2016. 4.

김재중 이사(jjkim@signgate.com)

바이오인증 클라우드 플랫폼 서비스

바이오 인증(FIDO) 기술

바이오 공인인증 서비스

PART

I.

바이오인증 클라우드

플랫폼 서비스

- 4 -Copyright ⓒ 2016 KICA All Rights Reserved

1. 추진배경 (1/4)

1) 쉬운 비밀번호가 유출 사고 원인 : 더 길고 어렵게 해야…

안전도향상 편리성

저하

한 해 200만명 이상 비밀번호 유출사고 겪어…(미 패스워드 관리 전문업체 스플래시데이터 인용, ZDNET 보도, 2016.01.19)

최악의 비밀번호는 123456

그 외 password

12345678

qwerty

12345

비빌번호더 길고 복잡하게 해야 안전

- 5 -Copyright ⓒ 2016 KICA All Rights Reserved

1. 추진배경 (2/4)

2) 비밀번호 규칙 강화의 문제 : 보안은 개선되었지만, 이용자와 사업자 모두 불편

비용의 증가(재발급율에 따른 인증비용)

(SMS:11원, H/P본인확인:40원)

신뢰도 하락(타인의 부정 로그인)

PW분실회원이탈매출하락

비밀번호입력 오류

비밀번호입력 불편

사이트별비밀번호형식 달라

비밀번호찾기 불편

복잡한비밀번호

암기

타인의부정로그인

위험

- 6 -Copyright ⓒ 2016 KICA All Rights Reserved

1. 추진배경 (3/4)

안전하면서도 편리한 인증 방법은 없나?

기억할 필요 없고, 소지할 필요 없고,

비용도 절감할 수 있는 ~~~~

바이오인증 방법의 적용 ~~~

구축 비용 비싼데 ~~~ 직접 구축해야하나?

“바이오인증 클라우드 플랫폼 서비스“

- 7 -Copyright ⓒ 2016 KICA All Rights Reserved

1. 추진배경 (4/4)

• 삼성전자주도로신용카드사/은행중심서비스제공

• 카드결제, 계좌결제, ATM 입출금, 계좌이체등 서비스제공

• 간편결제등에서사용자인증수단으로활용(PIN 대체)

• 금융권에서비대면본인확인방법으로고려

• 공인인증서비밀번호대체수단으로KISA에서주도로진행

• 공인인증서이용의편리성과안전성제공

• 클라우드(SecaaS)기반통합인증서비스제공

• 다양한응용서비스에저렴하고손쉽게적용가능

+

독자구축형 클라우드형

- 8 -Copyright ⓒ 2016 KICA All Rights Reserved

2. 서비스 소개 (1/4)

※ 바이오인증 클라우드 플랫폼이란?

서비스 이용자(제휴사이트 고객)

서비스 제공자(제휴사이트)

KICA 바이오인증 서비스 플랫폼

바이오인증

서비스

바이오공인인증서비스

바이오 로그인 등

지문얼굴얼굴 등

③ 바이오 SDK가 적용된 앱 배포

② SDK를앱에 적용

④ 사이트 앱에서 지문 등록 (FIDO표준 등록절차 – 공개키 전송)

FIDO Infra

① SDK제공

⑤ 바이오정보를 통해서 로그인 (ex. 지문의 경우, Touch)

⑤ 공개키수령

쇼핑포털게임IOT

(기기)등

사용자

⑥ 지문일치시(공개키 확인) 로그인 허용

쇼핑포털게임IOT

(기기)등

사이트 전자서명 등

- 9 -Copyright ⓒ 2016 KICA All Rights Reserved

바이오 원격시동(자동차)

2. 서비스 소개 (2/4)

바이오 로그인(웹사이트) 바이오 원격제어(온도, 조명, 가전)

바이오 OTP

바이오 도어락(현관문)

바이오 공인인증(전자서명)

※ 적용 가능한 영역

① 서비스 : 시작은 로그인에서 ~~, 향후는 IOT 까지 ~~

② 인증수단 : 시작은 지문인증에서~~, 향후는 다양한 바이오인증수단까지 ~~

- 10 -Copyright ⓒ 2016 KICA All Rights Reserved

……

……

……

……

……

……

……

……

……

……

……

……

바이오 인증 플랫폼

DBMS

인증 DB #1 인증 DB #1 인증 DB #1

3. 서비스 소개 (3/4)

