인증 (Authentication) 2010. 11. 중부대학교 정보보호학과 이병천 교수 전자상거래보안 (c) Byoungcheon Lee, Joongbu Univ.
목 차 1. 인증이란? 2. 인증의 종류 3. 인증수단의 종류 4. 최신 인증기술 5. 암호학적 인증기법 6. 무선랜 인증 (c) Byoungcheon Lee, Joongbu Univ.
1. 인증이란? 인증이란? 인증을 하고자 하는 주체(Subject)에 대해 식별 (Identification)을 수행하고, 이에 대한 인증 (Authentication & Authorization) 서비스를 제공하는 시스템 인증기술의 역할 원격지에 있는 사용자의 신원확인 기능 송수신자간 전송되는 통신내역의 무결성을 보장하는 기 능 사용자의 통신내역에 대한 부인방지기능
인증시스템 사례 컴퓨터 로그인 서비스 로그인 어플리케이션 로그인 부팅시 로그인 - 관리자, 사용자 화면보호기 원격 로그인 포털사이트 로그인 업무 서비스 로그인 어플리케이션 로그인 전자결제, 인터넷뱅킹 등 공인인증서 활용
2. 인증의 종류 사용자 인증 (Identification) 메시지 인증 (Message Authentication) 사용자의 신원을 확인하고 인증 메시지 인증 (Message Authentication) 메시지가 특정 사용자에 의해 만들어졌음을 인증 Message Authentication Code, 전자서명
인증의 세가지 접근방법 Something You Know Something You Are Something You Have 사용자가 기억하는 지식을 이용 사례: 패스워드, PIN 등 Something You Are 생체조직(Biometrics)을 통한 인증 사례: 지문, 손모양, 망막, 홍채, 서명, 키보드, 목소리, 얼굴 Something You Have 사용자가 소유한 인증 수단을 이용해 인증을 수행 사례: 스마트키, 스마트카드, 신분증, 인터넷뱅킹 카드와 OTP, 공 인인증서 등 Something You Have는 다른 사람이 쉽게 도용할 수 있기 때문 에 단독으로 쓰이지 않고, 일반적으로 Something You Know나 Something You Are와 함께 쓰임.
멀티팩터 인증 하나의 인증수단 만으로는 취약성이 있는 경우 두 가지 이 상의 서로 다른 인증 수단을 함께 사용하는 방법 신분증 학생증, 주민등록증, 운전면허증 등 본인임을 확인하기 위해 얼굴을 대조하므로 신분증은 Something You Have와 Something You Are 둘 다를 인증 수단으로 이용. 인터넷 뱅킹 인터넷뱅킹시 인증서와 함께 보안카드나 OTP를 병행 사용 서명시 비밀키 접근암호 이용 인터넷뱅킹에 사용되는 OTP
국내 인증기술 적용 현황 거래이용수단과 보안등급
3. 인증수단의 종류 공인인증서 신뢰된 공인인증기관이 발행하는 인증문서 일종의 전자금융거래용 인감증명서 사용자의 신원확인, 거래 내역에 대한 위변조 방지, 거래 사실의 부인방지에 사용 2010년말 현재 2,371만건의 인증서 발급. 경제활동 인 구의 90% 이상이 사용
인증수단의 종류 OTP(One time password) 발생기 고정된 비밀번호 대신 사용되는 매번 새롭게 바뀌는 일회 용 비밀번호
인증수단의 종류 보안카드 35개 이내의 난수가 적혀진 카드 전자금융 거래시 사용자가 카드에 인쇄된 번호를 직접 입력하고, 응답번호와 일치여부를 판단하여 전자금융 거래를 수행
인증수단의 종류 HSM(Hardware Security Module) 전자서명 생성키 등 비밀정보를 안전하게 저장·보관 및 키생성, 전자서명 생성 등이 기기 내부에서 처리되도록 구현된 스마트 칩 을 내장한 하드웨어 모듈 일반 USB 메모리스틱처럼 PC의 USB슬롯에 연결하여 사용 연산장치와 메모리 등이 포함된 스마트카드 칩을 탑재해 전자서 명과 암호화 등 모든 프로세스가 매체 내부에서 이루어지기 때문 에 PC에 설치된 해킹 프로그램이나 악성코드를 통해서 HSM 내부 에 저장된 비밀정보에 접근할 수 없음
인증수단의 종류 2채널 인증 전자금융거래 채널 이외에 거래승인을 위한 채널을 분리 하여 이용하는 기술
인증수단의 종류 휴대폰 SMS(거래내역통보) 사용자의 주요거래 또는 중요통지사항을 사후에 실시 간으로 알려주는 방식이다. 인터넷뱅킹, 텔레뱅킹 등의 전자금융 서비스를 이용한 자 금이체내역을 휴대폰으로 통지하는 서비스 사용자의 주요거래 또는 중요통지사항을 사후에 실시 간으로 알려주는 방식이다.
