손모양 , 망막 , 홍채 , 서명 , 키보드 , 목소리 , 얼굴

Something You Have◦ 사용자가 소유한 인증 수단을 이용해 인증을 수행◦ 사례 : 스마트키 , 스마트카드 , 신분증 , 인터넷뱅킹 카드와 OTP, 공인인증서 등 ◦ Something You Have 는 다른 사람이 쉽게 도용할 수 있기 때문에 단독으로 쓰이지 않고 , 일반적으로 Something You Know 나

Something You Are 와 함께 쓰임 .

6 / 50

멀티팩터 인증 하나의 인증수단 만으로는 취약성이 있는 경우 두 가지 이상의 서로 다른 인증 수단을 함께 사용하는 방법 신분증

◦ 학생증 , 주민등록증 , 운전면허증 등 ◦ 본인임을 확인하기 위해 얼굴을 대조하므로 신분증은 Something

You Have 와 Something You Are 둘 다를 인증 수단으로 이용 .

인터넷 뱅킹 ◦ 인터넷뱅킹시 인증서와 함께 보안카드나 OTP 를 병행 사용 ◦ 서명시 비밀키 접근암호 이용 인터넷뱅킹에 사용되는 OTP

7 / 50

거래이용수단과 보안등급 국내 인증기술 적용 현황

공인인증서◦ 신뢰된 공인인증기관이 발행하는 인증문서 ◦ 일종의 전자금융거래용 인감증명서 ◦ 사용자의 신원확인 , 거래 내역에 대한 위변조 방지 , 거래사실의 부인방지에 사용 ◦ 2010 년말 현재 2,371 만건의 인증서 발급 . 경제활동 인구의 90% 이상이 사용

3. 인증수단의 종류

OTP(One time password) 발생기 ◦ 고정된 비밀번호 대신 사용되는 매번 새롭게 바뀌는 일회용 비밀번호

인증수단의 종류

보안카드◦ 35 개 이내의 난수가 적혀진 카드 ◦ 전자금융 거래시 사용자가 카드에 인쇄된 번호를 직접 입력하고 , 응답번호와 일치여부를 판단하여 전자금융거래를 수행

인증수단의 종류

HSM(Hardware Security Module)◦ 전자서명 생성키 등 비밀정보를 안전하게 저장 · 보관 및 키생성 , 전자서명 생성 등이 기기 내부에서 처리되도록 구현된 스마트 칩을 내장한 하드웨어 모듈◦ 일반 USB 메모리스틱처럼 PC 의 USB 슬롯에 연결하여 사용◦ 연산장치와 메모리 등이 포함된 스마트카드 칩을 탑재해 전자서명과 암호화 등 모든 프로세스가 매체 내부에서 이루어지기 때문에 PC 에 설치된 해킹 프로그램이나 악성코드를 통해서 HSM 내부에 저장된 비밀정보에 접근할 수 없음

인증수단의 종류

2 채널 인증 ◦ 전자금융거래 채널 이외에 거래승인을 위한 채널을 분리하여 이용하는 기술

인증수단의 종류

휴대폰 SMS( 거래내역통보 )◦ 인터넷뱅킹 , 텔레뱅킹 등의 전자금융 서비스를 이용한 자금이체내역을 휴대폰으로 통지하는 서비스◦ 사용자의 주요거래 또는 중요통지사항을 사후에 실시간으로 알려주는 방식이다 .

인증수단의 종류

바이오 인증 ◦ 지문인식기술은 인터넷뱅킹 접속 시 또는 자금 이체 시 지문정보를 이용하여 인증을 수행하며 , 복제 및 해킹 위험이 적음 ◦ 바이오인증은 바이오 인식기기의 보급 및 사용자의 인식 등의 문제로 거의 사용되고 있지 않음◦ 우리은행에서 바이오인증을 유일하게 적용하고 있음

