Download presentation
Presentation is loading. Please wait.
1
공인인증서 vs OTP+SSL Kim Sang-Won
2
공인인증서의 폐지?? 온라인 거래가 발달함에 따라 보안성을 위하여 공인인증서 탄생
현재 우리나라 외에도 중국, 스페인에 우리나라와 유사한 PKI체계가 있고, 이를 활용하고 있음 공인인증서 기술 중 하나인 X.509 가 2002년에 최종 변경된 표준 오랜 기간동안 검증되어짐
3
공인인증서의 폐지?? 단순한 파일 형태로 존재하고, 아무 제약 없이 물리적으로 복제 가능하며 PC(USB, HDD 등) 에서 존재하는 위치가 동일 ActiveX 에 절대적으로 의존 ActiveX 가 발표되던 당시에는 생각하지 못했던 악성 소프트웨어로부터 위협 따라서 스마트폰 등의 단말기에서 사용이 불가 (현재는 아님, Ex. 연말정산 등) 파밍, 피싱 등의 위협으로부터 노출되어있음 발급 절차가 번거롭고 복잡함 따라서 공인인증서를 폐지해야 한다 라고 주장
4
OTP+SSL 발급 절차가 공인인증서보다 낫지 않음
현행 SSL 표준은 1999년에 제정된 TLS
5
OTP+SSL 해외에서 사용하는 SSL 방식이 안전한가 외국에서 OTP+SSL을 사용하는 이유
미국의 경우 대부분의 은행에서 실시간 이체가 자행 계좌로만 가능하고, 타행 계좌로의 이체는 2~3일, 이체 금액은 한달에 6000~1만 달러로 제한 전자서명 기반의 공인인증서를 사용하지 않고, OTP를 사용하기 때문에 관련된 사고가 많이 발생 (공인인증서는 사용하지 않기 때문에 발생 X)
6
공인인증서 vs OTP+SSL 공인인증서 OTP+SSL 채널 보안, 사용자 인증, 서버 인증, 메시지 무결성, 부인 방지 제공
채널 보안, 사용자 인증, 서버 인증 제공 공인인증기관에서 제공하는 공개키 기반 SSL만 해당 사용자 PC에 별도 보안 프로그램 반드시 설치 필요 사용자에게 OTP 토큰만 배포 피싱 방지 X 서버 인증 O 서버 인증 X replay attack 공격 대비 O MITM 공격 대비 O MITM 공격 대비 X 유출 가능성 O 유출 가능성 X
7
공인인증서 vs OTP+SSL 공인인증서와 OTP+SSL은 인터넷 뱅킹 솔루션 측면에서 보면 같지만, 그 외의 서비스에 대해서는 확연하게 차이가 남 공인인증서에는 전자서명 기능이 있기 때문에, 주민등록 등본을 발급받는 통합전자민원창구 서비스 등을 동사무소에 직접 찾아가지 않고도 해결할 수 있음 이 부분에 대해서는 공인인증서를 분실했을 때 도용 우려가 있음 인감도장을 잘 관리하듯이 공인인증서 역시 분실하지 말아야 할 책임 이런 측면을 보면, 대국민 전자정부의 기능 유지를 위해 공인인증서의 필요성 강조 구현 기술은 오래되었기 때문에 문제가 있을 수 있지만, 기반 기술은 문제가 없다고 주장
8
공인인증서 vs OTP+SSL OTP+SSL을 주장하는 이유는 인터넷 뱅킹 외에 전자 거래 때문
전자 거래에 도입하면 새로운 IT 시장 창출 가능 IPTV 경우, 임베디드 리눅스나 RTOS 등의 다양한 OS가 이용되기 때문에, 설치 기반 특정 기술을 이용하는 공인인증서를 사용하기 어려움 즉, IPTV를 이용한 뱅킹 서비스나 홈쇼핑 실시간 결제 등의 전자 금융 서비스를 이용하기 어려움 공인인증서를 유지하는 비용도 적지 않지만, 은행에서 보급하든 하드웨어 방식 OTP는 대략 만 원 정도…. 많은 기관에서 발급받게 된다면 그만큼의 지출이 생김 기간이 만료되면 다시 발급받아야 함
9
공인인증서 vs OTP+SSL 모바일 OTP처럼 비용이 적은 OTP 기술이 존재
금융보안연구원에 따르면 이러한 SW 방식의 OTP는, 보안성 문제로 금융 거래에 사용 부적합함 이에 대한 대안으로 USIM 내장 방식의 OTP는 금융 거래가 가능, 또한 공인인증서에서 제공하는 부인 방지도 제공 가능 하지만, 이동통신사와 업무 협조가 필요하고 이것은 쉽지 않음
10
NEXT….
11
Thank You
Similar presentations