Ⅰ 금융myucc.cafe24.com/pdf/세션1/(1)_금융microsd 표준... · 2013-04-15 · 지문인식...
TRANSCRIPT
목 차
금융microSD 표준 제정 Ⅰ
금융microSD 활용 Ⅱ
보안분야 분야 활용 Ⅲ
Ⅳ 도입 전략
2013-4-17
Ⅳ 표준화 이슈
Copyright@2013 by KFTC. All Rights Reserved 1
금융microSD 란?
Ⅰ. 금융microSD 표준 제정
정의 : microSD 내에 금융정보를 저장할 수 있는 SE(Secure Element)를
내장하여 금융서비스를 지원할 수 있는 휴대용 메모리 카드
SD
컨
트
롤
러
SE(스마트카드)
메모리 금융microSD
금융정보 ISO/IEC 7816
※ 용어 통일 : 금융microSD ! ☞ 시큐어SD, 금융마이크로SD 등으로 혼용되고 있으나, 금융microSD로 통일
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 2
금융microSD 표준의 구성
Ⅰ. 금융microSD 표준 제정
구 분 표준명(한글) 내용 비고
제1부 기본 요구 사항 금융microSD에 요구되는 기본 사항 및 SE 영역
의 config DF에 대하여 규정 공통
제2부 SDSE 제어인터페이스 금융microSD의 SE를 제어하는 인터페이스에
대해 규정 기술부문
제3부 SDSE 제어명령 금융microSD의 SE에 수행 명령을 전달하고 응
답 받는 명령어에 대해 규정
제4부 금융microSD 식별번호 부여
체계
금융microSD를 유일하게 식별할 수 있는 식별번
호 체계에 대해 규정
관리부문
제5부 금융microSD 발급기관 식별
번호 관리 체계
금융microSD 발급기관을 유일하게 식별할 수 있
도록 발급기관 등록 및 관리체계에 대해 규정
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 3
아키텍쳐
Ⅰ. 금융microSD 표준 제정
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 4
Ⅰ. 금융microSD 표준 제정
금융microSD 작동 방식
개방성
SD
컨
트
롤
러
SE(스마트카드)
메모리
제어인터페이스
(표준 제2부)
금융microSD
금융정보
금융앱
- 모바일신용카드
- 모바일지갑 등
제어명령
(표준 제3부)
금융microSD
제어 데몬
(자원관리자)
ISO/IEC 7816
호스트단말기 (스마트폰, 태블릿PC 등)
표준API
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 5
Ⅰ. 금융microSD 표준 제정
표준화 추진 방식
금융microSD 표준화 협의회
기술부문
워킹그룹
관리부문
워킹그룹
구 분 참여기관
유관기관 (3개사)
한국은행, 금융결제원, 한국전기전자시험연구원
은행 (19개사)
우리은행 등 16개행, 신협, 수협, 우정사업본부
카드사 (10개사)
BC카드, 하나SK카드, 농협카드, 외환카드 등
증권사 (2개사)
한국투자증권, 신한금융투자
IT업체 (11개사)
티모넷, 솔라시아, 드림시큐리티, SK C&C, SME네트웍스 등
협의회 및 워킹그룹 참여기관 : 금융기관 등 45개 기관
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 6
개발관련 사항
SE 제어인터페이스 흐름
SDGetList
SDGetInfo
금융앱과 금융microSD 연계 샘
플코드
CoreService.SDGetList(512);
CoreService.SDGetInfo(SDGetListR
esp.szDrives, 512);
제어인터페이스
(표준 제2부)
금융앱
(모바일지갑,
모바일신용카드 등)
금융microSD
제어 데몬
표준API
Ⅰ. 금융microSD 표준 제정
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 7
Ⅰ. 금융microSD 표준 제정
기대 효과
소비자 금융기관
서비스제공자 국가
금융microSD 표준
☞ 금융정보 저장 매체 다양화 로 소비자 선택권 향상
☞ 스마트폰 변경시 자유 로운 이동 장착(편리)
☞ 독자적 모바일지급 결제 서비스 제공 가능 ⇒ 다양한 응용서비스로 확대
☞ 자유로운 독자 서비스 제공 ⇒ 양질의 다양한 서비스 출현에 따른 소비자 만족 증대
☞ 국제표준 초석
☞ 외국 업체 특허 공세 방어
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 8