인증수단의 종류

바이오 인증 절차 인증수단의 종류

인증기술의 발전 흐름

인증

기술

ID 관리기술

바이오, 토큰, PKI 스마트 인증

~’09 : PKI, IDM ‘10~’14 : 스마트 인증 ‘15~ : 3C인증

Wearable, Hands-free 인증

Federated ID Cloud ID

User Centric ID

Centralized ID

IAM LibertySAML OpenID Microsoft

Cardspace O-AUTH WEB-ID

Multi-factor 인증 3C 인증

Implant인증

유니버설 인증Multi-channel 인증

PKI OTP SMS, ARS 인증

QR코드인증

NFC 기반인증

그림인증

3C 인증 : Contextual, Cognitive, Continuous 인증 기술의 총칭 Implant 인증 : 신체에 임플란트된 장치를 통해 이용자를 인증 Wearable 인증 : 웨어러블 장치를 이용해 인증 Hands-free 인증 : 하이패스처럼 , 소지만 하고 있으면 별도의 동작 없이 인증 Multi-factor 인증 : 두 개 이상의 인증 수단을 동시에 사용하여 인증 강화 Multi-channel 인증 : PC 에서 사용 시 , 휴대폰을 통해 추가 인증하는 식으로 다른 채널을 통해 인증을 강화 유니버설 인증 : 바이오 , 토큰 , 패턴 등 다양한 인증을 사용할 수 있는 인증 프레임

용어 설명

USIM OTP 인증기술 ◦ 스마트폰에 탑재되는 USIM 은 IC 칩과 동일한 물리적 보안성을 제공할 수 있고 다양한 응용 애플릿을 탑재가 가능하여 , 다양한 인증기술을 USIM 에 구현이 가능◦ OTP 발생기 휴대에 따른 불편함을 해소하여 사용자 편의성을 높임

4. 최신 인증기술

최신 인증기술

USIM OTP 발급과정

USIM OTP 인증과정

PKI 서명센터 ◦ 현재 PKI 구조에서는 공격자가 사용자의 로컬 PC 에 저장되어 있는 개인키 , 인증서와 함께 개인 키 접근을 위한 비밀번호를 탈취하여 전자서명을 할 수 있는 취약점이 존재◦ PKI 서명센터 구조에서는 사용자의 개인키 및 인증서 관리시스템인 중앙 PKI 서명센터를 설치하고 , 가입된 모든 사용자의 개인키와 인증서를 중앙 PKI 서명센터에 저장함으로써 , 사용자 PC 보다 상대적으로 안전하게 관리가 가능하여 인증서의 관리적 문제를 해결 가능

최신 인증기술

최신 인증기술 PKI 서명센터 구성도

인증절차 최신 인증기술

스마트채널 인증기술 (ETRI)◦ 로그인 , 전자서명 , 카드결제 같이 보안이 중요한 기능과 인증서 , 신용카드 , 비밀 번호 등 중요 정보가 있어야 하는 기능은 모두 스마트폰으로 보내서 하는 개념◦ PC 에 ActiveX 등 브라우저 부가프로그램 설치 불필요◦ 인증서는 스마트폰에만 저장

최신 인증기술

스마트채널 인증기술 (ETRI)

최신 인증기술

결제 화면

QR 코드

스마트폰으로 결제내역 서명

26

FIDO (Fast IDentity Online)패스워드 사용 않는 온라인 인증 규격

Fast IDentity Online

FIDO 는 안전하고 사용이 쉬운 인증 시스템을 제공하기 위한 개방형 표준을 개발하는 단체로 온라인 인증을 강화하기 위해 설립 (‛13.2 월 )

FIDO 는 취약한 패스워드 방식 대신 상대적으로 탈취가 어려운 생체정보 활용 및 TPM, USB 보안토큰 , NFC 등의 대체인증수단 사용

FIDO 란 ?

연혁◦ 2012 년 여름 , 결성 (2013 년 2 월 정식으로 출범 )◦ 2013 년 4 월 , Google 가입◦ 2014 년 2 월 , FIDO Spec 초안 발표◦ 2014 년 말 , FIDO Spec 1.0 완성 예정

현황◦ 구글 , MS, 페이팔 , 마스터카드 , 레노버 , 알리바바 , LG

전자 등 140 개 업체가 참여◦ 국내에서는 삼성전자 , 크루셜텍이 보드멤버로 활동하고

삼성 SDS, LG 전자 , ETRI 등이 멤버로 참여◦ 삼성전자는 페이팔과 제휴하여 갤럭시 S5 에 지문으로

인증하여 페이팔 결제

FIDO 현황

FIDO 개념도

• 이용자 단말과 서버 간 인증은 공개키 기반 인증• 이용자 단말 내의 비밀키에 대한 접근은 바이오 , H/W 토큰 , 패턴과 같이 다양한 수단을 적용