지문 얼굴 음성 ……

FIDO 기반 서비스

FIDO 연동 Server SDK

서비스 요청

FIDO 연동Client SDK

배포

App. 적용

서비스 이용

……

……

……

……

KICA 바이오인증 클라우드 서비스

보안/시스템 모니터링

※ 쉽고 편리한 바이오 인증 적용

① 바이오 인증 SDK적용

② S/W, H/W 없이 즉시 이용 가능

SecaaS(SECurity As A Service)

–보안서비스를클라우드서비스의형태로제공하는모델

- 11 -Copyright ⓒ 2016 KICA All Rights Reserved

3. 서비스 소개 (4/4)

Any Authenticator!

WEBPLATFORMS

APPLE IOSANDROID MICROSOFT CLOUD SERVICES;INTERNET OF THINGS

FIDO Server(FIDO1.o, FIDO 2.0)

RP Server

Any Application!

Any Platform!

※ 다양한 플랫폼, 다향한 인증장치, 다양한 응용서비스 제공

① Any Platform: Android, APPLE iOS, Windows, …

② Any Authenticator: 지문, 얼굴, 음성, 홍채, 수기서명, …

③ Any Application: 웹사이트로그인, 공인인증서 로그인, 본인확인, PW대체 등

PART

II.바이오인증(FIDO) 기술

- 13 -

1. FIDO 기술 필요성

PasswordsToo many to remember, difficult to type, and not secure

Server

Device

User

Something Authentication

(Source: NokNok Labs)

Too many passwords to remember re-use

Inconvenient to type password on phone

Password might be entered into untrusted App/Web-site (“phishing”)

Password could be stolen from the server

패스워드 대체 강력한 인증 수단 요구

- 14 -

2. FIDO 정의 및 탄생배경

FIDO는 Fast IDentity Online의 약자로 온라인환경에서 사용자의 신원을 빠르게 식별하기 위한 방법

FIDO 란?

FIDO의 탄생배경

시장현황(안전하거나 ‘or’ 편리하거나)

SECURITY

USABILITY

Weak

Strong

Poor Good

시장요구(안전하고 ‘and’ 편리하고]

지식기반의 인증

소지기반의 인증

바이오인증을 활용할 수 있는

사용자 인증 플랫폼

- 15 -

2. FIDO 기본개념

User DeviceService

생체인증Public Key

Cryptography

사용자 인증과 원격 인증 프로토콜의 분리 사용자 인증수단은 지문, 얼굴, 음성, 홍채, 토큰, 패턴 등 다양하게 지원 원격 인증은 공개키 기반 단일 방식으로 서버 변경 없이 다양한 인증 수단 사용

사용자 로컬인증FIDO 표준 원격인증

Better

Privacy

Better

Experience

Better

Security

Biometrics stay on device

Private Keys stay on device

Faster authentication

More natural experiences

Different authenticators

Public keys instead of passwords

Fraud Reduction

Unified Authentication Infrastructure(Source: NokNok Labs)

- 16 -

3. FIDO 아키텍처

Unified Authentication Protocol(Public Key)

Authentication Methods

Relaying Party

Smart Phone(Samsung)

APP

Authenticator

WEB Server

FIDO Server

FIDO Client

등록(Registration)인증(Authentication)

거래확인(Transaction Confirmation)해지(Deregistration)

Private Key(FIDO) Public Key(FIDO)

Plugin any authenticationMethod on device

Authentication clientsfor any device

FIDO 프로토콜은 등록, 인증, 거래확인, 해지로 구성

- 17 -

3.1 FIDO 등록

FIDO 등록 절차

(Source: www.fidoalliance.org)

- 18 -

3.2 FIDO 인증 & 거래확인 절차

인증 & 거래확인 절차

(Source: www.fidoalliance.org)

- 19 -

4. FIDO Alliance

1. 설립시기 : 2012년 7월, 바이오인증을 활용한 기술표준을 정하기 위한 협의회 창설

FIDO Alliance

2. FIDO Alliance 조직구조(2015.9 기준) : 236개 기업

Sponsor Level

Associate Level

71개 기업 (DELL, GEMALTO, ING, SKT, ETRADE, ETRI, ING, KICA 등)

