idq trusted access platform · 스마트모바일통합인증/보안 무선전용보안관제 vpn,...

idQ Trusted Access Platform

웹서버, 컨텐츠 2채널 인증고도화를위한 솔루션 제안서

Mutually Trusted Access for Mobile Computing

2

목 차

1. 개발회사 소개

2. 총판회사 소개

3. IT환경의 변화

4. 전자금융의 실태 및 환경변화

5. 안전한 전자금융을 위한 인증시스템 제도

6. idQ™ Trusted Access 솔루션

7. idQ™ Trusted Access 앱의 배포 및 설치

8. idQ™ Trusted Access의 세부기능

9. idQ™ Trusted Access 솔루션의 특장점

10. idQ™ Trusted Access 솔루션의 활용

11. 도입의 타당성

12. 경쟁 분석

13. 시스템 구성

14. 제품의 추가 개발 기능(개발 중, 예정)

15. 지원하는 OAUTH 2.0 API

….hc

ho

3

1. 개발회사 소개

4

1. 개발사 소개

가. inBay Technologies(인베이테크놀로지) Inc.는?

5

1. 개발사 소개

나. 인베이 테크놀로지스의 기술특허

6

TRC(Trusted Relationship Code) 생성기술

기술특허 (Patent No : 8.468.582.B2)

사용자 ID와 기업(조직) ID 그리고 단말기

고유의 식별정보(ID)의 조합을 통해 단말기를

신뢰할 수 있는 본인인증의 매체로 전환

AES 256bit암호화된 Secure Vault에 저장하여

안전하게 보호

idQ

VaultSecret Key

단말기 ID

TRC(Trust Relationship Code)

1. 개발사 소개

다. 핵심기술 : Trusted Relationship Code (상호신뢰기반의 인증코드)

7

2. 기술총판 회사 소개

㈜에어큐브 (AirCUVE Inc,)

8

2. 총판사 소개

가. 에어큐브는? (보유솔루션 소개)

㈜에어큐브는 전문화된 네트워크기반 통합인증 솔루션 개발로 시작하여 무선랜 분야 인증 솔루션 및 관제 솔루션을 전문으로 개발 하였고 최근 가장 이슈가 된 스마트 OS기반 단말의 관리 시스템 까지 제공하는 스마트 워크전문 보안 솔루션 개발 업체 입니다.

무선전용 보안관제스마트모바일 통합인증/보안 VPN, 웹서버의 2팩터통합인증 솔루션

BYOD 솔루션

3G망에서는 SSL VPN 통합인증, Wi-Fi망에서는 IEEE802.1x인증을지원하는 제품이다. Android, iOS 통합인증애플리케이션을 지원하여 스마트모바일 사업에 필수 제품이다.사설/공인 인증서 툴을 함께지원한다.

무선 네트워크 모니터링을 통해 무선네트워크의 가용성, 활용도 및 성능을측정하여 제공함으로써 장애에 대한사전 대응 및 신속한 복구를 가능하게하는 네트워크 관리시스템이다. 무선환경에서필수적인 무선주파수관리, 사용자접속 및 인증과 관련된 다양한 지표를제공함으로써, 무선 서비스 관리에효과적인 솔루션.

사용자가 내부 망으로 접속을 할때 도용이 가능한 ID/PW이외에OPT, 인증서 등의 2가지 이상의방법으로 접속 방법을 선택하게하여, 내부 시스템에 불법 접속해고객의 개인정보와 회사 기밀을빼내는 보안 사고를 예방.

BYOD솔루션은 개인적으로사용하는 노트북, 태블릿, 스마트폰과 같은 모바일 기기를회사로 가져와 업무를 처리하는솔루션이다. 본 제품은 스마트모바일통합인증기술, 네트워크접근제어(NAC), DHCP Finger Printing 기술을 접목한 최고의BYOD 솔루션이다.

9

2. 총판사 소개

나. 주요사업 분야

국내 최고의

Total 인증/보안

전문가 그룹

AAA

무선랜인증/

보안

유선랜인증/

보안

PKI인증/

보안

OTP인증/

보안

BYOD

솔루션

VoIP단말

통합관리 솔

루션

2팩터

인증/보안

10

2. 총판사 소개

다. 특허 및 인증현황

구분특허현황

특허 내용 출원/등록번호 출원/등록일

특허등록 인증시스템 디테일 로그 처리 방법 10-0661135 2005/2006

특허등록 종단 무결성 접속제어, 및 검역기반 네트워크 구축방법 10-0737518 2006/2007

특허등록 유무선 네트워크 검역 및 정책기반 접속제어 방법 10-0819942 2006/2008

특허등록 무선 네트워크 보안 장치 및 그 방법(WIPS관련 특허) 10-2009-0077776 2011

특허등록 SIP를 이용한 원격단말관리 방법 10-1246881 2011/2013

특허등록 다중요소 인증시스템 10-1235608 2011/2013

특허등록 이동단말기 위치기반 보안 구현 10-1272136 2011/2013

11

2. 총판사 소개

다. 특허 및 인증현황 (계속)

구분인증현황

인증 기관 인증 내용 인증번호 인증일

인증 한국정보통신기술협회 Good Software(GS)인증 06-0165 2006/10

인증 IT보안인증사무국(국정원) Wi-Fi 인증 시스템 AGS-NPS CC 인증 (EAL2) NISS-0138-2008 2008/12

인증 IT보안인증사무국(국정원) Wi-Fi 인증 시스템 AirFRONT CC 인증 (EAL4) NISS-0247-2010 2010/06

인증 IT보안인증사무국(국정원) 네트워크 접근제어 NacFront CC인증 (EAL2) NISS-0190-2009 2009/09

인증 IT보안인증사무국(국정원) 무선랜 인증 CC (EAL4 NISS-0406-2012 2012/07

2. 총판사 소개

라. 국내 최다 인증 시스템 구축 실적 보유(550여 고객사) - 계속

에어큐브 社 는 국내외 국내 3대 통신사를 포함한 550여 고객사에 납품실적을 보유한 안정성과

신뢰성을 확보한 제품입니다.

