RSA SecurID (OTP) 한국 RSA Security
OTP 개념 및 RSA SecurID
OTP시장 점유율 Market Leader Fortune 500대 기업의 75% 이상 사용 전세계 Leading 은행 80% 사용 전세계 1,500만 명 이상이 사용 전세계 9,000개 기업이 사용 Technology Leader 엄격한 개발자 선별 및 기술 교육을 통한 연구분야 관리 각 연구소를 통한 세계적 수준의 Technical Consulting
OTP 등장 배경 (Two Factor 인증 필요) 전자 상거래, 비즈니스가 오프라인에서 온라인으로 확대 Something you know Password 의 중요성 대두 PIN 해킹 툴 및 기술 발달 개인만 알고 있는 PIN 정보 정적 Passwords 는 더 이상 안정하지 않음 + Something you have TWO Factor 인증 필요 아래 인증방법 중, 2가지 인증방법을 동시에 사용하여 정적 Passwords의 취약성 보안 OTP 토큰 소유 Something you know (예) Password, PIN, 부모님 생신 Something you have (예) Smart Card, OTP 토큰 Something unique about you (예) 지문, 홍채, 목소리 … RSA SecurID OTP Two Factor 인증
패스워드 위험성 및 관리비용 패스워드의 위험성 및 비용 패스워드 인증은 추측 당하기 쉽고 도난 당할 위험이 많으며 높은 관리 및 유지 비용으로 인해 중요 어플리케이션 및 포탈의 인증 수단으로는 적합한 솔루션이 될 수 없습니다. 패스워드의 위험성 및 비용 높은 보안 위험성 보안 침해로 인한 평균 손실액은 약 $203,000**에 달함 컴플라이언스 위반 컴플라이언스 위반에 따른 과징금 부과 높은 비용 사용자 ID 및 패스워드 재설정 이슈는 모든 Helpdesk 이슈의 약 35%를 차지하며 각 이슈 별 비용은 약 $58***가 소요됨 낮은 편리성 및 효율성 평균적으로 사용자는 각종 시스템 접근을 위해 20개 이상의 패스워드를 기억해야 함 **CSI-FBI “Computer Crime and Security” Survey, Computer Security Institute, 2006 ***$58 takes into account Gartner metric of IT costs =$36 + RSA estimate of lost user productivity costs
RSA SecurID - OTP 개요 OTP 개요 RSA SecurID 구성 요소 사용자는 본인의 ID와 Token에서 생성되는 비밀번호로 인증 시도 토큰에서 발생한 값과 Auth Server에서 발생한 값을 비교/인증 (시간동기화 방식) OTP 개요 OTP Token (60초마다, 토큰코드 자동 생성) Auth Agent (고객 업무서버 or NW/보안 장비) Auth Server (사용자 인증처리) RSA SecurID 구성 요소 다양한 SecurID Token Auth Agent Auth Server SID700 1000 여개 이상의 Application을 위한 Agent 제공 (FW, VPN, SAP 등) 고객 환경에 Customizing 가능한 API 제공 (고객 자체 개발 Application에 적용 가능) 사용자 인증처리 GUI 기반 관리툴 제공 사용자정보 저장위한 DB 내장 Primary/Replica 구조의 이중화 구성 제공 SID800 SID900 S/W Token Toolbar Token
RSA SecurID - 특징 RSA SecurID 강력한 Two-Factor 인증 제공 손쉬운 적용 What you know - 사용자 PIN What you have - OTP 토큰이 생성하는 일회용 비밀번호 손쉬운 적용 기존 ID/PW 인증 인터페이스 이용하여 사용자 ID와 일회용 비밀번호가 서버로 전송됨 서버에서 시간동기 방식으로 동일한 OTP 값을 생성하여 이를 비교하여 인증 수행 (RSA 특허기술) 시장을 선도하는 IT 벤더들과의 연동 개방적이고 표준화된 방식의 OTP 구현으로 시장을 선도하는 IT 벤더들과 상호 호환성 제공 1000여 개 이상의 Application이 RSA SecurID 인증 체계와 완벽히 연동되어 있음
RSA SecurID – 토큰 종류 및 인증서버 고객 비즈니스 요구에 부합하는 다양한 형태의 인증 토큰 제공 Appliance 형태의 인증서버 제공 RSA SecurID Appliance 130 RSA SecurID Appliance 250
RSA SecurID - 주요 기능 (1) Time Synchronization Auth Server 와 SecurID Token 은 시간 및 Seed 값을 가지고 동일한 6자리의 랜덤 한 숫자를 발생 시킴 * Seed - 각 Token에 할당된 unique 한 값. 사용자의 토큰 등록 시 서버에 등록 [사용자] [인증서버] 159759 Algorithm Algorithm Time Seed Time Seed Same Time Same Seed
RSA SecurID - 주요 기능(2) 시간 보정 인증 시 Auth Serve 와 Token 사이의 Tokecode가 틀리게 되면 Auth Server는 해당 Token 시간의 차 만큼 보정 함 Time 16:22 UTC Time 16:23 UTC -1 min.(16:22) → 159759 AIM±0 (16:23) → 321903 +1 min.(16:24) → 497212 변경 전 사용자 토큰 정보 변경 후 사용자 토큰 정보 Token#0064573 Seed : xxxxxxx Offset : 0 sec. Token#0064574 Seed : yyyyyyy Token#0064573 Seed : xxxxxxx Offset : -60 sec. Token#0064574 Seed : yyyyyyy Offset : 0 sec.
