분산암호화방식인증
SqualTech
계속되는개인정보유출
● 공인인증서라는강력한 (?) 기술을사용하고있지만
● 카드 3 사정보유출● KT 정보유출● 공인인증서유출
계속되는편리한결제방식요구
● 공인인증서없는편리한방식요구● 중국 인이사용할수있도록 -Park● 공인인증서의무화관련법수정● 모바일결제 , 지갑서비스
앞으로의보안위협은 ?
● 더심각한유출사고및해킹 사고가생겨날것이분명 !
● 국내기업보안의식과인력문제● 암호및보안관련기술투자미비● 외국해커의시도가많아짐
( 하나의사이트를해킹후피싱등더심각한 해킹시도가능 )
새로운편리하고안전한기술필요
● 보안○ 개인정보를본인 (앱 ) 이암호화하고풀수있는방법
● 편리성○ 스마폰사용자는누구라도쉽게사용가능한방법
분산암호화방식인증 사용자의개인정보에접근하기위해서사용자디바이스
(스마트폰 , PC등 ) 에서암호를풀어줘야만접근할수 있는방법
Only One Knows ! 오케이뱅 (크 )
“ 오직한사람만알고있는정보보관뱅크”
기본아이디어
• SQRL by Gibson Research( 익명로그인 )o 인증서 http://en.wikipedia.org/wiki/SQRL
▪ 스마트폰생산 (분산형 )▪ 실시간용도별생산 (On the Fly)▪ 생산과보관 , 관리가사용자에의해서이루어짐
o QR code 활용 , 편리성
• 암호알고리즘o Ed25519(ECDSA), Curve25519(ECDH),OCB(AES), Scrypt(SHA-256)
+ (SSL)
원리 ( – 스마트폰내부 개인 ·분산형 )
암호화되어보관된마스터키를비밀번호입력을통해꺼냄 실시간에해당사이트별키를생성
원리 ( 키전송 - 개인 ·분산형 )
= ID
기술요약 개인정보 , 결제정보암호화
및전송 , 보관
스마트폰앱을통해서
QR 로로그인
QR 로인증
QR 로결제
차후 NFC, Bluetooth LE 등활용가능
사업화방향 ( 온라인금융 )
PG 시장 가상계좌
사업화관련시장변화 온라인금융시장변화
법률적제도적부분을지원할수있는시스템구현 SqualTech기술기반
현재시장의변화
공인인증서없는 간편한결제 , 뱅킹
사용자
페이게이트 - 알라딘
스마일페이 - 지마켓
페이핀 – 11번가
카카오월릿 – 카카오
... 카드회사와이해관계
법률 (금융감독원 )
기술적한계
http://verticalplatform.kr/archives/2874
최종목표 = Finance Platform사용자
전체금융권과사업제휴
SqualTech
Finance Platform
어떤시장에적용가능한가 ? 온라인결제
가상계좌
POS
T-commerceB2C, C2C 시장만약 38조
tving, 오쇼핑 , CJ몰 , CGV, 올리브영등
다양한분야접목가능
구현시나리오
온라인결제 가상계좌
POS
T-commerce
2014 2015 2016
카드사 , 이통사와제휴체결
PG 용시스템개발
CJ One연동
은행과제휴
POS, T-Commerce 지원
전자지갑지원 (P2P)
계속적보안개선
시기적인기회요소
2014 2015 2016
절대강자가없다
공인인증서의무화취소
CJ 브랜드및 One사용자
글로벌시장
보안취약 ? 대규모정보유출 !
국내시장확보
유용하고안전한금융플랫폼
유용함과안전함
• 누구나쉽게사용할수있고활용도많은 유용한결제 , 전자지갑앱
• 대형해킹사고로부터안전하게개인의정보를 지킬수있는안전한금융플랫폼
스마트폰을이용한손쉽고안전한결제를유지하며고객의소비활동을재미있게촉진시킬수있음게이미피케이션 (gamification) + 결제 (payment)
What’s the Difference?
Useful
This is by
Secure
US
기타기술관련자료
왜안전한가 ?