통신사/제조사

스마트스쿨(교육)

삼성전자 FMC인증 파트너SK텔레콤 “스마트시큐리티 파트너”

“2013년 교육부 스마트스쿨사업의 중앙클라우드무선 통합인증 센터 솔루션 선정”

통신 3사사용제품

“국내 전 통신사에서 사용하는 Wi-Fi 통합인증/보안 솔루션 사용제품”

BYOD솔루션“국내 대기업에서 도입한 진정한 BYOD

(Bring Your Own Devices) 솔루션”

스마트모바일통합인증/보안

“국내 최초의 Wi-Fi를 포함한 국정원 보안성심의통과 기관(한국도로공사) 도입 솔루션” with SK텔레콤

2팩터, 2채널인증보안

솔루션 개발

“2013년 삼성전자 전 생산제품의 글로벌RMS (Remote Maintenance System) 프로젝트의

PKI, 통합인증 시스템 선정”

수출전략S/W기업

“2013년 정보통신산업진흥원(NIPA) S/W 수출 마케팅 전략 지원기업 선정” 중국현지 기업과 컨소시엄 사업진행 중12

2. 총판사 소개

라. 국내 최다 인증 시스템 구축 실적 보유(550여 고객사) - 계속

13

일반기업

2. 총판사 소개

라. 국내 최다 인증 시스템 구축 실적 보유(550여 고객사)

14

일반기업

2. 총판사 소개


병원

14

http://www.nph.go.kr/

http://www.nph.go.kr/

2. 총판사 소개


16

공공기관

2. 총판사 소개


17

http://www.ijlib.or.kr/index.jsp

http://www.ijlib.or.kr/index.jsp

2. 총판사 소개


18

대학

2. 총판사 소개


19

2. 총판사 소개


20

초/중/고 학내망

발곡고등학교 한국외국인학교 경북대사범대학부속고 부산디지털고등학교 경남고등학교 운암초등학교

덕계고등학교 미림정보고등학교 인창고등학교 미라초등하교 중동고등학교

영복여자중학교 경기초등학교 안산공업고등학교 경기체육고등학교 청담정보통신고등학교 분포중학교

두원공업고등학교 부산진고등학교 이사벨고등학교 동명정보고등학교 덕문여자고등학교 서해고등학교

부흥중학교 군자공업고등학교 삼락중학교 부산공업고등학교 장평중학교 부산마켓팅고등학교

부산개성중학교 금명중학교 문현여자중학교 경민여자정보고등학교 장전중학교 장안제안고등학교

동남고등학교 포천고등학교 부산정보고등학교 동주여자중학교 부산정보관광고등학교 상계제일중학교

부산전자공업고등학교 부산중학교 부산국제고등학교 연일중학교 부곡중학교 신덕중학교

망미중학교 토현중학교 사직중학교 남산중학교 경남공업고등학교 재송중학교

전남학생교육문화회관 서울의료원 중산고등학교 대곡고등학교 중흥고등학교 이일여자고등학교

부산자동차고등학교 부산동여자고등학교 시화중학교 까치울중학교 장곡고등학교 매화고등학교

전곡고등학교 개금여자중학교 하남중학교 다솜중학교 금곡고등학교 덕정고등학교

홍성여자고등학교 경민고등학교 서울영상고등학교 정왕고등학교 한수중학교 평택기계공업고등학교

내정중학교 인송중학교 부천여자중학교 경기외국어고등학교 조종고등학교 포천제일고등학교

한국문화영상고등학교 상암고등학교 동호정보고등학교 부산중앙고등학교 영도중학교 경일고등학교

구름산초등학교 마석중학교 군포중학교 대연고등학교 해운대고등학교 명진중학교

해운대여자중학교 백동초등학교 하성중학교 사상고등학교 분진중학교 홍천초등학교

김포제일고등학교 진위고등학교 주례여자중학교 상암중학교 부산진여자상업고교 장암초등학교

2. 총판사 소개


21

수암초등학교 기장고등학교 신일중학교 한울고등학교 장영실고등학교 신일중학교

한울고등학교 청심국제중학교 중산고등학교 남산중학교 충주중산고등학교 영복여자중학교

경남고등학교 한국테크노과학고 발곡중학교 삼정고등학교 인창고등학교 운암초등학교

혜광고등학교 시온고등학교 상원고등학교 해송고등학교 국제중고등학교 성보중학교

동산초등학교 진위중학교 풍문여자고등학교 삼각산고등학교 부산신금초등학교 수주고등학교

경기도초등학교 부산진고등학교 정발고등학교 성일정보고등학교 상색초등학교 백석초등학교

22


23

공인인증서 재발급 및 사용절차 강화를 위한 가이드라인

(2012년 6월 - 금융감독원)

대상

개인고객에 대해 단말기에서 공인인증서를 발급해주는 금융기관

인터넷뱅킹시스템을 운영하는 금융기관

행정안전부, 전자서명법 시행규칙 개정안

2013년 1월 시범적용, 2014년 1월 적용

2012년 행안부 기관에 2채널 시범사업 도입 예정


가. 금융감독원 추가인증 가이드라인

24


나. 금융위원회 전자감독규정 변경 사항 (인증 강화)

제32조(내부사용자 비밀번호 관리)

금융기관 또는 전자금융업자는 내부사용자의 비밀번호 유출을 방지하지 위하여 다음 각 호의 사항을 정보처리시스템에 반영하여야

한다.

