2. 계속되는 개인 정보 유출
● 공인 인증서라는 강력한(?)
기술을 사용하고 있지만
● 카드 3사 정보 유출
● KT 정보 유출
● 공인인증서 유출
3. 계속되는 편리한 결제 방식 요구
● 공인 인증서 없는 편리한 방식
요구
● 중국인이 사용할 수 있도록-Park
● 공인 인증서 의무화 관련 법 수정
● 모바일 결제, 지갑 서비스
4. 앞으로의 보안 위협은?
● 더 심각한 유출 사고 및 해킹
사고가 생겨날 것이 분명!
● 국내 기업 보안 의식과 인력 문제
● 암호 및 보안 관련 기술 투자 미비
● 외국 해커의 시도가 많아짐
(하나의 사이트를 해킹 후 피싱등 더 심각한
해킹 시도 가능)
5. 새로운 편리하고 안전한 기술 필요
● 보안
○ 개인 정보를 본인(앱)이 암호화 하고 풀 수 있는 방법
● 편리성
○ 스마폰 사용자는 누구라도 쉽게 사용 가능한 방법
분산 암호화 방식 인증
사용자의 개인정보에 접근하기 위해서 사용자 디바이스
(스마트폰, PC등)에서 암호를 풀어줘야만 접근할 수
있는 방법
7. 기본 아이디어
• SQRL by Gibson Research(익명 로그인)
o 인증서 http://en.wikipedia.org/wiki/SQRL
▪ 스마트폰 생산(분산형)
▪ 실시간 용도별 생산(On the Fly)
▪ 생산과 보관, 관리가 사용자에 의해서 이루어 짐
o QR code 활용, 편리성
• 암호 알고리즘
o Ed25519(ECDSA), Curve25519(ECDH),OCB(AES), Scrypt(SHA-256)
+ (SSL)
8. 원리(스마트폰 내부 – 개인·분산형)
암호화되어 보관된 마스터 키를 비밀번호 입력을 통해 꺼냄 실시간에 해당 사이트별 키를 생성
10. 기술 요약
개인 정보, 결제 정보 암호화
및 전송, 보관
스마트폰 앱을 통해서
QR로 로그인
QR로 인증
QR로 결제
차후 NFC, Bluetooth LE 등 활용 가능
11. 사업화 방향(온라인 금융)
PG 시장 가상 계좌
사업화 관련 시장 변화 온라인 금융 시장 변화
법률적 제도적 부분을 지원할 수 있는 시스템 구현 SqualTech기술기반
12. 현재 시장의 변화
공인인증서 없는
간편한 결제, 뱅킹
사용자
페이게이트 - 알라딘
스마일페이 - 지마켓
페이핀 – 11번가
카카오월릿 – 카카오
...
카드 회사와 이해 관계
법률(금융감독원)
기술적 한계
http://verticalplatform.kr/archives/2874
13. 최종 목표 = Finance Platform
사용자
전체 금융권과 사업제휴
SqualTech
Finance Platform
14. 어떤 시장에 적용 가능한가?
온라인 결제
가상 계좌
POS
T-commerce
B2C, C2C 시장만 약 38조
tving, 오쇼핑, CJ몰, CGV,
올리브영 등 다양한 분야
접목 가능
15. 구현 시나리오
온라인 결제 가상 계좌
POS
T-commerce
2014 2015 2016
카드사, 이통사와 제휴 체결
PG용 시스템 개발
CJ One연동
은행과 제휴
POS, T-Commerce 지원
전자 지갑 지원(P2P)
계속적 보안 개선
16. 시기적인 기회요소
2014 2015 2016
절대강자가 없다
공인인증서 의무화 취소
CJ브랜드 및 One사용자
글로벌 시장
보안 취약? 대규모 정보 유출!