RSA SecurID Authentication Manager 7.1 신규 기능 Web - based 관리 Multi - Level 관리 권한 RADIUS 서버 통합 Native LDAP 지원 Cluster 지원 Credential Management Self – Service 기능 (On-Demand Authentication) Provisioning 기능
RSA SecurID - 적용 분야
RSA SecurID - 적용 샘플 (1) VPN/FW 적용 예 VPN (IPsec / SSL)을 통한 로그온 시 RSA SecurID를 통해 사용자 인증 일관된 비밀번호 정책의 적용을 통한 보안 성 향상 및 비밀번호 유출에 따른 피해 미연에 방지 주요 VPN/FW Vendor와의 호환성 제공 RSA Auth Server 인증 요청 RSA OTP Ready Security Vendors 인증 응답 Agent for VPN 지사A 기업 Resource 접근 VPN 지사B 지사 C
RSA SecurID – 적용 샘플(2) 네트웍/시스템 관리 적용 예 다양한 형태의 OS(Unix, Windows, Linux)에 일관된 인증 정책의 정책 수립 Data Center 서버의 RSA SecurID를 통해 사용자 인증, 접근 정책 수립 관리자, Business 파트너, 외부 직원 등의 명확한 관리 주요 정보 접근 기록의 강력한 사용자 감사자료 제공 RSA Agents RSA OTP Ready System Vendors RSA AuthServer (Primary) RSA ACE/Server (Replica) Firewall VPN System 관리자
RSA SecurID – 적용 샘플 (3) AD 서버 인증서 서비스 (2) 기존 OTP 기능 (Application 로그인) (1) USB Token 기능 (AD 로그인) Active Directory 서버에 Windows 인증서 서비스 설치 RSA SecurID 800으로 Windows 로그인 인증서 발급 RSA SecurID 800을 이용한 AD 로그인 도메인 보안 정책에 따라 USB 제거 시 로그오프 또는 화면 잠금 AD 서버 Groupware Unix Server 인증서 서비스 ERP smith ****** ID : Passcode : AD 로그인 USB 제거 시 화면 잠금 PKI 인증서 발급
국내 주요 사업 실적(SecurID-OTP) 순번 사업명 사업개요 발주처 1 기업은행 인터넷 뱅킹을 위한 OTP 시스템 구축 기업은행 인터넷, 텔레뱅킹을 위한 OTP 시스템 구축 기업은행 2 아주그룹 아주그룹 업무 서버 연계를 통한 OTP 구축 3 LG전자 내부 업무 시스템과의 연계를 통한 OTP 구축 4 코스트코 코스트코 업무 서버 5 삼성 종합 기술 연구원 삼성 종기원 내부 업무 서버 연계를 통한 OTP 구축 삼성종합 기술 연구원 6 코카콜라 코카콜라 내부 업무시스템 연계를 통한 OTP 구축 7 다음 포털 사용자 인증 강화를 위한 OTP 구축 다음 커뮤니케이션 8 증권 예탁원 OTP 시스템 구축 주 전산 서버와 연계를 통한 OTP 구축 증권예탁원 9 현대 자동차 OTP 시스템 구축 현대 자동차 업무 서버 연계를 통한 OTP 서비스 체계 구축 현대 자동차 10 SAP Korea SAP Korea 업무 서버 연계를 통한 OTP 구축 11 KTF KTF 내부 서버와의 연계를 통한 OTP 구축 16
RSA SecurID 국내 적용 사례
현대자동차 – SecurID 700 하드웨어 토큰 … … 기대 효과 적용대상1: G/W 적용대상2: 이기종의 운영서버 협력업체 직원 협력업체 직원 재택 근무자 재택 근무자 전사 직원 대상 38,000개 사용 외부 접속 자 들의 해킹으로 인한 비밀번호 유출에 피해 방지 사용자 편의성 제공 : 비밀번호 관리의 필요성 없음 효율적인 계정 관리의 기반 제공 비밀번호 공유를 방지 OTP 서버 방화벽/VPN OTP 서버 1 2 적용대상2: 이기종의 운영서버 … … 서버 관리자의 일관된 계정 정책의 적용 책임추적성(Accountability) 을 위한 환경 제공 입찰 시스템 G/W Data Center 내부직원 방화벽 적용대상 3: 입찰 시스템 3 다양한 해킹으로 인한 비밀번호 유출에 따른 피해 방지 타사의 ID도용을 통한 부정 입찰 방지 Windows Unix Windows Agent
다음(1) – SecurID 소프트웨어 토큰 다음 포털 사용자에게 OTP 사용 권고 툴바 통합 Project 인증서버 통합 다음 툴바 RSA SecurID SW Token 4.0 다음 툴바가 제공되지 않는 IE 버젼을 위해서 “RSA 자체 툴바” 제공 인증서버 통합 기존 다음(Daum) 인증서버 RSA SAE 2.3 C 버젼 라이브러리
다음(2) – OTP 이용한 로그인 프로세스 툴바에 있는 Login 버튼을 이용하여 로그인 시도 로그인 Popup 아이디 / PIN 번호 입력 로그인 시도 툴바는 Passcode 를 내부적으로 자동생성 (사용자는 모르는 상태임) 사용자가 입력한 PIN 번호와 Passcode를 조합하여, 인증서버로 전송 1 2 3
Thank you!