1 / 50

Privacy and Personal information 공인인증서

Privacy and Personal information 공인인증서. 20050801 장의택 20080802 정성효. Content. 서론 공인인증서 우리 나라의 공인인증서 이용 현황 Privacy Personal information 본론 전자서명법 및 관련 법규 공인인증서 관련 기술 , 메커니즘 공인인증서의 장단점 스마트폰과 공인인증서 해외의 온라인 뱅킹 제도 결 론. 서론. 공인인증서 우리 나라의 공인인증서 이용 현황 Privacy Personal information.

veta
Télécharger la présentation

Privacy and Personal information 공인인증서

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Privacy and Personal information공인인증서 20050801 장의택 20080802 정성효

  2. Content • 서론 • 공인인증서 • 우리 나라의 공인인증서 이용 현황 • Privacy • Personal information • 본론 • 전자서명법 및 관련 법규 • 공인인증서 관련 기술, 메커니즘 • 공인인증서의 장단점 • 스마트폰과 공인인증서 • 해외의 온라인 뱅킹 제도 • 결론

  3. 서론 공인인증서 우리 나라의 공인인증서 이용 현황 Privacy Personal information

  4. 공인인증서란? • 전자 서명의 검증에 필요한 공개 키+소유자 정보 • 전자 신분증 • 공개 키 증명서, 디지털 증명서, 전자 증명서 • 1999년 전자서명법을 제정, 공인인증서의 발급 및 관리의 체계를 마련 http://ko.wikipedia.org/wiki/공인인증서/

  5. 국내 공인 인증서 이용 현황 공인인증서 인식 현황 분야별 이용 현황 KISA , 대국민 전자서명 이용실태조사 (2009.12)

  6. KISA , 대국민 전자서명 이용실태조사 (2009.12)

  7. 공인인증서 분야별 이용현황 • 인터넷 뱅킹: 97.3%로 가장 많이 이용됨 • 월 평균 7.6회 • 인터넷 신용카드 결제 2.2회 • 사이버 증권 거래 3.9회 등 • 총 14.7회 KISA , 대국민 전자서명 이용실태조사 (2009.12)

  8. Privacy • 사생활의 내용을 공개 당하지 않을 권리 • 자신에 관한 정보를 스스로 관리, 통제할 수 있는 권리 • “모든 국민은 사생활의 비밀과 자유를 침해 받지 아니한다” 대한민국 헌법 제 17조

  9. Personal Information • 생존하는 개인에 관한 정보 • 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 • 성명,주민등록번호, 기타 정보 정보통신망이용촉진및정보보호등에 관한 법률 제2조 제6호

  10. 본론 전자서명법 및 관련 법규 공인인증서 관련 기술, 메커니즘 사용자 측면에서의 공인인증서 스마트폰과 공인인증서 해외의 온라인 뱅킹 제도

  11. 전자서명법 전자서명법 제 1조(목적)

  12. 전자금융거래법 전자금융거래법 제21조(안전성의 확보의무)

  13. 전자금융감독규정 • 모든 전자금융거래에 있어 「전자서명법」에 의한 공인인증서 또는 이와 동등한 수준의 안전성이 인정되는 인증방법(이하 ‘공인인증서 등’)을 사용하여야 한다. 다만, 기술적․제도적으로 공인인증서 등의 적용이 곤란한 금융거래로 금융감독원장이 정하는 경우에는 그러하지 아니하다. 전자금융감독규정(10.6.30) 제7조(인증방법 등)

  14. 전자금융감독규정 • 금융기관 및 전자금융업자는 전산실 설치 등 보안성 확보가 필수적인 경우로서 감독원장이 정하는 경우에 감독원장에게 보안성심의를 요청하여야 한다. 전자금융감독규정(10.6.30) 제8조(보안성심의)

  15. 간단 요약 • 전자금융거래에서 공인인증서 사용을 강제 • 금융감독원의 감사권 부여

  16. 현행법의 문제점 • 전자금융감독규정 (제 7조, 8조) • 공인인증서 사용을 의무화 • 금융감독원의 직권남용 • 공인인증서를 위한 기술 규격을 강제 • 웹표준방식 인증방식은 외면

