전자서명법/전자금융거래법 개정안 공청회(May 23, 2013)에서 발표했던 "공인인증서 폐지가 과연 국민의 선택권을 보장하는가?"의 Version.2

1. 고려대학교정보보호대학원
마스터 제목 스타일 편집
고려대학교정보보호대학원
사설·공인인증 공존의 필요성
- 우리 보안 분야는 창조경제 시대를 맞을 준비가 되었는가? -

2. 고려대학교정보보호대학원
마스터 제목 스타일 편집

3. 고려대학교정보보호대학원
마스터 제목 스타일 편집

4. 고려대학교정보보호대학원
마스터 제목 스타일 편집
HARU (www.h4ru.com)
(Founder : 김승주, 2011년)

5. 고려대학교정보보호대학원
마스터 제목 스타일 편집
SECUINSIDE (www.secuinside.com)
(Founder : 김승주, 2011년)

6. 고려대학교정보보호대학원
마스터 제목 스타일 편집
6
 공인인증서의 탄생배경
 공인인증서 = ActiveX?
 SEED의 탄생배경
 외국은?
발표 순서

7. 고려대학교정보보호대학원
마스터 제목 스타일 편집
7
공인인증서의 탄생배경

8. 고려대학교정보보호대학원
마스터 제목 스타일 편집
8
미닉스의 작은 이야기들 (http://minix.tistory.com/)

9. 고려대학교정보보호대학원
마스터 제목 스타일 편집
9
맞는 말
미닉스의 작은 이야기들 (http://minix.tistory.com/)

10. 고려대학교정보보호대학원
마스터 제목 스타일 편집
10
미닉스의 작은 이야기들 (http://minix.tistory.com/)
틀린 말

11. 고려대학교정보보호대학원
마스터 제목 스타일 편집
11
인증서(Public Key Certificate)란?
“도장이 누구의 것인지를
확인해 주는 서류(전자문서)”

12. 고려대학교정보보호대학원
마스터 제목 스타일 편집
공인인증서란? 국가가 발행!
12
인감도장

13. 고려대학교정보보호대학원
마스터 제목 스타일 편집
공인인증서란? 국가가 발행!
13

14. 고려대학교정보보호대학원
마스터 제목 스타일 편집
공인인증서란? 국가가 발행!

15. 고려대학교정보보호대학원
마스터 제목 스타일 편집
사설인증서란? 개인이 발행!
막도장
OOO이 발행

16. 고려대학교정보보호대학원
마스터 제목 스타일 편집
사설인증서란? 개인이 발행!
16
막도장
국민은행이
발행

17. 고려대학교정보보호대학원
마스터 제목 스타일 편집
NPKI vs. GPKI
17
막도장 인감도장 관인

18. 고려대학교정보보호대학원
마스터 제목 스타일 편집
NPKI vs. GPKI
18
막도장 인감도장 관인
NPKI GPKI

19. 고려대학교정보보호대학원
마스터 제목 스타일 편집
공인인증서는 왜 태어났나?
19
왜 PKI는
’공개키기반구조’가 아닌
‘전자서명인증체계’인가?
( 참조 : “공인인증서 탄생 비화”, http://amhoin.blog.me/40173114491 )

20. 고려대학교정보보호대학원
마스터 제목 스타일 편집
공인인증서는 왜 태어났나?
20
정통부 폐지론을 막기
위한 새 먹거리 필요 :
보안 (C-I-A)

21. 고려대학교정보보호대학원
마스터 제목 스타일 편집
공인인증서는 왜 태어났나?
21
정통부 폐지론을 막기
위한 새 먹거리 필요 :
보안 (C-I-A)
Oops!

22. 고려대학교정보보호대학원
마스터 제목 스타일 편집
공인인증서는 왜 태어났나?
22
정통부 폐지론을 막기
위한 새 먹거리 필요 :
보안 (C-I-A)
휴~~

23. 고려대학교정보보호대학원
마스터 제목 스타일 편집
[참고] C-I-A
23

24. 고려대학교정보보호대학원
마스터 제목 스타일 편집
우리나라에 사설인증서는 없었는가?
24
NO!

25. 고려대학교정보보호대학원
마스터 제목 스타일 편집
그러면 사설인증서는 왜 사라졌는가?
25
공인인증서 천만명 보급운동!

26. 고려대학교정보보호대학원
마스터 제목 스타일 편집
26

27. 고려대학교정보보호대학원
마스터 제목 스타일 편집
27
공인인증서 폐지 = 국민의 선택권 보장?

28. 고려대학교정보보호대학원
마스터 제목 스타일 편집
28
공인인증서 폐지 = 국민의 선택권 보장?

29. 고려대학교정보보호대학원
마스터 제목 스타일 편집
어떤 네티즌의 개념 댓글…

30. 고려대학교정보보호대학원
마스터 제목 스타일 편집
어떤 네티즌의 개념 댓글…
(출처: 전자금융거래법)
(출처: 전자금융감독규정)

31. 고려대학교정보보호대학원
마스터 제목 스타일 편집
어떤 네티즌의 개념 댓글…
(출처: 전자금융거래법)
(출처: 전자금융감독규정)
특정기술의 ‘사용 의무화’는 안됨!
-> 서비스 제공자가 보안대책을 스스로 세우고 책임지는 자율규제 방식 필요!!

32. 고려대학교정보보호대학원
마스터 제목 스타일 편집
32
공인인증서 = ActiveX?

33. 고려대학교정보보호대학원
마스터 제목 스타일 편집
공인인증서 = ActiveX?
33
NO!

34. 고려대학교정보보호대학원
마스터 제목 스타일 편집
34
엑티브엑스(ActiveX)란?