국내 시장 확보
유용하고 안전한 금융 플랫폼
17. 유용함과 안전함
• 누구나 쉽게 사용할 수 있고 활용도 많은
유용한 결제, 전자지갑 앱
• 대형 해킹 사고로부터 안전하게 개인의 정보를
지킬 수 있는 안전한 금융 플랫폼
스마트폰을 이용한 손쉽고 안전한 결제를 유지하며 고객의 소비 활동을 재미있게 촉진시킬 수 있음
게이미피케이션(gamification) + 결제(payment)
22. 왜 안전한가?
ID=공개키 주민번호 결제정보
PK1 ksdfjsdfk fsa1243
PK2 343kKk32 sdfas24
PKn KCKkwe3 wef3KDf2
개인 정보를 풀 수
있는 유일한 방법은
사용자가 실시간에
생성한 비밀키로 풀
수 있음
내부 직원도
해독 불가
23. 원리(키 백업 및 복구)
서버에 두 번의 암호화를 통해 보관
두 장의 QR code로 출력 보관
24. QA
• QR 코드 대체 기술
• NFC, 블루투스LE 등 활용 가능
• 스마트 폰을 사용하지 않는 사용자
• PC전용 어플리케이션 혹은 대체 장치 개발 필요 – 매우 쉽게 개발
가능
• 물품 배송 연동 방법
• 가상의 주소 전달 방법으로 택배사와 연동 가능
• 기존 시스템 변경 사항
• 활용 분야에 따라 편차가 많을 수 있음
25. 왜 스마트 폰 인가?
• 매우 저가에도 공급 가능
• 전용 장치 50$ 이하 가능
• 언제든지 앱을 업그레이드 가능
• 자체 업데이트 매커니즘 가지고 있음
• 다양한 바이오 인식 기술 탑재 가능
• 지문, 홍채, 목소리 다양한 다중 인식 가능
• TFA(Two-factor authentication) 쉽게 가능
• 여러 방법과 이중 망을 동시 사용 가능
• 모바일 디바이스 > PC 시장
26. 공인인증서의 현재
• 인증 시스템의 라이프 사이클 문제
o 인증서를 서버 생산(최종 본)되고 분산(PC, USB등) 관리
o 실시간 생산 불가능한 구조, 생산된 최종 본을 여러 곳에 복제 관리
• 암호 알고리즘
o RSA-2048 > SEED-128 > PBKDF2
o 매우 안전하다고 말할 수 없음, 효율성(생산성) 낮음
• 글로벌화의 한계
o 개발 구현의 시작이 Windows & IE(ActiveX)로
o 사용자를 열악한 환경에 묶어두게 만드는 악순환
• 개인 정보 보호 관련 한계
o 인증서를 각 사이트의 개인 정보 암호화에 사용하지 못함
o 공인인증서가 있지만 개인 정보는 유출되고 있음
27. 공인인증서 장단점
사용성 보안
장점
● 어쩔 수 없이 익숙하다 ● 누가 사용했는지 정확히 알 수 있다
● 기존 시스템에 이미 많이 적용되어
있다
단점
● 설치가 어렵다
● 본인 PC이외에 사용 불편
● 외국인 사용이 매우 불편
● 1년 단위 갱신
● PC에서 키생성, 보관
● 여러 곳에 키를 복제하여 보관
● 키의 보호가 쉽지 않음
● 갱신시 보안 취약
28. 개인 인증에만 치우친 보안 취약점 (PC)
신원확인, 무결성, 기밀성, 부인방지
보안
공인인증서
강력한
쉬운 해킹 방법으로 취약한 PC등 공격 가능
방지하기 위한 각종 ActiveX 보안 앱 설치
29. 개인 인증에만 치우친 보안 취약점 (서버)
낡은 수준 보안과 암호화
되지 않은 개인 정보
자동화된 쉬운 방법으로
해킹 가능
30. 익명 로그인
● ID와 Password를 요구하지 않음
● 스마트폰에서 키에 해당하는 UID(Unique ID)를 생성, 인증하는 방식
31. 하지만 개인확인(Identification)은?