  17. Not U Only U

  18. 우리나라 공인 인증서 기술 • 공개키 기반 암호화 구조 (PKI) 심동철, PKI 개념과 해외시장 현황, itfind 2001. 12

  19. 신뢰 컴퓨팅 기반: TCB • Trusted Computing Base • 컴퓨터 시스템 내의 총체적 보호 매커니즘. • 신뢰성 있는 컴퓨터 시스템을 위한 보호환경, 서비스 제공 • 보안 정책이 TCB 내의 매커니즘을 통해 정확 수행될 수 있는 환경을 제공.

  20. ActiveX기반 정보 흐름 순서 계좌 번호 금액 보안 카드 번호 + 전자서명 계좌 번호 금액 보안 카드 번호 User Active X Server 복호화된 처리내역 암호화된 처리내역

  21. ActiveX기반 공인인증서 문제점 • ActiveX는 • MS Explorer에서만 설치 및 가능 • 즉 MS에서 만든 OS에서만 • 공인인증서 사용 가능 • 즉 MS에서 제공하는 프로그램을 사용해야만 공인인증서 사용 가능 • 이는 정부가 MS의 시장 독점을 유도 • 그러면, ActiveX는 안전한가?

  22. MS의 ActiveX에 대한 의견 • 마이크로소프트도 기술 개발 당시에는 예측하지 못했던 문제로, 스파이웨어나 바이러스 등 인터넷을 통해 사용자의 PC를 파괴할 위험성을 지닌 프로그램이 이 ActiveX에 의존하고 있습니다. • ActiveX를 보안과 같이 시스템 레벨에서 사용하는 것은 지양되어야 합니다. • http://www.microsoft.com/korea/windows/compatibility/activex.mspx#e

  23. 사용자가 꼽은 단점 (1/2) • 복잡한 발급 절차 • 설문 조사 결과 37.6%를 차지 • 국내사용자 -> 공인인증 발급 -> 사이트 접속 -> 공인인증 확인 -> 신용카드 결제 • 공인인증서 불편한 점이나 개선에 필요한 사항에 대해서 복잡한 발급절차 개선이 37.6%로 2위를 차지 • 1위는??

  24. 사용자가 꼽은 단점 (2/2) • 공인인증서 안전성 강화 (51.8%)로 1위 • 공인인증서는 단순한 파일의 형태로 존재 • PC의 하드디스크 67.7% • USB 저장 63.8%

  25. 공인인증서 비밀번호 관리 • 공인인증서 비밀번호 관리 형태 • 다른 비밀번호와 공인인증서 비밀번호가 동일: 15% • 유사한 경우 48.8% • 완전 다른 경우 36.2% • 공인인증서 유효기간 (1년)동안 • 비밀번호를 변경하는 경우 39.5% • 변경하지 않는 경우 60.5%

  26. 스마트폰 공인인증서 • 현재 스마트폰을 통한 30만원 미만 금융거래시 공인인증서를 의무화한 규정이 폐지 • 금융 보안에 있어 특정 기술을 강요하지 않고 각 은행에 기술 선택권 부여 • 금융 사고가 생길 경우 은행의 책임 -> 새로운 인증 방식 제시에 신중

  27. 공인인증서 대안 • 아이핀 활용 • 일회용 비밀 생성기(OTP) • SMS활용 • 지문, 홍체인식 • SSL(Secure Sockets Layer)

  28. 공인인증서 대안 문제점 • 아이핀인증: 이용자가 분실하였을 경우 보안에 취약 • 바이오인증: 기술적 한계와 시스템 구축비용의 문제 존재

  29. 영국 • 영국의 고객 인증은 IC 카드를 이용한 인증방식 사용 • 인증서 사용은 법률상 자율 • 인터넷 뱅킹 사고에 대비해 보안프로그램 무상 배포와 이체 한도 설정 • 사후적으로 고객의 잘못 없이 발생된 손실에 대해 전액보상규정 명시