인증수단의 종류 바이오 인증 바이오인증은 바이오 인식기기의 보급 및 사용자의 인 식 등의 문제로 거의 사용되고 있지 않음 지문인식기술은 인터넷뱅킹 접속 시 또는 자금 이체 시 지문정보를 이용하여 인증을 수행하며, 복제 및 해킹 위 험이 적음 바이오인증은 바이오 인식기기의 보급 및 사용자의 인 식 등의 문제로 거의 사용되고 있지 않음 우리은행에서 바이오인증을 유일하게 적용하고 있음
인증수단의 종류 바이오 인증 절차
인증기술의 발전 흐름
용어 설명 3C 인증 : Contextual, Cognitive, Continuous 인증 기술의 총칭 Implant 인증 : 신체에 임플란트된 장치를 통해 이용 자를 인증 Wearable 인증 : 웨어러블 장치를 이용해 인증 Hands-free 인증 : 하이패스처럼, 소지만 하고 있으면 별도의 동작 없이 인증 Multi-factor 인증 : 두 개 이상의 인증 수단을 동시에 사용하여 인증 강화 Multi-channel 인증 : PC에서 사용 시, 휴대폰을 통해 추가 인증하는 식으로 다른 채널을 통해 인증을 강화 유니버설 인증 : 바이오, 토큰, 패턴 등 다양한 인증을 사용할 수 있는 인증 프레임
4. 최신 인증기술 USIM OTP 인증기술 스마트폰에 탑재되는 USIM은 IC칩과 동일한 물리적 보안성을 제 공할 수 있고 다양한 응용 애플릿을 탑재가 가능하여, 다양한 인증 기술을 USIM에 구현이 가능 OTP발생기 휴대에 따른 불편함을 해소하여 사용자 편의성을 높임
최신 인증기술 USIM OTP 발급과정 USIM OTP 인증과정
최신 인증기술 PKI 서명센터 현재 PKI 구조에서는 공격자가 사용자의 로컬PC에 저장 되어 있는 개인키, 인증서와 함께 개인 키 접근을 위한 비 밀번호를 탈취하여 전자서명을 할 수 있는 취약점이 존재 PKI 서명센터 구조에서는 사용자의 개인키 및 인증서 관 리시스템인 중앙PKI 서명센터를 설치하고, 가입된 모든 사용자의 개인키와 인증서를 중앙PKI 서명센터에 저장함 으로써, 사용자PC보다 상대적으로 안전하게 관리가 가능 하여 인증서의 관리적 문제를 해결 가능
최신 인증기술 PKI 서명센터 구성도
최신 인증기술 인증절차
최신 인증기술 스마트채널 인증기술 (ETRI) 로그인, 전자서명, 카드결제 같이 보안이 중요한 기능 과 인증서, 신용카드, 비밀 번호 등 중요 정보가 있어야 하는 기능은 모두 스마트폰으로 보내서 하는 개념 PC에 ActiveX 등 브라우저 부가프로그램 설치 불필요 인증서는 스마트폰에만 저장
최신 인증기술 스마트채널 인증기술 (ETRI) QR코드 결제 화면 스마트폰으로 결제내역 서명
FIDO (Fast IDentity Online) 패스워드 사용 않는 온라인 인증 규격
FIDO란? Fast IDentity Online FIDO는 취약한 패스워드 방식 대신 상대적으로 탈취가 어려운 생체정보 활용 및 TPM, USB 보안토큰, NFC 등의 대체인증수단 사용
FIDO 현황 연혁 현황 2012년 여름, 결성 (2013년 2월 정식으로 출범) 2013년 4월, Google 가입 2014년 2월, FIDO Spec 초안 발표 2014년 말, FIDO Spec 1.0 완성 예정 현황 구글, MS, 페이팔, 마스터카드, 레노버, 알리바바, LG전 자 등 140 개 업체가 참여 국내에서는 삼성전자, 크루셜텍이 보드멤버로 활동하 고 삼성SDS, LG전자, ETRI등이 멤버로 참여 삼성전자는 페이팔과 제휴하여 갤럭시 S5에 지문으로 인증하여 페이팔 결제
FIDO 개념도 이용자 단말과 서버 간 인증은 공개키 기반 인증 이용자 단말 내의 비밀키에 대한 접근은 바이오, H/W 토큰, 패턴과 같이 다양한 수단을 적용