1. 담당업무 외에는 열람 및 출력을 제한할 수 있는 접근자의 비밀번호를 설정하여 운영할 것

2. 비밀번호는 다음 각 목의 사항을 준수할 것

가. 제12조제3호에 따라 비밀번호 부여 및 변경

나. 비밀번호 보관 시 암호화

다. 시스템마다 관리자 비밀번호를 다르게 부여

3. 비밀번호 입력 시 5회 이내의 범위에서 미리 정한 횟수 이상의 입력오류가 연속하여 발생한 경우 즉시 해당 비밀번호를 이용하는 접

속을 차단하고 본인 확인절차를 거쳐 비밀번호를 재부여하거나 초기화 할 것

[추진근거]금융위 전자금융감독규정 변경 사항(2011.10.10) [제32조 2항-다] 시스템마다 관리자 비밀번호를 다르게 부여

25

1세대 플랫폼 (80’년대)

2세대 플랫폼 (90’-00년대)

3세대 플랫폼 (2010년대 이후)

100만 사용자 1,000개 Apps

중앙 컴퓨터

수억명의 사용자 수만개의 Apps

LAN/Internet/Client-servers

PCs

10억명 이상의 사용자 100만개이상의 Apps

Mobile BB/Big Data/

Social Business/Cloud

Mobile Devices

Smart Connected Device Market 2012-2017

출처: International Data Corporation (IDC)

3rd Platform 2020년예상 경제 기여도

Growth1.98x

ITC40%

20%

기준

현재

0 500 1000 1500 2000

Desktop PC

Portable PC

Tablet

Smartphone

Units shipments in millions

16.9 % CAGR

23.2 % CAGR

0.8 % CAGR

-3.5 % CAGR

Terminals

3. IT환경의 변화 (플랫폼)

다. IT 플랫폼의 진화

26

Remoteaccess/

VPN

DLP

Firewall

AntivirusFull DiskEncryption

MediaEncryption

Anti-

malware

NAC

“It is clear that signature-based

protection mechanisms…are dead.”

- Peter Firstbrook, Gartner 2009


라. IT환경의 변화와 새로운 위협 / 보안모델의 변화

27

BYOD환경, 인증서 복제 / 계정 탈취를 통한 공격

액티브피싱공격 (MITM, MITB)의 세션하이재킹

스마트폰의 분실 및 기기변경

글로벌 환경에서 인증 (해외교포, 외국인 사용자)

1세대 : ID/Password 2세대 : PKI/OTP, 2FA 차세대 : Device인증


마. 인증환경 변화

28


29

① 거래은행 사이트 접속

② 공인인증서 로그인 (공인인증서 PW입력)

③ 거래내역 입력후 송금비밀번호(6자리)

④ OTP토큰 PW입력 ⑤ 생성된 OTP 입력

⑥ 보안카드 일련번호 중 4자리 입력

⑦ 보안카드 앞 뒷자리 조합입력

⑧거래 승인을 위해 공인인증서 PW입력

⑨ 거래 완료 전 스마트폰에전송된 OTP다시 입력


가. 현행 온라인 금융거래의 복잡한 절차로 사용자 불편 초래

30

“정부 주도 공인인증제 폐지하겠다.” (최 문기 장관, 2013. 4. 1)


나. 현재 공인인증서기반 금융거래의 문제점

31

도입시기 도입 배경 전자금융인증관련 핵심 내용 비고

2001. 8.8

(2001년 Guidance) 인터넷기반 금융망에 접속하는소매및 상업 소비자 인증에 필요한위험관리규정 도입에 초점

ID/Password생성 시 강화된 요건 제시 (숫자또는 쉽게 노출가능성 있는 평이한 문자사용금지)

본인인증 강화

2005. 10.12

(2005년 Guidance) 2001년 규정도입이후 해킹기술의발전에 따라 새로운 형태의 보안위협등장함에 따라 대응책 필요

다중 요소인증 (Multi-Factors)

- What you know : ID/PW- What you have : OTP Token, Smart Card- Who you are : Bio-metric 상호 인증 (Mutual Authentication) 고객 확인 (Customer Verification)

Multi-Factors

Authentication

2011.6 전자금융보안 위협과 FFIEC의 권고사항간에 기술적 격차있음

- Man-in-the-middle공격 보다 안전한 인증기술 필요

계층(Layered) 보안 규정- 보다 강한 인증 솔루션 요구- Out of Band 인증 (2채널) - 비정상 거래탐지( Anomalies detection )

2011년 6월 발표 2012. 1월 발효시작(6개월 계도기간)