ID=공개키 주민번호 결제정보
PK1 ksdfjsdfk fsa1243
PK2 343kKk32 sdfas24
PKn KCKkwe3 wef3KDf2
개인정보를풀수 있는유일한방법은
사용자가실시간에 생성한비밀키로풀
수있음
내부직원도 해독불가
원리 ( 키백업및복구 )
서버에두번의암호화를통해보관
두장의 QR code 로출력보관
QA• QR 코드대체기술
• NFC, 블루투스 LE 등활용가능• 스마트폰을사용하지않는사용자
• PC – 전용어플리케이션혹은대체장치개발필요 매우쉽게개발가능
• 물품배송연동방법• 가상의주소전달방법으로택배사와연동가능
• 기존시스템변경사항• 활용분야에따라편차가많을수있음
왜스마트폰인가 ?• 매우저가에도공급가능
• 전용장치 50$ 이하가능• 언제든지앱을업그레이드가능
• 자체업데이트매커니즘가지고있음• 다양한바이오인식기술탑재가능
• 지문 , 홍채 , 목소리다양한다중인식가능• TFA(Two-factor authentication) 쉽게가능
• 여러방법과이중망을동시사용가능• 모바일디바이스 > PC 시장
공인인증서의현재• 인증시스템의라이프사이클문제
o 인증서를서버생산 ( 최종본 ) 되고분산 (PC, USB등 ) 관리o 실시간생산불가능한구조 , 생산된최종본을여러곳에복제관리
• 암호알고리즘o RSA-2048 > SEED-128 > PBKDF2
o 매우안전하다고말할수없음 , 효율성 (생산성 ) 낮음
• 글로벌화의한계o 개발구현의시작이 Windows & IE(ActiveX)로
o 사용자를열악한환경에묶어두게만드는악순환
• 개인정보보호관련한계o 인증서를각사이트의개인정보암호화에사용하지못함
o 공인인증서가있지만개인정보는유출되고있음
공인인증서장단점사용성 보안
장점● 어쩔수없이익숙하다 ● 누가사용했는지정확히알수있다
● 기존시스템에이미많이적용되어있다
단점
● 설치가어렵다● 본인 PC 이외에사용불편● 외국인사용이매우불편● 1 년단위갱신
● PC 에서키생성 , 보관● 여러곳에키를복제하여보관● 키의보호가쉽지않음● 갱신시보안취약
개인인증에만치우친보안 취약점(PC)
신원확인 , 무결성 , 기밀성 , 부인방지
보안공인인증서
강력한
쉬운해킹방법으로취약한 PC 등공격가능
방지하기위한각종 ActiveX 보안앱설치
개인인증에만치우친보안취약점 (서버 )
낡은수준보안과암호화 되지않은개인정보
자동화된쉬운방법으로 해킹가능
익명로그인
● ID 와 Password 를요구하지않음● 스마트폰에서키에해당하는 UID(Unique ID) 를생성 , 인증하는방식
하지만개인확인 (Identification)은 ?• 개인의정보 (신원확인 , 부인방지 ) 와연결을
필요로할경우o 개인의정보를저장 , 보관 , 조회하는안전한
서버를활용o 안전하게개인이생산한공개키로암호화하여저장
o 개인이실시간생산한비밀키로만풀수있음
다양한인증방법활용가능 인증방법 안전성 편리성 외국인 용도
휴대폰 SMS 통한 인정 번호입력방법
낮음 높음 쉽다 쇼핑
카드인증 카드에가상결제 금액을통한확인
높음 중간 중간 고액쇼핑
은행대면인증
은행방문 높음 낮음 매우어렵다 뱅킹 고액쇼핑 , 행정업무
OTP 전용장치 매우높음 중간 어렵다 고액뱅킹 고액쇼핑 , 행정업무
용도별혼합인증가능
SQRL 활용한익명로그인의장점
• 익명o 개인정보가없음o 실시간생성된공개키가 ID
• 스마트폰활용o 비밀번호전송이없음
▪ 서버에비밀번호가존재하지않음▪ 비밀번호가노출될확률이낮음
• 편리함o QR 코드스캔만으로로그인가능
구현서버구성도
User
자체서버
정보전송
고객사이트
정보보관
인증게이트
WebBrowser App
VPN
VPNVPN
SSL SSL
- 개인정보전송 (부분 )
- 개인정보전송 (전체 )
- 개인정보전송 (전체 )
- 개인정보전송 (부분 )
- 개인정보전송 (부분 )
구성요소별역할● App( 현재스마트폰앱형태로만개발됨 , 차후다양한플랫폼지원가능 )
○ 마스터키생성 ,보관○ 사이트별개인키생성 (실시간 )○ 개인정보암호화 , 복호화
● 웹브라우저○ 사이트의웹페이지정보표시
● 인증게이트○ 개인의정보를전달하는역할
● 정보보관서버○ 암호화된개인정보를보관
● 정보전송서버○ 각사이트의서버에정보를전달해주는역할
실제활용
● 스마트폰앱을통한사용자가입○ 앱내부에서암호화하여인증게이트로전송○ 다양한개인정보를다국어로입력 , 보관가능
● 스마트폰앱을통한로그인○ 사이트의언어를몰라도단순히 QR 코드스캔만으로가능
● 스마트폰앱을통한 개인정보확인가능○ 해당사이트가개인정보를필요한경우 QR 코드스캔만으로전송가능
○ 암호를풀수있는곳은오직 App뿐
● 스마트폰앱을통한결제 가능○ 온라인쇼핑몰에서 QR 코드스캔만으로결제가능○ 결제정보는본인만이앱을통해풀수있음
공인인증서와개인 · 분산형비교
공인인증서 개인 ·분산형 비고
안전성 비밀키쉽게해킹가능 , 특히
많은사이트들의비밀번호와동일
실시간키를생산함 , 비밀키 획득이어려움또한모두휴대폰 안에만존재 , 비밀번호노출이 현저히줄어들게됨
편리성 사용할 PC 에매번복잡한설치
필요 , 보안강화를위한복잡한SW 설치필요
스마트폰으로 QR 코드 스캔만으로모든장치에사용
가능 (POS, 영수증 , ATM등 )
확장성 외국인사용이매우어려움 스마트폰을사용하는경우매우
편리하게사용 스마트폰이없는
경우도사용할수 있도록기술개발
진행필요
참조• SQRL - http://en.wikipedia.org/wiki/SQRL • Fido Alliance - http://fidoalliance.org/• Elliptic curve cryptography - https
://isecpartners.com/media/105564/ritter_samuel_stamos_bh_2013_cryptopocalypse.pdf
• Facebook 익명로그인 - http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=073&aid=0002431886
• http://verticalplatform.kr/archives/2874