35. 고려대학교정보보호대학원
마스터 제목 스타일 편집
35
엑티브엑스(ActiveX)란?
 플러그인(plug-in) : 웹브라우저의 기능을
확장시키기 위해 사용자의 PC에 추가로
설치되는 프로그램
 엑티브엑스(ActiveX): MS의 웹브라우저인
인터넷익스플로러(IE)용 플러그인
 즉, MS의 웹브라우저인 인터넷익스플로러의
기능을 확장시키기 위해 사용자의 PC에
추가로 설치되는 프로그램

36. 고려대학교정보보호대학원
마스터 제목 스타일 편집
36
실생활에서의 금융거래 - 계좌이체 -

37. 고려대학교정보보호대학원
마스터 제목 스타일 편집
37
실생활에서의 금융거래 - 카드결제 -

38. 고려대학교정보보호대학원
마스터 제목 스타일 편집
38
SSL(Secure Socket Layer)이란?

39. 고려대학교정보보호대학원
마스터 제목 스타일 편집
39
 넷스케이프사에서 전자상거래 등의
보안을 위해 개발하였으며, 이후
TLS(Transport Layer Security)라는
이름으로 표준화됨.
 웹브라우저의 기본기능 이므로, ActiveX가
필요 없음
SSL(Secure Socket Layer)이란?

40. 고려대학교정보보호대학원
마스터 제목 스타일 편집
40
SSL Can …

41. 고려대학교정보보호대학원
마스터 제목 스타일 편집
41
SSL Can’t …

42. 고려대학교정보보호대학원
마스터 제목 스타일 편집
42
We Need …
SSL + 서명(Transaction Signing)

43. 고려대학교정보보호대학원
마스터 제목 스타일 편집
43
We Need …
SSL + 서명(Transaction Signing)
기본기능 추가기능 (by ActiveX)

44. 고려대학교정보보호대학원
마스터 제목 스타일 편집
44
We Need … (설상가상으로 …)
SSL + 서명(Transaction Signing)
&
국내 표준암호 SEED
기본기능 추가기능 (by ActiveX)

45. 고려대학교정보보호대학원
마스터 제목 스타일 편집
45
SEED의 탄생배경

46. 고려대학교정보보호대학원
마스터 제목 스타일 편집
국내 표준암호 SEED의 탄생 배경
(출처: 미닉스의 작은 이야기들)

47. 고려대학교정보보호대학원
마스터 제목 스타일 편집
(출처: 미닉스의 작은 이야기들)
국내 표준암호 SEED의 탄생 배경
틀린 말

48. 고려대학교정보보호대학원
마스터 제목 스타일 편집
48
국내 표준암호 SEED의 탄생 배경
원래 자율인 민간분야의
암호사용을 보다 더
활성화시키기 위해…
( 참조 : “SEED 탄생 비화 : 민간분야의 암호사용은 자율!”, http://amhoin.blog.me/40172635907 )

49. 고려대학교정보보호대학원
마스터 제목 스타일 편집
자율인 SEED를 왜 의무적으로 사용하나?
(출처: 전자금융감독규정)
"정보보호시스템"이라 함은 정보처리시스템내 정보를
유출·위변조·훼손하거나 정보처리시스템의 정상적인
서비스를 방해하는 행위로부터 정보 등을 보호하기
위한 장비 및 프로그램을 말한다.

50. 고려대학교정보보호대학원
마스터 제목 스타일 편집
자율인 SEED를 왜 의무적으로 사용하나?

51. 고려대학교정보보호대학원
마스터 제목 스타일 편집
51
(출처: 국가정보원)
자율인 SEED를 왜 의무적으로 사용하나?

52. 고려대학교정보보호대학원
마스터 제목 스타일 편집
52
3DES 또는 AES는 없음!
(출처: 국가정보원)
자율인 SEED를 왜 의무적으로 사용하나?

53. 고려대학교정보보호대학원
마스터 제목 스타일 편집
53
But.. 금융 ≠ 국가·공공
자율인 SEED를 왜 의무적으로 사용하나?

54. 고려대학교정보보호대학원
마스터 제목 스타일 편집
54
외국은?

55. 고려대학교정보보호대학원
마스터 제목 스타일 편집
55
외국은? 자율규제 방식 채택!
정부주도의 획일적인(One size fits all)
보안정책이 아닌, 업체가 자신이 처한
보안위협을 직접 분석하고
적절한 보안대책을 스스로 세우도록
하는 자율규제 방식을 채택
( 참조 : “정보보호도 자율규제 유도를”, http://amhoin.blog.me/40171134976 )

56. 고려대학교정보보호대학원
마스터 제목 스타일 편집
56
외국은? : 부인방지를 위해 HSM 사용!!
(출처 : [FIPS PUB 186-3] Digital Signature Standard (DSS))
 Non-repudiation : A service that is used
to provide assurance of the integrity and
origin of data in such a way that the
integrity and origin can be verified and
validated by a third party as having
originated from a specific entity in
possession of the private key (i.e., the
signatory).
 즉, 부인방지를 위해서는 키 소유의 유일성이
보장되어야 함!

57. 고려대학교정보보호대학원
마스터 제목 스타일 편집
57
외국은? : 부인방지를 위해 HSM 사용!!
(출처 : 오픈넷)

58. 고려대학교정보보호대학원
마스터 제목 스타일 편집
58
외국은? : 부인방지를 위해 HSM 사용!!

59. 고려대학교정보보호대학원
마스터 제목 스타일 편집
59
외국은? : 부인방지를 위해 HSM 사용!!

60. 고려대학교정보보호대학원
마스터 제목 스타일 편집
고려대학교정보보호대학원
사설·공인인증 공존의 필요성
- 우리 보안 분야는 창조경제 시대를 맞을 준비가 되었는가? -