Layered

Security

Out of Band

Authentication

Authentication in an internet banking environment


다. FFIEC 전자금융환경의 인증규정 변화

32

2007년 1월 전자금융거래법 시행, 전자금융감독규정, 시행세칙등 전자금융거래관련 법률 및규정을 통한 다양한 보안요구사항들을 규정

규정 내용

전자금융감독규정 시행세칙 제29조(전자금융거래시 준수사항)2항1호

전화 등 거래수단 성격상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화통신을 할 것(다만 전용선을 사용하는 경우로서 보안성심의를 받은 경우에는 그러하지 아니한다)

전자금융감독규정 시행세칙 제29조(전자금융거래시 준수사항)2항3호

이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자PC에개인용 침입차단시스템, 키보드해킹방지 프로그램 등의 보안프로그램을 설치할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능)

전자금융감독규정 제7조(공인인증서 사용기준)

모든 전자금융거래에 있어 전자서명법에 의한 공인인증서를 사용하여야 한다. 다만 기술적/제도적으로 공인인증서 적용이 곤란한 전자금융거래로 감독원장이 정하는 경우에는 그러하지 아니하다


라. 기존의 국내 전자금융관련 규정 및 법규

33

2013. 9.26일 전자금융사기 예방서비스 의무화 시행(금감원)

공인인증서 재발급 및 인터넷뱅킹을 통한 전자자금 이체 시 본인확인 절차 강화

보안카드 또는 OTP사용이외에 지정된 단말기(Device인증)를 이용하거나, 미지정 단말기 사용 시 추가확인

절차(휴대폰 SMS인증, 2채널 인증등) 의무화

인터넷뱅킹을 통해 300만원 이상 이체시 ①휴대폰문자(SMS)인증, ②2채널인증(PC이외에 유선전화등 다른

채널을 통해 인증)으로 추가적인 본인인증을 거친 후 이체 가능

문제점

휴대폰 SMS인증의 경우, 통신사를 통해 수신된 인증번호(OTP)를 PC에 입력함에 따라 진정한 2채널인증이

이루어 지지 못하고 세션하이재킹에 취약점 노출

SKT, KT, LGU+등 국내 통신회사만을 이용하는 제약으로 통신기술이 다른 해외 지역에 출장 시,또는 국외

거주자의 이용이 어려움

기존의 복잡한 인증절차를 더욱 어렵게 만들어 IT취약 계층에게 불편 증가


마. 금융관리당국의 강화된 보안규정 도입

34

완전한 2채널(Out of Band)인증 솔루션 (세션하이재킹공격으로 부터 보호)

다양한 매체및 인증방법 지원할 것 (PC + 스마트폰, 또는 스마트폰자체 인증시에도 2채널 지원)

인증수단 및 통신의 암호화를 통해 해킹으로 부터 보호

인증장치의 분실 및 변경에 대비해 원격보호, 통제수단 (Mobile Device Management)

사이트의 위변조의 의한 피싱, 파밍, 스미싱공격으로 부터 보호(App Protection)

부인방지기술 및 디지털포렌식으로 금융침해사고 발생 시 법적책임 명확히 할 것

1). 강력한 보안성

복잡한 인터넷뱅킹절차를 1~3단계의 절차로 간소화 할것

다수의 계정에 대한 각각의 ID/PW를 암기하지 않아도 될 것

ActivX기반의 수많은 보안솔루션의 설치 및 업데이트를 강제하지 않아도 안전할 것

지정된 단말기이외의 공용 단말기에서도 높은 보안성을 가질 것

생체인식(Bio-Metric)을 지원할 것

2). 혁신적인 사용자 편리성


바. 새로운 인증솔루션이 필요

35

공인인증서의 갱신 및 OTP토큰의 배포, 소유등에 따른 비용이 발생하지 않을 것

문자메세지(SMS) 또는 Voice Call발생에 따른 통신비용이 없거나 최소화 될 것

한개의 인증장치로 다수의 계정에 대한 인증을 지원할 것 (Universal Authentication)

기존의 범용적인 사용자 단말기를 사용하고 추가적인 시스템의 도입이 최소화 될 것

인증 솔루션의 배포, 설치, 활성화 비용이 최소화 될 것

3). 경제성

특정 통신회사에 의존하지 않도록 표준 통신기술을 지원할 것 (Wi-Fi, 3G / LTE, Bluetooth 등)

전 세계 누구라도 인증이 가능할 것 (해외교포, 국내.외 거주외국인도 쉽게 쓸 수 있을 것)

해외 출장 시에도 인증이 가능할 것

향 후 해외시장 개척에 도움이 될 것

4). 글로벌 확장성


바. 새로운 인증솔루션이 필요 (계속)

36

5. idQ™ Trusted Access Solution

37

5. idQ ™ Trusted Access 솔루션

가. 혁신적인 인증시스템 : idQ ™ Trusted Access

38

SECURITY

• 특허받은 TRC• 안전한 Out of Band(2채널) 인증 (미,FFIEC 2011,6월규격)• 생체인식, 그래픽 및 Master PIN의 다중 조합으로 강력한 본인인증

• 스마트폰분실 시 MDM을 통한 2차보호• AES 256bit 암호화된 App /서비스보호

• 간편한 스마트폰 App방식(매체분리)• No ID/PW입력(QR형식의 OTP스캔)• 표준통신규격(Wi-Fi,3G/LTE)지원으로전세계 어디서도 인증가능

