비밀번호 486 공인인증서 와 엑티브X 완성본

Security No. 486
구진아 김혜경 임주희
전자 상거래 보안,
Are You Okay?

1. 정보보안과 전자상거래
2. 공인인증서와 보안구조(암호화 기능)
3. ActiveX, 그리고 문제점
4. 대안
5. 향후 전망

공인인증서의 의무화 폐지!
30만원 이상의 온라인 카드결제 시 공인인증서 의무 사용화 폐지
단, 온라인 계좌이체로 30만원 이상 결제 시 공인인증서 사용

외부의 공격과 유출을 막아
나의 정보를 지킨다.
시스템 보안
웹 보안
네트워크 보안
전자상거래 보안
모바일 보안
코드 보안
정보보안

1996 한국의
전자상거래 시작
1994 미국
전자상거래 시작
넷스케이프 1.0 개발
SSL 암호화 기능 적용
1999
공인인증서 도입
2002
금융 업무
공인인증서만 유효
2003
증권거래에
공인인증제 의무시행
2005
신용카드 30만원이상시
공인인증서 이용 의무화
2014
의무화 폐지

공인인증서
정보통신의 발달과 초고속 통신망의 보급
전자서명 필요성↑
문서의 전자 유통 증가
인터넷에서의 본인 신원
확인을 위한 증명서
미래창조과학부가 지정한
공인인증기관이 발급
5개의 공인인증기관
+ 25개 금융회사의 등록대행업무
2. 공인인증서와 보안구조

공인인증서 : 4대 기능 (신원확인, 무결성, 기밀성, 부인방지)
부인방지 는 곧,
[
[“송신자와 수신자가 거래하기로 또는 거래 한 내용을
부인하지 못하게 하는 것”

썰전
58회 중
8

잠깐!
인증서 구조보고 가실게요~!
비대칭 공개키 암호화(RSA)
혜경의 비밀키
주희 혜경
[암호화] [복호화]
혜경의 공개키
알고리즘 알고리즘
그대를 만나고
그대의 머리결을
만질수가 있어서
그대를 만나고
그대의 머릿결을
만질수가 있어서
2ab4%ddfgzi
tla#!42apykk
2ab4%ddfgzi
tla#!42apykk
[암호문] [암호문]

다수에게 공개되는 공개키 + 본인만 사용하는 비밀키
공개키는 비밀키와 같지 않다
공개키를 알아도 비밀키 계산 불가능
공개키로 암호화 누구든지 OK! 복호화는 해당 비밀키 소유자만 가능
비대칭 공개키 암호화(RSA) 특징

공인인증서 구조
인증기관
공개키 개인정보
공인인증서
비밀키
공인인증서
비밀키
개인정보 개인키는
컴퓨터에 저장
C:/Prpgram
Files/NPKI
알고리즘

Event :)
12
ㄱ ㄴ ㄷ ㄹ ㅁ ㅂ ㅅ ㅇ ㅈ ㅊ ㅋ ㅌ ㅍ ㅎ
a b c e f g h n o y s p u m
ㅌ ㄹ ㅇ ㅂ ㅊ ㅈ ㅍ

13
정답은
Pengyou (친구)

암호화 기술
1. 암호화 전송기술
2. 사용자 인증
3. OTP (일회용 암호) 로 보안
한국 : 암호화 기술(암호화 전송기술과 사용자 인증)을 위해
‘공인인증서’ 필요
해외 : SSL 로 암호화 기술 해결

SSL프로토콜
www브라우저와 웹 서버 사이에서 데이터를 안전하게 교환하기 위해 인증
인터넷상에서 사용자pc와 웹 서버 사이에 송수신되는 개인정보를 암호화하여
웹 서버와 웹 브라우저간에 신뢰 형성

두 사이트의 차이점은 무엇일까요?
(2개)

그림 출처:KOREA IDC
인터넷에서 문서 교환을 위한 통신규약
네트워크 데이터 가로채기 가능한 문서형태
비연결형 : 페이지를 계속 볼 수 있다
http:// → https://
Http + S(Secure Socket Layer) : 보안강화
SSL프로토콜 이용
암호화 키를 모른다면 데이터 가로채기 X
인터넷 연결이 끊긴다면 https 재인증 필요
(경로 자체에서 인증)

공인인증서의 문제점
1. 안정성
18
나의 컴퓨터에서
공인인증서 개인키를
가져간다면 ???

2. 인증기관 독과점
한국전자인증
한국무역정보통신
한국정보인증
금융결제원
코스콤

3. 바젤 협약 위반
“ 국가는 특정 기술을 강요하지 않아야 하고
금융기관이 반드시 선택해야 한다 “ (제4원칙)

24.26%
4월
17.87%
1월
74.43%
4월
79.77%
1월
4. 호환성
Active X 기반의 공인인증서를 사용하기 위해
IE의 사용은 불가피했다
2013년 기준. 글로벌 정보기술 시장조사업체 스탯카운터 조사

23
3. ActiveX
Active X
인터넷 익스플로러(IE)에서만 사용 가능
Plug In 한 종류
Plug In
웹 브라우저 성능 보조 & 강화
암호화, 멀티미디어 재생이 가능해짐
3. ActiveX, 그리고 문제점

24
Active X
한국 공인인증서의 진짜 문제점

25
Active X
YES Man!?
플러그인 설치의 역설적 문제점
컴퓨터 성능저하 원인
제한된 웹 사용 환경 초래
보안 취약

26
Active X
구글 ‘크롬 NPAPI 사용중지’
모질라 ‘파이어폭스 NPAPI 제거 공지’
정부 홈페이지, 인터넷 뱅킹, 동영상 스트리밍, 웹하드
….. ‘Active X 설치 필수’
한국은?

4.대안
일회용비밀번호
OTP 방식
페이 게이트
금액인증방식
LG CNS
엠페이(Mpay)
이베이
페이팔
1분마다 새로운 비밀번호 생성 →1등급 보안매체
유료 이용, 큰 부피 보관 문제점
(금융기관-판매자-구매자) 거래금액이 암호가 되어,
세 곳 모두 일치할 경우 결제 이루어짐
카드정보, 인증번호는 한번만 입력-application 기반
< 30만원 미만의 전자금융에만 사용 >
개인 금융정보 등록 → 아이디, 비밀번호 발급
→ 로그인만 하면 언제 어디서든 결제 가능
개인정보 수정이 번거로움, 거래과정에서의 수수료

4.대안
아마존 ‘원클릭’

29
ActiveX 없는 안전한 웹 환경
HTML5
4.대안
기존 HTML
텍스트
…
HTML
HTML
비디오, 오디오,
파일처리,
공인인증서…
확장기능 (비표준 영역)
ActiveX등 플러그인 설치
별도 프로그램
IE, FireFox, Safari, Chrome….
브라우저
HTML5
IE, FireFox, Safari, Chrome….
브라우저
텍스트 기존 비표준 영역
(오디오, 비디오, 파일처리 등)
Html5보러가기

5. 향후 전망
점진적 정부(금융감독원) 규제 철폐
민간 시장 개방
논(non) 플러그인 웹 기술에 주목
보안관리 투명성 확보
정기적인 감사 실시

보안이 되지 않아 해킹 당했던 경험담, 그
때 어떻게 대처했는지 등 자신의 경험담
Group Work

비밀번호 486 공인인증서 와 엑티브X 완성본

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 비밀번호 486 공인인증서 와 엑티브X 완성본

Similar to 비밀번호 486 공인인증서 와 엑티브X 완성본 (20)

Recently uploaded

Recently uploaded (7)

비밀번호 486 공인인증서 와 엑티브X 완성본