FIDO 개념도 지문

스마트폰 서비스 제공자

① 인증장치 등록 요청② 로컬인증③ 공개키 등록

지문서비스 제공자

① 인증 요청② 로컬인증③ 전자서명

스마트폰

<사용자 등록 >

<사용자 인증 >

배경◦ 강력 보안이 필요한 주요자원 접근 또는 금융결제 시마다 동일

· 복잡한 인증수단을 반복적으로 제시하는 불편이 있음 관련동향

◦ 애플 , 페이팔은 비콘 (Beacon) 기반 핸즈프리 결제 및 응용 서비스를 제안하고 상용 연구 진행 중※ 핸즈프리 결제 : 플라스틱카드 , 모바일카드 등 기존 결제수단을 판매자에게 제시하지 않고 , 매장 내 설치된 비콘 단말과 사용자 스마트폰을 통해 자동 체크인 및 결제

핸즈프리 인증

스마트폰이 주변 환경을 수집 · 분석하여 필요한 인증 정보를 자동으로 제출하면 , 하이패스처럼 이용자 개입없이 출입통제 , PC 사용자 인증 등 온 · 오프라인을 중단없이 통합 인증 명시적 사용자 인증절차가 없어 , 수행 작업을 방해하지 않고도 강력하고 편리한 온오프라인 심리스 (seamless) 인증

핸즈프리 인증

핸즈프리 결제 서비스

(1) 보안체크인

(2)

(3) 핸즈프리 결제

(2) 네(3) 결제가

완료되었습니다

(1) 핸즈프리결제 ?

보안체크인 - 확인 사용자가 POS 에 근접하면 해당 고객 맞춤정보를 화면에 출력

거래 의사 표현 만으로 또는 간단한 확인절차로 결제비컨 기반 서비스

입구에서 체크인하면사용자 맞춤정보가POS 에 전달

5. 암호학적 인증 기법 패스워드 기반 (Weak Authentication)

◦ crypt passwd under UNIX◦ one-time password

도전 - 응답 기법 (Strong Authentication) ◦질문에 대해 정확한 대답을 할 수 있어야 인증 ◦ 대칭키암호 , 해쉬함수 , 비대칭키암호 이용

암호 프로토콜 이용 ◦ Fiat-Shamir identification protocol◦ Schnorr identification protocol

패스워드를 이용한 인증

passwd, Apasswd table

Ah(passwd)

Prover Verifier

passwd

h=

A

yaccept

n

rejectSniffing attack Replay attack - Static password

S/Key (One-time Password)

1. login ID

2. N

4. XN

Client

Hash function f()pass-phrase S

Initial Setup

3. compute fN(S) = XN

Host

Compute f(s), f(f(S)),....,X1,X2,X3, ...,XN

store XN+1

Hash function f()pass-phrase S

5. compute f(XN) = XN+1

6. compare

7. store

Schnorr Identification log mod , (Y mod )x

gx Y p g p

pgR

Ztt

qR

mod

*

*qR Zu

quxtw mod

pYgR uw mod?

R

u

w

Commitment

Challenge

Response

Prover Verifier

WEP(Wired Equivalent Privacy)◦ 무선랜 통신을 암호화하기 위해 802.11b 프로토콜부터 적용◦ 1987 년에 만들어진 RC4 암호화 알고리즘을 기본으로 사용

6. 무선랜 인증

RADIUS 와 802.1X 를 이용한 무선랜 인증

싱글사인온 Single Sign On(SSO)

◦ 모든 인증을 하나의 시스템에서 . 시스템이 몇 대가 되어도 하나의 시스템에서 인증에 성공하면 다른 시스템에 대한 접근 권한도 모두 얻음 .◦ 이러한 접속 형태의 대표적인 인증 방법으로는 커버로스

(Kerberos) 를 이용한 윈도우의 액티브 디렉토리가 있음 .

인증의 범위 확장 서버별 인증

◦ 서버별 사용자 등록◦ 사용자가 각기 다른 아이디 , 패스워드 관리 필요

조직 내 인증 ◦싱글사인온 . 한번의 사용자 등록으로 조직내 모든 서버에 인증 가능

공인인증 ◦ 제한 없는 인증 확장을 위해 공인인증이 필요 ◦ 공인인증서를 이용한 인터넷뱅킹 접속 ◦ 공인인증서와 공개키기반구조