• 다양한 OS/Platform지원

• OTP생성기(토큰), 공인인증서(발급,갱신)비용없음• SMS, Voice Call, 해외로밍등의 비용 없음• 패스워드분실 및 변경에 따른 관리비용 최소화

(예: Call Center운영비용, 1회 PW Reset= abt $25)• 기존 인프라/플랫폼과 호완하기 때문에 투자보호

• 다양한 사용기록(로그)제공으로 부인방지(Non-Repudiation)기능 제공

• 디지털포렌식제공으로 침해사고발생 시법적책임소재 명확히 함

• 인증절차와 별도의 승인절차 (예정, Q1 2014)• HA구성 / Always ON

EASY OF USE

ECONOMIC DEPENDABLE


나. idQ ™의 SEED Approach

39

“Access Denial by Default” idQ Platform:

idQ Trusted Device:• idQ App Login시 강력한 인증(2채널)

• 하드웨어 기반의 본인 인증확인매체

• 사용자 주도의 접근제어 (PIN, Face Recognition)

• 암호화된 Secure Vault

idQ Trusted Access Server:• Administration / 계정및 사용자 관리

• 디바이스 등록 및 통제, 관리(MDM)

• 접속 제어 실행 (Access Control)

• 통합 아이디 (Federated ID)

- 웹 접속 (금융, 전자상거래, 전자정부, 포털)

- VPN 접속

- 원격 접속 (RDP, SSH,VDI)

확실한 보안 모델 – “Denial by Default (단순한 계정 탈취만으로는 접근불가)”

Add-on서비스

idQ APP보안

idQ 안면인식 인증


다. idQ ™ Trusted Access 플랫폼

40

스마트폰 앱을 이용한 2채널인증

통신포트 분할을 이용한 2채널인증

QR코드 형식의 OTP

모든 온라인거래 및 서비스를 지원

RDP / SSH를 통한 VDI지원

MDM

AES256 bit 암호화된 Secure Vault


라. idQ ™ Trusted Access의 시스템 아키텍쳐

41

SecureV

ault

① Out of Band 인증

완벽한 2채널 QR (OTP) Scan

No ID/PW 입력

② 앱, 서비스 보호

Secure Vault AES 256bit암호화사이트위변조방지

③ 원격 사용자단말기통제

Remote End Point Control

스마트폰 분실시 사용자보호


마. idQ ™ Trusted Access의 3대 주요 기능

42

6. idQ™ Trusted Access 앱의 배포 및 설치

43

Smart Phone

idQ를 시작

라이선스 협약 동의

Organization Code등록

등록

정보 입력 & PIN 생성idQ Trusted Device

6. idQ ™ Trusted Access의 배포 및 설치

가. idQ ™ 스마트폰 앱(Trusted Device)의 설치(앱 등록절차)

44

① idQ Server에서 미리 정의한기관 식별코드 입력(Organization Code, ex: KTFC)

② 사용자 계약에 동의 (Agree) KFTC

③ 사용자 ID 입력

④ 고유하게 부여된 Registration Key 입력

⑤ 마스터 PIN 생성입력 / 재입력

⑥ 등록(Register)


나. idQ ™ 스마트폰 앱(Trusted Device)의 설치(앱 등록)

45

① 카메라에 얼굴을 비추고 화면을손가락으로 2-3초 누르고 안면이미지 캡처

② Enroll(등록)버튼을 눌러 이미지등록 저장

③ 3-5회 각도를 달리해서 반복하여안면인식 정확도를 높임

Enroll


다. idQ ™ 스마트폰 앱(Trusted Device)의 설치(안면인식 등록)

46

① 본인만이 알 수 있는 최소 1개이상의 그림의 조합을 선택

② 낮은 조명등의 이유로 안면인식이 실패할 경우 그래픽인증사용

그래픽 퍼즐의위치는 매번

바뀜


라. idQ ™ 스마트폰 앱(Trusted Device)의 설치(그래픽 2차 인증)

47

① 설치 과정에서 본인이 설정한마스터 PIN을 입력

② idQ™ Trusted Device 메인화면에들어가 2채널인증준비 상태

….hcho ….hcho

설치완료


마. idQ ™ 스마트폰 앱(Trusted Device)의 설치(마스터 PIN입력 후 인증)

48

….hcho

① 화면에서 idQ App선택

② 안면인식(Face Recognition)

③ 안면인식 성공하면 메인화면에서PIN입력

② 안면인식에 실패하면 그래픽 퍼즐화면으로 전환, 미리 설정한 이미지 선택

③ 그래픽선택이 성공하면 메인화면에서PIN입력


바. idQ ™ Trusted Device 로그인 절차

49

7. idQ™ Trusted Access의 세부 기능

50

One platform for many services on mobile or desktop

Desktop Mode

Mobile Mode

….hcho

2Channel on 2devices

2Channel on single device

7. idQ ™ Trusted Access솔루션의 세부기능

가. idQ ™ Gate의 두가지 모드

51

DMZ

idQ Server

1

https://idqgate.idquanta.com

idQ Gate

234

5

6

7

Protected Network

Remote Desktop Servers

Linux/Unix Servers

Web Apps

8

Authorization Channel

Service Channel

나-1. 시스템 개요


나. idQ ™ Trusted Access 2채널(Out of Band) 인증시스템

52

idQ Server

Device

idQ Vault

Gateway

Internet Enterprise

Service channel

Authorization channel

서비스채널(TCP/IP)와 인증채널(Wi-Fi, 3G/LTE)의 완벽한 분할(Out of Band)

