국내에서는 공개키 기반구조(PKI, Public Key Infrastructure)를 도입하여, 온라인상에서 안전한 정보 전송과 신원확인을 위해서 인증서 기반의 전자서명 인증체계를 구축하여 서비스를 제공하고 있다. 하지만 인증의 기본이 되는 온라인상의 개인 인감 증명서라고 할 수 있는 인증서는 사용자들이 쉽게 접근하고 복사할 수 있는 위치에 저장되어 있어, PC에 설치된 악성 프로그램이이나 웹 계정 해킹 등과 같은 공격에 의해 유출 될 수 있는 위험이 존재한다. 또한 개인키 패스워드는 키보드보안기능을 무력화 시킨 후 로깅 툴 등에 의해서 노출될 수 있기 때문에 인증서 파일이 유출되는 경우, 금전적인 피해와 불법 인증을 통한 사회적인 범죄가 발생할 수 있는 위험이 존재한다. 본 논문에서는 인증서와 개인키 파일 유출로 인한 피해를 예방하기 위해 해당 키 파일들을 Device에 의존적인 키로 암호화함으로서 안전하게 저장하고, 유출 되더라도 다른 Device에서 사용할 수 없도록 하는 기법을 제안한다.
국내에서는 공개키 기반구조(PKI, Public Key Infrastructure)를 도입하여, 온라인상에서 안전한 정보 전송과 신원확인을 위해서 인증서 기반의 전자서명 인증체계를 구축하여 서비스를 제공하고 있다. 하지만 인증의 기본이 되는 온라인상의 개인 인감 증명서라고 할 수 있는 인증서는 사용자들이 쉽게 접근하고 복사할 수 있는 위치에 저장되어 있어, PC에 설치된 악성 프로그램이이나 웹 계정 해킹 등과 같은 공격에 의해 유출 될 수 있는 위험이 존재한다. 또한 개인키 패스워드는 키보드보안기능을 무력화 시킨 후 로깅 툴 등에 의해서 노출될 수 있기 때문에 인증서 파일이 유출되는 경우, 금전적인 피해와 불법 인증을 통한 사회적인 범죄가 발생할 수 있는 위험이 존재한다. 본 논문에서는 인증서와 개인키 파일 유출로 인한 피해를 예방하기 위해 해당 키 파일들을 Device에 의존적인 키로 암호화함으로서 안전하게 저장하고, 유출 되더라도 다른 Device에서 사용할 수 없도록 하는 기법을 제안한다.
In Korea, the Public Key Infrastructure (PKI) has been introduced. For secure information transmission and identification, the electronic signature authorization system of a certificate-based is built, and then the service provide.The certificate is stored in location what users can easily access an...
In Korea, the Public Key Infrastructure (PKI) has been introduced. For secure information transmission and identification, the electronic signature authorization system of a certificate-based is built, and then the service provide.The certificate is stored in location what users can easily access and copy. Thus, there is a risk that can be stolen by malware or web account hacking. In addition, private key passwords can be exposed by the logging tool, after keyboard security features are disabled. Each of these security weaknesses is a potential conduit for identity theft, property/asset theft, and theft of the actual certificates. The present study proposes a method to prevent the private key file access illegally. When a certificate is stored, the private key is encrypted by the dependent element of the device, and it is stored securely. If private key leakage occurs, the retrieved key could not be used on other devices.
In Korea, the Public Key Infrastructure (PKI) has been introduced. For secure information transmission and identification, the electronic signature authorization system of a certificate-based is built, and then the service provide.The certificate is stored in location what users can easily access and copy. Thus, there is a risk that can be stolen by malware or web account hacking. In addition, private key passwords can be exposed by the logging tool, after keyboard security features are disabled. Each of these security weaknesses is a potential conduit for identity theft, property/asset theft, and theft of the actual certificates. The present study proposes a method to prevent the private key file access illegally. When a certificate is stored, the private key is encrypted by the dependent element of the device, and it is stored securely. If private key leakage occurs, the retrieved key could not be used on other devices.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 PC하드 디스크에 인증서와 개인키를 저장해서 공격자에 의해 유출되더라도 인증서와 개인키를 안전하게 보호함으로서 피해를 예방할 수 있는 기법을 제안한다. 논문의 2장에서 기존 인증서와 개인키가 저장되고 있는 현황과 특징을 살펴보고, 해당 방식의 취약점을 분석한다.
본 논문에서는 인증서 저장 방식에 대한 기술 규격을 알아보고, 인증서를 PC하드 디스크에 저장했을 때의 취약점을 분석했다. 그리고 인증서와 개인키가 파일의 형식으로 존재하기 때문에 쉽게 복사 되고, 악성 프로그램 등에 의해 쉽게 유출될 수 있으며, 키보드보안 무력화와 키 로깅 툴에 의해서 개인키 패스워드가 유출될 수 있기 때문에 인증서가 유출되어도 안전할 수 있는 방안을 제시했다.