FIDO 개념도 <사용자 등록> <사용자 인증> 지문 서비스 제공자 스마트폰 지문 서비스 제공자 스마트폰 인증장치 등록 요청 로컬인증 공개키 등록 지문 <사용자 등록> 서비스 제공자 스마트폰 인증 요청 로컬인증 전자서명 지문 <사용자 인증> 서비스 제공자 스마트폰
핸즈프리 인증 배경 강력 보안이 필요한 주요자원 접근 또는 금융결제 시마다 동일·복잡한 인증수단을 반복적으로 제시하는 불편이 있 음 관련동향 애플, 페이팔은 비콘(Beacon)기반 핸즈프리 결제 및 응 용 서비스를 제안하고 상용 연구 진행 중 ※ 핸즈프리 결제: 플라스틱카드, 모바일카드 등 기존 결제수 단을 판매자에게 제시하지 않고, 매장 내 설치된 비콘 단말 과 사용자 스마트폰을 통해 자동 체크인 및 결제
핸즈프리 인증 스마트폰이 주변 환경을 수집·분석하여 필요한 인증 정보를 자동으 로 제출하면, 하이패스처럼 이용자 개입없이 출입통제, PC 사용자 인증 등 온·오프라인을 중단없이 통합 인증 명시적 사용자 인증절차가 없어, 수행 작업을 방해하지 않고도 강력 하고 편리한 온오프라인 심리스(seamless) 인증
핸즈프리 결제 서비스 비컨 기반 서비스 (2) 보안체크인-확인 (1) 보안체크인 (3) 핸즈프리 결제 사용자가 POS에 근접하면 해당 고객 맞춤정보를 화면에 출력 (1) 보안체크인 입구에서 체크인하면 사용자 맞춤정보가 POS에 전달 (1) 핸즈프리 결제? (3) 결제가 완료되었습니다 (2) 네 (3) 핸즈프리 결제 거래 의사 표현 만으로 또는 간단한 확인절차로 결제 비컨 기반 서비스
5. 암호학적 인증 기법 패스워드 기반 (Weak Authentication) crypt passwd under UNIX one-time password 도전-응답 기법 (Strong Authentication) 질문에 대해 정확한 대답을 할 수 있어야 인증 대칭키암호, 해쉬함수, 비대칭키암호 이용 암호 프로토콜 이용 Fiat-Shamir identification protocol Schnorr identification protocol
패스워드를 이용한 인증 passwd, A passwd table A h(passwd) Prover Verifier passwd = y accept n reject Sniffing attack Replay attack - Static password
S/Key (One-time Password) 1. login ID 2. N 4. XN Client Hash function f() pass-phrase S Initial Setup 3. compute fN(S) = XN Host Compute f(s), f(f(S)),...., X1,X2,X3, ...,XN store XN+1 5. compute f(XN) = XN+1 6. compare 7. store
Schnorr Identification Commitment Challenge Response Prover Verifier
6. 무선랜 인증 WEP(Wired Equivalent Privacy) 무선랜 통신을 암호화하기 위해 802.11b 프로토콜부터 적용 1987년에 만들어진 RC4 암호화 알고리즘을 기본으로 사용
RADIUS와 802.1X를 이용한 무선랜 인증
싱글사인온 Single Sign On(SSO) 모든 인증을 하나의 시스템에서. 시스템이 몇 대가 되어도 하나의 시스템 에서 인증에 성공하면 다른 시스템에 대한 접근 권한도 모두 얻음. 이러한 접속 형태의 대표적인 인증 방법으로는 커버로스 (Kerberos)를 이용한 윈도우의 액티브 디렉토리가 있음.
인증의 범위 확장 서버별 인증 조직 내 인증 공인인증 서버별 사용자 등록 사용자가 각기 다른 아이디, 패스워드 관리 필요 싱글사인온. 한번의 사용자 등록으로 조직내 모든 서버에 인증 가능 공인인증 제한 없는 인증 확장을 위해 공인인증이 필요 공인인증서를 이용한 인터넷뱅킹 접속 공인인증서와 공개키기반구조