Man-In-The-Middle같은 세션하이재킹 공격으로 부터 보호

QR Type의 OTP (Time Stamp내장으로 10마다 QR변경)를 Scan하여 로그인

No User ID/Password 입력

계정탈취가 있어도 물리적으로 등록된 스마트폰과 인증정보를 갖지 못하면 로그인 불가능

나-2. 자동화되고 채널이 완벽하게 분리된 인증절차


나. idQ ™ Trusted Access 2채널(Out of Band) 인증시스템 (계속)

idQ Trusted Device: credential to accessall services

Blocked

Banking/ Credit Card Service idQ Trusted Access Server

Service channel(TCP/IP)

Authorization channel(3G/LTE or Wi-Fi)

idQ Gateway

1. 웹브라우저에서 접속을 원하는 URL입력(예:www.shinhanbank.com)

2. idQ Gateway에서 일단 접속을 차단한 후(Denial by Default) 사용자 PC로 QR(OTP)를 내장한안심로그인화면 보내줌

3. 로컬 Multi-Factors인증(안면인식, Master PIN)을거쳐 등록된 스마트폰의 idQ App을 열어PC화면의 QR을 스캔함

4. 스마트폰앱에 암호화되어저장된 TRC(Trusted Relationship Code)와 사용자 정보(User Credential)를 idQ Trusted Access Server에 보냄

5. 서버의 AD또는 사용자 DB를 서로 확인하여일치 시 사용자의 PC에서 Access허용

Granted

나-3. Scenario I : PC를 통해 접속, 스마트폰으로 인증(2채널, 2디바이스)


나. idQ™ Trusted Access 2채널(Out of Band) 인증시스템 (계속)

53

idQ Trusted Device

GrantedBlocked

On-line services• Banking• Commerce• Government• Health

idQ Trusted Access Server

Service channel(TCP/IP)

Authorization channel(3G/LTE or Wi-Fi)

서비스포트와 인증포트의 분리로 2채널을단일 디바이스에서 구현하여 중간자공격으로 부터 보호

나-4. Scenario II : 스마트폰에서 인증 (2채널, Single Device)



54

On-line services• Banking• Commerce• Government• Health


BlockedGranted

….

나-5. Scenario III : 스마트워치와 스마트폰으로 인증(Extra Factor)



55

Secure

Vault

스마트폰의 중요한 APP 또는 Web Service를

idQ™ Personae(Secure Vault)안에 저장하여

비인가 사용자의 접근 및 사용을 방지

idQ™ Personae는 스마트폰내 특정 공간으로

AES 256bit암호화되어 있음

idQ™ Personae에서 보호되는 앱은 Secure

Vault밖에서는 실행되지 않음

Pro-active방식으로 사이트위변조에 따른

피싱, 파밍, 스미싱공격으로부터 보호

Data를 특정공간(SD카드)에 암호화해서 보호

다-1. idQ™ Personae의 주요 특징


다. idQ™ Personae (앱, 웹서비스 보호) - 계속

56

금융, 공공, 기업서비스등의 안전한

앱(APP)포털을 제공

Secure Vault밖에서는 실행할 수 없음

Secure

Vault

….hcho

….hchoAES 256bit

암호화

전용

Web포털

2채널

인증

다-2. idQ™ Personae의 활용 예


다. idQ™ Personae (앱, 웹서비스 보호)

57

Administration

Organization / User 생성 및 등록

LDAP/ Active Directory연동

다양한 로그관리

Non Repudiation (거래부인방지)

MDM( End Point Control)

OTA Verifier

전용 서버(Appliance) 또는 범용서버

(Open Server)에 소프트웨어탑재 가능

라-1. idQ™ Trusted Access Server의 주요 기능


라. idQ™ Trusted Access Server (계속)

58

idQ Server

Client App

1

User Info API

Authorize API

Access token

client_id , redirect_uri …

Access token

User info

라-2. idQ™ Server Interface API(Support OAUTH2.0)



59

직관적인 관리화면

퍼지(Fuzzy) 검색기능을 통해 쉽게 개별 사용자, 디바이스를 검색

각각의 사용자, 디바이스에 따른 customized 관리 가능

라-3. idQ™ Trusted Access Server의 개별관리 기능(사용자, 디바이스, 그룹별)



60

개별 사용자의 PROFILE과 보유한

디바이스에 대한 자세하고 직관적인

정보를 한눈에 볼 수 있음

관리자에 의해 개별사용자를 쉽게 관리

통제할 수 있음

등록가능 단말기의 수

등록키(Key) 재발급

그룹 선택

라-4. idQ™ Trusted Access Server의 사용자 Profile 및 디바이스 정보



61

스마트폰의 분실이나 도난, 또는 기기 변경의의 경우 인지하는 즉시 Call Center에

전화하여 간단한 본인확인절차( 신용카드분실 시의 경우와 동일)후 분실시 상황에 따라

센터에서 원격으로 ①등록해지 ②원격 삭제 ③사용정지 ④임시인증정지 또는 ⑤저장소에

저장등을 제어할 수 있다.