금융정보 저장매체
Ⅱ. 금융microSD 활용
• 신용카드
오
프
라
인
• 현금카드
• 교통카드
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 9
금융정보 저장매체
Ⅱ. 금융microSD 활용
• 신용카드
온
라
인
• 현금카드
• 교통카드
• 공인인증서
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 10
개인정보 저장매체
Ⅱ. 금융microSD 활용
• 전자신분증
- 주민등록증, 전자여권,
학생증 등 온
오프라
인
• 바이오정보
- 지문, 홍채 등
• 도어락
- 현관, 자동차 등
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 11
공인인증서 유출
2013-4-17
Ⅲ. 보안분야 활용
공인인증서 무용론 Copyright@2013 by KFTC. All Rights Reserved 12
문제의 초점
2013-4-17
Ⅲ. 보안분야 활용
유출이 용이한
하드에 공인인증서 저장
Copyright@2013 by KFTC. All Rights Reserved 13
해결책
2013-4-17
Ⅲ. 보안분야 활용
• 전자금융감독규정 공인인증서 재발급 가능 단말기 지정
• (보안카드 or OTP) + 휴대폰 SMS 인증
• 2채널인증(신청은 단말기, 승인은 유선전화 등 별도 채널 이용)
• 영업점 방문
재발급의 문제
• 금융microSD기반 모바일보안토큰으로 공인인증서를 발급하여 공인인증서의 유출을 원천차단
저장관리의 문제
Copyright@2013 by KFTC. All Rights Reserved 14
모바일보안토큰 사용방식
2013-4-17
Ⅲ. 보안분야 활용
모바일 (직접 전자서명)
PC (솔루션 필요)
별도 솔루션
전자서명 요청
전자서명값 응답
전자서명
요청
전자서명값
응답
개인키가 금융microSD 밖으로 유출되지 않은 상태에서 전자서명 수행 개인키 접근은 PIN인증을 통해 이루어지며 PIN 비도는 공인인증서의 비밀번
호 비도 유지
Copyright@2013 by KFTC. All Rights Reserved 15
지문인식 기반 모바일보안토큰
지문인식 기반 개인키 접근
공인인증서를 보안토큰 형식으로 금융microSD에 저장하고 지문정보를 기반으로 접근하여 전자서명 수행
2013-4-17
Ⅲ. 보안분야 활용
보안토큰
Copyright@2013 by KFTC. All Rights Reserved 16
지문인식 기반 모바일보안토큰
2013-4-17
Ⅲ. 보안분야 활용
안전성 및 편리성을 겸비한 모바일뱅킹 보안대책 제공
배경 및 목적 특징
배경
•서명용 개인키가 문자기반의 패스워드(비밀번호)로만 보호되어
•단순 패스워드 사용 및 해킹 등으로 유출 가능성이 존재하고
• SD메모리 등에 서명키 보관 시 탈취 위험성도 증가함
목적
지문 및 금융microSD 활용 보안 강화
내용
금융microSD 활용 본인확인 강화 가능
•인증서 패스워드(비밀번호) 입력 대신 바이오정보(지문) 활용
•금융microSD에 인증서 저장 및 관리 실시
• PKCS#11규격에 따른 금융microSD 연계 처리
특징
개발 : Copyright@2013 by KFTC. All Rights Reserved 17
지문인식 기반 모바일보안토큰
2013-4-17
Ⅲ. 보안분야 활용
개발 :
초기화면 조회/이체 메뉴 인증서 선택 지문 인증 계좌 선택 예금 조회
이체정보 입력 계좌비밀번호입력 추가정보 입력 이체내역 확인 OTP정보 입력 인증서 선택 및 지문 인증
이체 실시
Copyright@2013 by KFTC. All Rights Reserved 18
지문인식 기반 모바일보안토큰
2013-4-17
Ⅲ. 보안분야 활용
개발 :
패스워드 (PIN)
전자서명
본인 확인(또는 사용자 인증)
실수 또는 고의로
패스워드 및 개인키가
유출되는 사례 증가
(시스템 해킹, 임의 양도 등)
기존 인증 체계 향후 인증 체계
전자서명
서명검증 및 바이오인증
바이오정보 /금융microSD
서명 생성 및 바이오인증
바이오정보 활용 신원정보 소유증명
본인 확인 등 인증체계 개선가능
본인이 직접
전자서명을 했는지
확인 필요
PIN 망각 혹은 노출로 부터 자유로운 본인 인증 수단
• 기존 인증서 이용
환경에서는 패스워드 노출
시 본인확인이 불가능함
• 패스워드 노출 시 이뤄진
전자서명도 사용자 본인이
직접 한 것인지 확인 불가함
