개인정보 유통보안(핀테크 1.0 보안) 기술

김수형 (ETRI)

R&D 필요성

터치냐 터치 없이냐?…모바일결제 '빅매치' 오나

미국인, 총에 맞는 것보다 개인정보 유출이 더 두려워

[2014국감]“3년간 방통위에 신고된 개인정보 유출 2000만건↑”

최근 지능형 피싱 세가지 특징…당할 수밖에 없다

“지난해 개인정보 5억5200만건 유출…표적공격·모바일 위협 지속 증가”

"'구글먼트' 시대 개인정보 헐값 거래…누구든 사이버공격 표적"핀테크 발목잡는 보안사고 트라우마

피싱이나 파밍통한 컴퓨터내 공인인증서 유출 주의보 발령

공인인증서 대거 유출! 인터넷 위협 고조

공인인증서·액티브엑스…핀테크시대 뒷짐진 정부

오프라인 유통보안오프라인 유통보안 SNS 유통보안SNS 유통보안

•간편결제보안취약성

•결제정보등개인정보보호강화

•불편한본인인증

온라인 유통보안온라인 유통보안

•피싱및공인인증서유출

•액티브엑스없는공인인증서

•메모리해킹/피싱공격

•SNS 공개및DB 유출문제

•유×노출개인정보연계위험

•연결정보유출방지필요

R&D 목표

핀테크 1.0 핵심 보안기술 개발 및 IPR 확보기술/사회/정책적 시급성과 파급성을 고려한 보안 핵심기술 개발

핀테크 1.0 핵심 보안기술 개발 및 IPR 확보기술/사회/정책적 시급성과 파급성을 고려한 보안 핵심기술 개발

간편한 결제피싱/파밍방지

개인정보유출방지안전하고편리한공인인증서

R&D 결과 – 터치사인 1/1

등록/이용

터치사인 아키텍처

사용자 휴대폰

사용자 (현금)카드

• 휴대폰에서공인인증서를발급관리할수있는모바일CMP (Certificate Management Protocol) 기술

• 금융카드분실시, 악용되는것을방지하기위한카드등록휴대폰에서만전자서명가능한단말인증기술

• 금융카드를간편로그인또는거래인증(본인확인)에사용할수있는사용자인증기술

• 금융카드토큰규격을NFC 스택및MicroSD에서동시지원하는보안토큰제어기술

터치사인 기술시연

R&D 결과 – 터치사인 2/2

R&D 결과 – 스마트채널 1/2

• 스마트채널: 스마트폰을활용한QR코드기반의2 Channel 상호인증프로토콜

• 보안쿠키: 재사용공격방지및키관리문제를해결한보안쿠키를이용한사용자단말인증기술

• URL 검증: 스마트폰카메라를이용한SSL 주소인식기술

스마트채널 기술시연

스마트채널 아키텍처

R&D 결과 – 스마트채널 2/2

R&D 결과 – 오프라인 간편결제 1/2

• FIDO(Fast IDentity Online) 강화인증

• BLE(Bluetooth Low Energy) 비콘 기반 사용자 보안 체크인

개인정보노출없이결제단말및결제서버에안전하게자동체크인하는보안기술저전력블루투스통신기술로송신된비콘을 통해

ETRI를비롯한Google, Microsoft, Paypal, Alibaba, VISA, Bank Of America 등230여업체가참여하여개발된국제표준FIDO 기술을오프라인결제에적용하여결제시인증을강화하는보안기술

※ ZEP: 사용자의편리한결제경험을강조하기위해 Microsoft에서제시한용어

R&D 결과 – 오프라인 간편결제 2/2

R&D 결과 – FIDO 1/2

• 민감한바이오정보는사용자기기에만저장하여사용자프라이버시보호

• 글로벌시장진출에적합한국제표준기반통합인증플랫폼기술

FIDO 아키텍처

• 지문, 얼굴, 홍채등바이오인증을제공하여편리하고안전한결제•인증서비스

R&D 결과 – FIDO 2/2

R&D 성과 – FIDO 국제인증

v FIDO Full Specs (draft ver.) 구현 (14.12) • 비씨카드 간편결제 (ZEP) 파일럿 서비스에 적용

v FIDO 1.0 인증 획득• 14.12월 발표된 1.0 규격으로 기술 고도화• FIDO 서버 관리 등 운영 도구 지원• 15.4.29 FIDO Conformance 시험 완료 (Perfect IOP)

R&D 성과 – 기술상용화 실적

R&D 성과 – 수상 실적

2015년 국가연구개발우수성과 선정

제9회 亞·太 정보보안 리더십공로상 수상

v 내용 : 핀테크 서비스를 위한사이버보안 기반 기술 선도

v 수상기관 : (ISC)²v 일자 : 2015.7

v 내용 : 개인정보 유통보안(핀테크 1.0)

v 수상기관 : 미래창조과학부v 일자 : 2015.10

R&D 성과 – 언론매체 홍보 실적

핀테크 시대, 생체인증 기술표준화 ‘합종연횡’ 가속

BC카드, ETRI 연내 생체정보인증 서비스 제공

하나금융그룹 – ETRI, 생체인식통한 본인확인 시스템 도입

세계최초 FIDO 인증시험 통과‘글로벌 시장‘ 진출 가시화

2015.5 2015.6

2015.7 2015.10

R&D 성과 – 국내외 전시회 참여 실적

IDB – IIC 총회

ICT-Europe 2015, 룸셈브르크 정보보호 전시회

보안엑스포 2015

2015.3 2015.3

2015.5 2015.7

Q&A

ETRI 인증기술연구실김수형( lifewsky@etri.re.kr )