분실이나 도난에 따른 보안위협에도 안전하게 보호 됨

라-5. idQ™ Trusted Access Server의 원격 End Point Control(MDM)


라. idQ™ Trusted Access Server

62

안녕하세요? 제가 휴대폰을 분실했는데요..어디에 주었는지 기억이 나질않아서요.당분간 사용중지해 주실 수있나요?

안녕하세요? 많이 당황하셨어요? 우선 신원을 간단히 확인하고도와드리겠습니다. 귀하의 앱은 암호화되어 보호되고 있으니 안심하셔도 됩니다.찾으실 때까지 Lock을 걸어드리겠습니다.

분실 및 도난 인지 즉시 콜센터에 전화해서원격에서 기기를 통제 할 수 있음.

라-6. idQ™ Trusted Access Server의 원격 End Point Control(MDM) / 스마트폰 분실 시 사용자보호


63

라. idQ™ Trusted Access Server (End Point Control) - 계속

비인가자가 정확한 PIN을 입력한다해도 idQ App에 들어갈 수 없기 때문에 안전분실 및 도난 인지 즉시 콜센터에 전화해서 원격에서 기기를 통제 할 수 있음.스마트폰을 회수한 경우 원격에서 Unlock, Re-Register, Archive에서 복원할 수 있음

PIN 입력 원격 삭제 원격일시정지

라-7. idQ™ Trusted Access Server의 원격 End Point Control(MDM) / 원격 디바이스 통제


64

라. idQ™ Trusted Access Server (End Point Control)

다양한 이벤트로그를 생성함으로써

인터넷금융범죄사건 발생시 디지털

포렌식(Digital Forensic)을

제공하여 부인방지기능(Non-

Repudiation)을 구현

사용자의 자세한 인증기록을 보관

(시간, 서비스, 인증성공여부,

단말기. IP Address)

금융서비스회사와 소비자간의 거래

기록근거로써 법정분쟁 발생시

법률적 기초자료로 쓰일 수 있음.

라-8. idQ™ Trusted Access Server의 이벤트로그를 이용한 거래부인방지(Non-Repudiation)


라. idQ™ Trusted Access Server (Non Repudiation)

65

8. idQ™ Trusted Access Solution의 특장점

66

다수의 서비스

각각의 서비스에 해당한는 여러개의 암호

반복적인 재설정 비용

더 많은 문제점 등.. . .

. . .

...

가. 재래식 인증솔루션의 문제점


67

. . .. . .

idQ Trusted Server

더 이상 Password를기억할 필요가 없어요!!

idQ Trusted Device: 모든 서비스를

접속할 수 있는 자격이 생김

복수의 서비스

나. 하나의 인증시스템으로 복수의 서비스인증 (Converged Identity Federation)


68

69

9. idQ™ Trusted Access Solution의 활용

서비스 제공 서버• 금융• 정부• 학교• 기업


Service channel Blocked


가. idQ™ 웹 접속인증 솔루션 (Web Access Authorization) - 계속

70

idQ Trusted Device: 모든 서비스를 접속

Granted


인증 Channel

서비스 제공 서버• 금융• 정부• 학교• 기업


가. idQ™ 웹 접속인증 솔루션 (Web Access Authorization)

71

서버• 기업 Back Office• 기업 Cloud• 공공 Cloud• 본사




나. idQ™ 원격접속(RDP) 솔루션 (계속)

72

인증 채널 Granted

서버• 기업 Back Office• 기업 Cloud• 공공 Cloud• 본사




73

나. idQ™ 원격접속(RDP) 솔루션

리눅스서버• 기업 서버• 개발자 서버




다. idQ™ 원격접속(SSH) 솔루션 (계속)

74





75

다. idQ™ 원격접속(SSH) 솔루션 (계속)

인증 채널 Granted





76

다. idQ™ 원격접속(SSH) 솔루션

10. 경쟁 분석

77

기능 구분OTP

RSA H/W Token RSA S/W Token inBay idQ TA

Low

Cost

발급 비용높음

(H/W로 구성)낮음

(S/W로 구성)낮음 (App방식)

배포 비용

높음 (사용자 교육비용, 사용자 등록을 위한 스텝 비용 및 H/W 배포

에대한 비용 발생)

중간(사용자 교육 비용)

낮음

유지보수 비용

높음(손상, 도난, 분실 등으로 인한 대체 비용 및 H/W 재발급에 따른

Help Desk Call 필요)

낮음(대체비용, Help desk call 비용

불필요 혹은 감소) 매우낮음

TCO높음

(높은 발급, 배포 비용)낮음

(저렴한 구축, 발급, 배포 비용)매우 낮음

사용자 인터페이스 인증 수단 입력 ID/Password + OTP ID/Password + OTP QR Code(OTP) 스캔

User

Convenient

사용자 편리성불편

(별도의 H/W Token 상시 지참, 주기적 교체 필요, 재발급 지연)

중간(기존 모바일 기기 사용)

매우편함(No ID/PW)

One token-

Multi Account불가능 불가능 가능

One solution – Multi Purpose 미지원 미지원 가능

강력한 보안 MITM,MITB방어 매체 분리 /1채널 매체분리/1채널 매체분리/2채널 or 2채널 1device

10. 경쟁 분석

가. 2팩터 인증 OTP 솔루션 기능 비교

78

Technologies InBay idQ TA H/W Token S/W Token 타사 Out of Band PKI/Certificate Biometrics

Advantages • 강력한 보안성(Out of Band)