139개 기업

Board Level 26 개 기업

(Source: www.fidoalliance.org)

- 20 -

5. FIDO UAF CertifiedTM Products

인증제품 종류 : FIDO UAF Server, FIDO UAF Client, FIDO Authenticator

인증업체 목록 (지역별 현황 – 2016.1 기준)

Korea

Japan

US

(Source: www.fidoalliance.org)

China

- 21 -

6. FIDO 기반 인증서비스 국내외 동향

• 2014년 4월: 페이팔은 삼성(+ NokNok)과 서비스 런칭

• 2014년 9월: 알리바바는 화웨이 단말을 통해 서비스 (Alipay Touch) 런칭

• 2014년 12월: 구글(Google)은 U2F 서비스 런칭

• 2015년 2월: Microsoft Windows 10 부터 FIDO 지원 예정

• 2015년 3월: Qualcomm Snapdragon Processor에지문인증 탑재

• 2015년 5월 26일: NTT DoCoMo 서비스 FIDO 적용 런칭

• 2015년 8월 20일: 삼성페이 런칭

- 지원 스마트폰 업체:

- 22 -

7. FIDO 향후 진행방향

구분 AS-IS TO-BE

사용자 환경스마트폰 환경(FIDO 1.0)

PC 등 웹 브라우저 환경으로 확대(FIDO 2.0)

스마트폰운영체계

안드로이드(Android) 환경안드로이드(Android), 아이폰(iOS)등 지원

인증 장치 지문 인증홍채, 얼굴, 음성, 행위 등 멀티팩터 인증으로 확대

인증서비스간편결제(S-Pay, PayPal, AliPay 등)

자금이체, 2채널인증, 싱글사인온등 서비스 확대

인증기술 FIDO 단독 사용FIDO + 공인인증서 결합 등다양한 인증기술과 결합 사용

현재 FIDO 시스템의 현황 및 향후 발전 방향 분석

- 23 -

8. FIDO 기반 인증서비스 확대

스마트폰, 웹브라우저 등을 기반으로 바이오인증을 이용한 다양한 서비스의 진화

PART

III.바이오 공인인증 서비스

+

- 25 -Copyright © 2012 KICA. All Rights Reserved.

1. 서비스 소개

• 바이오공인인증 서비스란? 기존 고객의 스마트뱅킹, 인터넷뱅킹, MTS, HTS에서 사용 중인 공인인증서를 KICA의

“바이오공인인증 서비스”로 보다 편리하고 안전한 공인인증서 사용할수 있도록 제공하는인증 서비스

공인인증서 대체 기술이 아닌보다 편리한 공인인증서 서비스

공인인증서 비밀번호를 지문으로대체하는 서비스

기존 App에 반영할 수 있는 SDK 제공

- 공인인증서 사용고객의 편의성 제공(문자+숫자+특수문자가 섞인 10자리 암호 대체)

- 안전한 공인인증서 사용 제공(금융사 자체 App에 암호화 보관)

- 26 -Copyright © 2012 KICA. All Rights Reserved.

2. 서비스 방식

• 바이오 공인인증 서비스– 한국인터넷진흥원(KISA) 주도로 FIDO의 바이오인증 기술을 연계한 공인인증 활용 기술

– 기존 공인인증서의 ‘비밀번호’를 FIDO 인증 기술을 적용하여 ‘바이오 정보(지문)’로쉽게 인증 할 수 있는 서비스

지문 인증 방식

로그인 완료

공인인증서

- 27 -Copyright © 2012 KICA. All Rights Reserved.

3. 서비스 구성 요소

• 서비스 구축 시 App 필요 항목

– 단말기 제조사 기본 제공 – 기본 지문센서 사용주)

– KICA 제공 목록 – FIDO Client, Authenticator, FIDO Client용 SDK 제공

주) 현재 이용 단말기 : 갤럭시노트5, 갤럭시S6 엣지플러스, 갤럭시S6, 갤럭시S6 엣지, 갤럭시 A5, 갤럭시 A7(2016 에디션), 갤럭시 S7 시리즈…

사용자 AppApp 구성 요소

RP App

FIDO Client

Authenticator

지문API

PKI 모듈

FIDO 표준프로토콜

지문 인식 센서

보안영역(Secure Element)

KICA 제공

- 28 -Copyright © 2012 KICA. All Rights Reserved.