• 바이오정보 및
금융microSD를 활용하여
인증서 사용자 본인이 직접
전자서명을 실시할 수
있도록 유도 가능함
• 전자서명 생성 및
검증과정에서 전자서명을
해당 사용자 본인이 직접 한
것인지 확인 가능함
주요 개선 내용
Copyright@2013 by KFTC. All Rights Reserved 19
ISP 결제 보완
2013-4-17
Ⅲ. 보안분야 활용
Copyright@2013 by KFTC. All Rights Reserved 20
ISP 결제 보완
• ISP 결제 정보를 PC에 저장하여 해킹 시 개인 결제 정보가 완전 노출 됨
현 ISP 결제의 문제점
2013-4-17
Ⅲ. 보안분야 활용
Copyright@2013 by KFTC. All Rights Reserved 21
ISP 결제 보완
• ISP 결제정보의 저장위치를 안전한 저장매체인 금융microSD에 보관하고 ISP인증을 스마트폰에 하도록 유도
ISP 해결방안1 : ISP정보를 금융microSD 저장
SD
컨
트
롤
러
SE(스마트카드)
메모리 금융microSD
ISP 정보 ISO/IEC 7816
저장
2013-4-17
Ⅲ. 보안분야 활용
Copyright@2013 by KFTC. All Rights Reserved 22
ISP 결제 보완
• 최초 ISP 정보를 생성시 바이오정보로 암호화하여 금융microSD에 저장하고, 향후 결제시 바이오정보로 접근(스마트폰 기반)
ISP 해결방안2 : 금융microSD + 바이오정보 접근
SD
컨
트
롤
러
SE(스마트카드)
메모리 금융microSD
ISP정보 ISO/IEC 7816
카드번호 + 유효기간 + CVC번호
암호화
2013-4-17
Ⅲ. 보안분야 활용
Copyright@2013 by KFTC. All Rights Reserved 23
금융microSD 활용 가능성
향후 기술의 발전에 따라 PIN번호를 바이오정보로 대체 가능
• 금융microSD에 저장 가능한 금융정보 및 개인정보에 대한 접근 인증을 위해 바이오정보 이용
금융정보 및 개인정보 저장 수단 • 스마트카드 보안 체계를 따르는 안전한 금융정보 및 개인정보 저장 수단( SE(Secure Element)의 역할 )
• 항상 소지하는 스마트폰에 장착되어 언제 어디에서도 사용 가능한 인증 수단
Ⅳ. 도입 전략
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 24
금융microSD 도입 전략
Ⅳ. 도입 전략
도입 : 온라인뱅킹∙결제 활성
• Pin번호 입력만의 편리한 결제
• 인프라구축(결제단말기 보급)과 무관
• 모바일보안토큰 기반의 안전한 온라인(인터넷, 모바일)뱅킹
성장 : 오프라인결제 활성
- 대부분의 가맹점에 동글 보급
- 모바일월렛에 대한 인식 확대
2013-4-17
NFC 기반 모바일지급결제서비스 활성화에는 시간 필요
Copyright@2013 by KFTC. All Rights Reserved 25
다양한 분야에서 활용키 위해
Ⅴ. 표준화이슈
바이오정보 매칭애플릿 표준
• 스마트카드의 CPU성능 향상으로 스마트카드 내에서도 바이오정보 매칭 여부 충분히 수행 가능
• 바이오정보를 스마트카드에 저장하기 위한 표준은 ISO/IEC 7816-11
에 있으나, 스마트카드 내에서 매칭을 하기 위한 표준은 없음
이종기기간 정보 전달 방식 표준
• 금융microSD은 대부분 스마트폰에 장착. PC, TV 등에서 사용될 수 있도록 금융microSD 저장된 정보를 이종기기에서 인식(혹은 전달)할 수 있는 방식에 대한 표준화
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 26
금융microSD 시연
☞ 참고 사항
시연항목
• 모바일보안토큰기반 모바일뱅킹(우리은행, 라온시큐어)
• 모바일신용카드(BC카드, 하나SK카드, 농협카드, 외환카드)
• 모바일교통카드(티모넷)
• 지문인식 활용 모바일보안토큰기반 모바일뱅킹(드림시큐리티, 크루셜텍)
• 모바일OTP(코나아이)
• 지문인식 활용 금융서비스(유니온커뮤니티)
• 모바일지급결제서비스 생태계 조성을 위한 TSM(SK C&C)
시연날짜 및 장소 : 2013. 4. 19(금), 한국은행 15층 대회의실
참가방법 : 무료, 사전등록 필요
2013-4-17 Copyright@2013 by KFTC. All Rights Reserved 27
2013-4-17 Copyright@2013 by KFTC. All Rights
Reserved 28