• Easy to use (QR OTP)

• App/Data보호(Secure Vault)

• ID/PW입력 없음• 원격스마트폰 앱통제(End Point Control)

• 거래부인방지

• ID/PW방식보다뛰어난 보안성• 인증 및 승인기능

• Token소지 요이• 패스워드 기억할필요없음

• 다양한 매체지원(HDD, Flash, USB, 스마트폰..etc)

• 강력한 보안성• 다양한 OOB인증메세지 전달방식(e-mail, SMS, voice

calls..)• 패스워드 기억할필요없음

• 사용이 간편(스마트폰 앱방식)

•제3의 인증기관을통한 공인인증방식• Difficult to extract the private key

• 대면 수준의 높은본인식별

• 거래부인방지• 다양한 인증매체지문, 홍체, 안구,안면, 음성, DNA등

Disadvantages • 기술도입 초기단계• 전세계적으로 도입사례 많지 않음

• 고 비용(배포, 교체)• 소지의 불편함• 배터리 수명• 1개의 토큰으로다양한 서비스인증어려움

• 세션하이재킹에취약

• 일정수준의 사용자교육이 필요

• 잘 통제된 환경에서배포, 설치해야 함.

쉽게 해커에 노출 가능서 있음

•공공의 장소(Kiosk)에서 사용시 노출우려 있음.

• 세션하이재킹에취약

• 인증시 마다 SMS등통신비용 발생

• SMS수신 지연에 따라 인증 실패확률있음

• 다른 표준통신망을사용하는 국가에서사용이 어려움.

• 보안에 매우 취약• 공인인증서 갱신에따른 비용발생

• 보안사고발생 시 책임소재 불분명

• 외국인등이나 해외거주자들에게 발급어려움

• 구축시 과다비용발생(scanner)

• 인식률이 낮음(80%~90%)

• 생체정보 노출 시전체적 보안위험

Key vendors InBay Technologies Inc.

• RSA/Safenet• 미래테크놀러지

•Swivel /PINSafe •Authentify•Phonefactor

• Verisign)•Entrust

• Nuance (voice)

10. 경쟁 분석

나. 다른 인증기술과의 비교

79

The Problem InBay solution Current solutions

Even strong

Authentication

is not enough

InBay system converts endpoint (e.g., smartphone) into a

trusted device “node locked” to user.

Trusted device serves as unique identifier and has a vault

for securely containing all information. required for secure

access to an online service.

By default, InBay's patent-pending solution blocks access

to an online service.

Trusted Device generates authorization code, sends it on

a separate channel to idQ Server and if verified, block is

removed to authorize access.

Even if someone obtains your user ID and PW,

your authorization needed to access your account.

Need to enter user ID and password (PW) to access

secure services.

Inadequate for converged world of the Internet,

cloud computing, mobility and big data.

Malware can gain unauthorized access to private,

financial, and confidential information.

Increasingly mobile workforce renders security perimeter,

as we knew it, extinct.

Added security increases cost and complexity, e.g., tokens,

encryption, proprietary authentication systems, complex

PWs and PW managers.

Complex and

inconvenient

User ID and PW automatically entered with successful

authorization.

No need to manage, remember or reset PWs.

Interworks with legacy systems.

Highly secure, two-channel authorization.

Re-registration restores encryption key.

Complex passwords, requiring regular updates.

Multiple PWs to remember and protect

Some forms of protection can result in user data loss, e.g.,

loss of encryption key.

Users often require additional separate, hardware (e.g.,

tokens) for each online service.

High, Total Cost

of Ownership

(TCO)

PW management and reset costs eliminated.

Lower TCO and high concurrency.

Security breaches and violations prevented.

Productivity gains increased.

Users benefit from ease-of use and convenience.

Costly infrastructures ( e.g., PKI, authentication servers,

VPNs, password managers, tokens).

Limited scalability and low concurrency.

PW issues account for 30% of help desk calls, costing

about $25 per call.

10. 경쟁 분석

다. inBay differentiators

80

81

11. 시스템의 구성

솔루션 항목 내 용 특 징 비 고

인증서버

플랫폼

전용 어플라이언스

( Hardware + Software )

HA 구성 가능

범용 서버 ( Windows, Linux서버) HA 구성 불가

Manual Change

(Active / Standby)

인증서버

소프트웨어

서버용 소프트웨어 영구 라이센스

Service방식(Monthly 서비스)

Warranty 1년

클라이언트 (다양한 라이선스 적용방법)

등록사용자 갯수(기업용)

서비스등록 갯수(포털서비스)

인증 시 일정수수료(금융,정부)

영구 라이센스+년간 Subscb

Monthly recurring

Warranty:1년

프로페셔널

서비스

Customization

Deployment Consulting

Saas

본사 개발팀 직접지원

11. 시스템의 구성

가. 하드웨어 및 소프트웨어 구성

82

12. 제품의 추가 개발 기능(개발 중, 예정)

83

Windows AD logon with pGina modules

To replace Windows logon screen to idQ QR scanning before network connection to allow AD logon

Should support Window log on in stand alone mode (i.g. in an airplane or no internet connection environment)

12. 제품의 추가 개발 기능(개발 중, 2014 2Q)

가. Windows AD Log on (신개념의 Single Sign On) 2014, Q1

84

idq trusted access platform · 스마트모바일통합인증/보안 무선전용보안관제 vpn,...

Documents