4. 서비스 구성도

• 바이오 공인인증 서비스

– 사용자: 단말기 SE(Secure Element) 영역의 지문 정보로 인증

– KICA: 단말기에서 지문인증 요청시 FIDO Server로 1차 인증 후 OCSP(공인인증서 유효성 검증)을 통해 2차 검증 후 단말기로 인증 정보 전달

CA

FIDO Server

RP Server

Directory Server

OCSP

인증서 검증

FIDO UAF 표준(확장필드:공인전자서명 송/수신)

인증서 발급/ 재발급/갱신

FIDO 표준프로토콜

사용자 단말기

- 29 -Copyright © 2012 KICA. All Rights Reserved.

5. 서비스 인증 방식

• 바이오공인인증 서비스 인증 절차

– OTT(One Time Token)주1) - 일회성의 고유한 시큐어키"는 서비스 실행시도 요청 정보 또는 서비스실행 인증 처리 때마다 일회성으로 발급

– Session Key주2) – KICA가 지문 인증을 위해 생성하여 App 통해 금융社로 전달되는 지문인증 확인 시사용되는 임의의 난수값

삼성 갤럭시(S6, S7, 엣지,

엣지플러스, 노트5, A)

1

고객社

7

지문 인증Session Key주2) 발행

82 인증 요청

3 OTT 전달주1)

4 OTT 서명

5 서명 및 공인인증서 유효성 검증6

9

- 30 -Copyright © 2012 KICA. All Rights Reserved.

6. 서비스의 특장점

Technology

KISA 표준에 따른 간편한 공인인증서비밀번호 대체 바이오인증 기술

공인인증서의 유효성 검증과 지문에대한 인증으로 한번에 2 Factor 인증

FIDO 표준 변화에 따른 신속하고 빠른 Upgrade(FIDO 1.0, FIDO 1.1, FIDO 2.0)

Android, iOS(향후 지원)등 다양한사용자 환경 지원

Business

전자서명법에 의거한 공인인증서 본인확인 (제18조2)

사용자 부인 방지 및 인증 로그 제공

고객社의 App에 SDK 추가로 짧은 시간안에 바이오 공인인증 서비스 구축

빠른 사용자 환경(음성, 안면인식등)에대응

인증 건수에 비례한 유연한 가격 정책제공

- 31 -Copyright © 2012 KICA. All Rights Reserved.

7. 서비스 예시 - 지문등록

• 지문 등록

– 기존 공인인증서로 등록 진행

• 사용자의 단말기에 공인인증서가 등록되어 있는 경우

App 실행 지문 등록 비밀번호 등록 공인인증서 등록

1. 공인인증서 등록을 위해‘공인인증센터’를 선택

2. 공인인증서를 선택하여사용할 지문 등록

3. 선택한 지문에 공인인증서비밀번호 등록

4. 공인인증서에 지문정보등록 완료

- 32 -Copyright © 2012 KICA. All Rights Reserved.

7. 서비스 예시 – 지문인증 Mobile

• 지문인증

– Mobile 로그인: 사용자 단말기에서 App 실행 후 로그인 절차

App 실행 공인인증서 선택 로그인 완료

1. 공인인증서 로그인을 위해‘로그인’을 선택

2. 로그인 할 공인인증서를선택하여 지문인증

3. 공인인증서로로그인 완료

- 33 -Copyright © 2012 KICA. All Rights Reserved.

7. 서비스 예시 – 지문인증 Web(1/2)

• Web page 로그인

– Web Brower에서 로그인 절차

1. 아이디 입력 후 ‘지문인증로그인‘ 클릭

2. 기존 등록되어 있는 스마트폰에 Push 방식으로 App 실행

App 자동 실행

Push

- 34 -Copyright © 2012 KICA. All Rights Reserved.

7. 서비스 예시 – 지문인증 Web(2/2)

• Web page 로그인

로그인 완료

3. 기존 등록한 공인인증서를지문으로 인증

4. App내 로그인 완료메시지

5. Web page 로그인 완료

공인인증서 선택