한국의 인터넷 뱅킹 보안에 대하여 Oxford University Computing Laboratory 한국의 인터넷 뱅킹 보안에 기술하고있다. 한국에서 사용되고 있는 전용 메커니즘들의 부당성을 살펴보고 왜 그런지 살펴보도록 한다. Oxford University Computing Laboratory Wolfson Building, Parks Road, Oxford, OX1 3QD Hyoungshick Kim Jun Ho Huh Ross Anderson 2012.4.19 유창훈
Table of Contents 서론 공개키인증서 한국에서 사용되고 있는 보안 메커니즘 안전하고 검증된 커뮤니케이션 채널 사용자 인증 신뢰할 수 있는 사용자 플랫폼 어째서 이 보안 메커니즘들이 그다지 효과적이지 않은가? 피싱공격에 대한 무방비 디지털 인증서의 문제점 외부 플러그인의 한계 보안증명의 부재 권고사항 사용자들에게 선택권을 제공하자 사용자 편의적이고 호환적인 메커니즘을 구축하자 보다 신뢰할 수 있는 컴퓨팅 환경을 위하여 결론
1. 서론 <1> 한국 뱅킹 시스템들이 표준 기술을 대신 적용하고 있는 고유한 보안 메커니즘의 장점과 약점 <2> 고유한 보안 메커니즘을 도입함으로써 발생하는 편의성 문제에 대한 연구 <3> 보안과 편의성을 향상시키기 위한 권고사항 <지역에 따른 웹 브라우저 시장점유율 (2009 년 10 월)> <2008 년부터 2009 년까지 ActiveX 관련 트래픽 상위 10 개국>
2. 공개키 인증서 사용자 정보와 사용자 공개키 발급기관서명키가 있음 목적 인증 암호화 통신 위한 키 교환
2. 공개키 인증서 키 교환을 위한 인증서 사용 A가 세션생성을 위한 비밀키 생성 A가 B의 인증서를 얻음(공개키)
2. 공개키 인증서 인증을 위한 인증서 사용(사용자 인증) B는 랜덤값생성후 A에게 보냄 A는 개인키로 랜덤값을 암호화 후 B에게 인증서와 함께보냄 B는 인증서에서 얻은 공개키로 복호화 후 값이 같으면 인증 완료
2. 공개키 인증서 주체: 공개키 주인 . 인증서 주인 인증서내용을 신뢰할 수 있는 이유는 발급기관을 신뢰하기때문
2. 공개키 인증서 최상위기관의 인증서는 웹브라우저에 저장
2. 공개키 인증서
3. 한국에서 사용되고 있는 보안 메커니즘 기밀성 사용자 / 서버 인증 데이터 무결성 부인 방지 *추가 : 한국에선 악성코드를 탐지 제거 해야한다
3. 한국에서 사용되고 있는 보안 메커니즘
3.1 안전하고 검증된 커뮤니케이션 채널 PKI 기반 한국 공인인증서 1999년 도입 암호전쟁의 부산물로 Seed사용 세션키를 생성하는데 사용되는 프로토콜 비공개
3.2 사용자 인증 고객은 자신의 ID/패스워드를 이용해 웹사이트에 로그인 한다. 은행거래를 수행하기 위해서 사용자 개인 보안카드에 기재된 몇몇 숫자를 입력하거나, OTP 생성기에 의해 생성된 OPT를 입력한다. 온라인 거래 내역은 사용자의 PC 혹은 외장 메모리에 저장되어 있는 사용자의 비밀 키를 이용해 디지털 서명된다.
3.3 신뢰할 수 있는 사용자 플랫폼 브라우저와 사용자간의 안전한 채널보장 안티 바이러스 제품 개인방화벽 키보드보안프로그램
4. 이 보안 메커니즘들이 그다지 효과적이지 않은이유? 피싱공격에 대한 무방비 확실한 서버인증이 필요 EV-SSL 디지털 인증서의 문제점 개인키 보호 인증서암호에 의존 무차별공격, key-logging에 취약 개인키만 강력하게 보호된다면 강력한 인증방법.
4. 이 보안 메커니즘들이 그다지 효과적이지 않은이유? 외부 플러그인의 한계 안티 바이러스 프로그램 개인방화벽 키보드 보안 프로그램 보안증명의 부재 고유의 인증프로토콜 Vs SSL/TSL ?? 외부 플러그인의 한계 사용자의 편의성, 선택, 신뢰환경 과 관련있는 사항 보안증명의 부재 숨겨서 안전하게 하자 vs 공개해서 검증받자, 서로의 균형은? 방지가 치료보다 낫다.
5. 권고사항 사용자들에게 선택권을 제공하자 사용자 편의적이고 호환적인 메커니즘을 구축하자 플러그인 설명 및 설치유무 선택 제공 사용자 편의적이고 호환적인 메커니즘을 구축하자 SSL /TLS 전환 암호화 어플리케이션 프로그래밍 표준 API 정의 융통성 제공 보다 신뢰할 수 있는 컴퓨팅 환경을 구축하자 법과 연결되어있지않나?