  30. 중국 • 고객 인증을 위해 대부분의 은행이 공인인증서 저장매체인 USB Key를 유상 배포 • 고객 인증 수단별 이체 한도 차별화로 인터넷 뱅킹 사고에 대해 사전적으로 예방

  31. 미국 • 연방금융감독위원회가 제시한 가이드라인을 바탕으로 은행이 자율적으로 적절한 고객인증 수단을 도입하는 형태로 운영 • 고객 인증 수단을 위해 SSL, ID/PW, 질문응답, OTP, SMS인증, E-mail, 현금카드 PIN 인증 등의 방식 운용 • 금융사고 발생 시 2일 이내에 은행에 신고할 경우 50달러 내에서만 책임 • 또한 은행에 따라 고객 책임금액을 면제해 주는 고객보호프로그램 운영

  32. 일본 • 인증에서 쓰는 인증 수단은 은행이 자율적으로 선택하여 운영됨 • SSL 및 ID/PW, 보안카드, 거래용 PW, SW보안키보드,OTP 등 운용 • 로그인시 ID/PW로만 고객 인증이 이루어지며, 자금 거래시 거래용 PW, 보안카드, OTP등 추가 인증 • 금융사고 방지 위해 접속 IP제한, 자금이체한도 설정 제도 운영

  33. 결론 • 현재 사용되는 공인인증제도의 문제 • Active X 중심, 정부의 MS IE 시장 독점 유도 • 금감원의 필요 이상의 권한 부여 • 사용자의 보안 인식 문제

  34. Solution A

  35. Solution B

  36. Q and A

  37. 전자서명 • 전자문서를 작성한 자의 신원확인 • 전자문서의 변경여부를 확인 • 전자서명 생성키로 생성한 전자문서에 대한 • 작성자의 고유한 정보 • Digital signature

  38. 전자서명의 조건

  39. 전자서명의 구성

  40. 전자서명 키생성 • 생성키:안전한 장치(스마트카드등)에 보관 • 검증키:공개되는 정보 • 생성키/검증키는 유일한 하나의 쌍 • 생성키/검증키는 안전한 키 생성 알고리즘을 통해 생성

  41. 계약서 갑과 을은 1998.6.18 전자서명 생성 • 전자서명생성키: 전자서명을 생성하기 위하여 사용되는 전자적 정보 전자문서 전자서명 생성키 전자서명 검증키 전자서명 생성 공개되는 정보

  42. 전자서명 생성 프로그램 전자서명 전자서명 생성과정 계약서 갑과 을은 1998.6.18 전자문서 전자서명 생성키 출력값 입력값 <전자서명 생성작업 수행도>

  43. 계약서 갑과 을은 1998.6.18 전자서명 전자서명 검증 프로그램 전자서명 검증 • 전자서명검증키: 생성된 전자서명을 검증하기 위하여 사용되는 전자적 정보 전자서명 전자문서 전자서명 검증키 전자문서의 진위여부 확인

  44. SSL • SSL(Secure Socket Layer)은 넷스케이프사에서 전자상거래 등의 보안을 위해 개발하였다. 이후 TLS(Transport Layer Security)라는 이름으로 표준화되었다. SSL은 특히 네트워크 레이어의 암호화 방식이기 때문에 HTTP 뿐만 아니라 NNTP, FTP등에도 사용할 수 있는 장점이 있다. 기본적으로 Authentication, Encryption, Integrity를 보장한다.

  45. OTP • 로그인할 때마다 그 세션에서만 사용할 수 있는 1회성 패스워드를 생성하는 보안 시스템. 동일한 패스워드가 반복해서 사용됨으로써 발생할 수 있는 패스워드 도난 문제를 예방하는 것이 목적이다. 일반 패스워드와는 달리 단방향 암호 기반의 해시라는 패스워드를 사용하며, 그 세션이 끝나면 폐기되기 때문에 재사용이 불가능한 안전한 기능이다.

More Related