• 개인의 정보(신원확인, 부인방지)와 연결을 필요로
할 경우
o 개인의 정보를 저장, 보관, 조회하는 안전한
서버를 활용
o 안전하게 개인이 생산한 공개키로 암호화 하여
저장
o 개인이 실시간 생산한 비밀키로만 풀 수 있음
32. 다양한 인증 방법 활용 가능
인증 방법 안전성 편리성 외국인 용도
휴대폰 SMS 통한 인정
번호 입력 방법
낮음 높음 쉽다 쇼핑
카드 인증 카드에 가상 결제
금액을 통한 확인
높음 중간 중간 고액 쇼핑
은행 대면
인증
은행 방문 높음 낮음 매우 어렵다 뱅킹
고액 쇼핑, 행정업무
OTP 전용 장치 매우 높음 중간 어렵다 고액 뱅킹
고액 쇼핑, 행정업무
용도별 혼합 인증 가능
33. SQRL활용한 익명 로그인의 장점
• 익명
o 개인 정보가 없음
o 실시간 생성된 공개키가 ID
• 스마트폰 활용
o 비밀번호 전송이 없음
▪ 서버에 비밀 번호가 존재하지 않음
▪ 비밀 번호가 노출될 확률이 낮음
• 편리함
o QR 코드 스캔만으로 로그인 가능
34. 구현 서버 구성도
User
자체 서버
정보
전송
고객
사이트
정보
보관
인증게이트
Web
Browser
App
VPN
VPNVPN
SSL SSL
- 개인 정보 전송(부분)
- 개인 정보 전송(전체)
- 개인 정보 전송(전체)
- 개인 정보 전송(부분)
- 개인 정보 전송(부분)
35. 구성 요소별 역할
● App(현재 스마트폰 앱 형태로만 개발됨, 차후 다양한 플랫폼 지원 가능)
○ 마스터 키 생성,보관
○ 사이트별 개인 키 생성(실시간)
○ 개인 정보 암호화, 복호화
● 웹 브라우저
○ 사이트의 웹 페이지 정보 표시
● 인증 게이트
○ 개인의 정보를 전달하는 역할
● 정보보관 서버
○ 암호화된 개인 정보를 보관
● 정보 전송 서버
○ 각 사이트의 서버에 정보를 전달해주는 역할
36. 실제 활용
● 스마트폰 앱을 통한 사용자 가입
○ 앱 내부에서 암호화하여 인증 게이트로 전송
○ 다양한 개인 정보를 다국어로 입력, 보관 가능
● 스마트폰 앱을 통한 로그인
○ 사이트의 언어를 몰라도 단순히 QR 코드 스캔만으로 가능
● 스마트폰 앱을 통한 개인 정보 확인 가능
○ 해당 사이트가 개인 정보를 필요한 경우 QR코드 스캔만으로 전송 가능
○ 암호를 풀 수 있는 곳은 오직 App뿐
● 스마트폰 앱을 통한 결제 가능
○ 온라인 쇼핑몰에서 QR코드 스캔만으로 결제 가능
○ 결제 정보는 본인 만이 앱을 통해 풀 수 있음
37. 공인 인증서와 개인·분산형 비교
공인인증서 개인·분산형 비고
안전성
비밀키 쉽게 해킹 가능 , 특히
많은 사이트들의 비밀번호와
동일
실시간 키를 생산 함, 비밀키
획득이 어려움 또한 모두 휴대폰
안에만 존재, 비밀 번호 노출이
현저히 줄어들게 됨
편리성
사용할 PC에 매번 복잡한 설치
필요, 보안 강화를 위한 복잡한
SW설치 필요
스마트폰으로 QR 코드
스캔만으로 모든 장치에 사용
가능(POS, 영수증, ATM등)
확장성
외국인 사용이 매우 어려움 스마트폰을 사용하는 경우 매우
편리하게 사용
스마트폰이 없는
경우도 사용할 수
있도록 기술 개발
진행 필요