제안 방법
본 논문에서는 인증서 저장 방식에 대한 기술 규격을 알아보고, 인증서를 PC하드 디스크에 저장했을 때의 취약점을 분석했다. 그리고 인증서와 개인키가 파일의 형식으로 존재하기 때문에 쉽게 복사 되고, 악성 프로그램 등에 의해 쉽게 유출될 수 있으며, 키보드보안 무력화와 키 로깅 툴에 의해서 개인키 패스워드가 유출될 수 있기 때문에 인증서가 유출되어도 안전할 수 있는 방안을 제시했다. Secure Key Store 는 사용자의 개인키를 Device에 의존적인 정보를 이용해서 암호화함으로서, 키 파일들이 유출되어도 다른 Device에서는 사용할 수 없도록 설계되었기 때문에 도난이나 유출됨에 따라 발생 할 수 있는 사고를 예방할 수 있음을 보여주었다.
기존 인증서 저장 방식에 이와 같은 취약점이 존재하며 Secure Key Store기술을 제안함으로서, 다음과 같은 안전성을 제공한다.
다음 장에서는 인증서와 개인키를 안전하게 보호함으로서 위와 같은 방식으로 인증서와 개인키가 유출되더라도 다른 Device에서는 사용할 수 없도록 하는 방안을 제안한다.
본 논문에서 제안하는 방안은 현재 사용하는 인증서가 제공하는 기능과 편의성을 유지하면서, 인증서가 유출되더라도 안전할 수 있는 보안 기술이다. 인증서를 하드웨어에 저장하는 것을 지양하기 보다는 제안 기술과 같이 안전하게 개인키와 인증서를 관리할 수 있는 방안을 도입하여, 인증서 저장관련 보안 기능 제공을 권고가 아닌 필수 사항으로 공지하여 모든 가입자 소프트웨어에 Secure Key Store와 같은 보안 장치가 포함되도록 해야 한다.
본 장에서는 기술규격에서 명시하고 권장하는 인증서와 개인키 저장 매체의 종류를 살펴보고, 현재 인증서와 개인키를 저장하기 위해 이용하는 매체 현황과 취약점에 대해서 분석한다.
정당한 목적에 의해서 복사해서 사용하는 경우에는 사용자들에게 편의성을 제공하지만, 공격자가 악의적인 목적으로 인증서를 복사하는 경우에는 사고를 유발하게 된다. 사고를 예방하기 위해 Device에 의존적인 키를 생성해서 PKCS #5 방식으로 암호화되어 있는 개인키를 이중 암호화함으로서 유출되더라도 다른 Device에서는 사용할 수 없도록 하는 기술을 제안한다.
첫째, USB나 스마트 카드 등과 같은 이동식 매체를 이용하여 Secure Key Store를 구성하는 방안이다. PC에서 Device-Map을 추출해서 키를 생성하는 것과 동일한 방식으로 이동식 매체에 적용해서 Secure Key Store를 생성하고, 인증이 필요한 경우에는 이동식 매체를 이용한다.
하나의 Device를 사용하는 것보다 보안성은 떨어지지만, 사용자의 편의성을 위해 다른 PC나 모바일등 다수의 Device에서 Secure Key Store를 사용할 수 있는 방안을 제시한다.
이론/모형
인증서가 저장된 Device에서 안정적으로 추출할 수 있는 정보를 수집하여 유일하게 식별할 수 있는 Device-DNA Code를 이용하여 Device-DNA-MAP를 구성한다.
성능/효과
둘째, Device에 의존적인 키로 인증서와 개인키를 암호화함으로서 유출되더라도 다른 Device에서 로드할 수 없도록 한다. 또한 Device마다 동일한 항목으로 암호화키를 생성하지 않고, 랜덤한 다른 항목을 이용해서 키를 유도하기 때문에 강한 안전성을 제공한다.
셋째, Secure Key Store 파일을 USB와 같은 이동식 매체에 저장하더라도, 지정된PC에서만 인증서와 개인키를 로드 할 수 있기 때문에, USB를 유실하거나 다른 PC에서 로드하려고 시도하더라도 사용할 수 없다.
Secure Key Store 는 사용자의 개인키를 Device에 의존적인 정보를 이용해서 암호화함으로서, 키 파일들이 유출되어도 다른 Device에서는 사용할 수 없도록 설계되었기 때문에 도난이나 유출됨에 따라 발생 할 수 있는 사고를 예방할 수 있음을 보여주었다. 제안된 기법은 현재 사용되는 인증 표준 체계를 그대로 따르면서, 물리적 매체를 보급하기 위한 시간과 금전적인 추가 부담 없이 단시간 내에 적용이 가능하며 공격자에 의해 파일과 패스워드가 모두 노출되더라도 불법적인 사용을 방지할 수 있고, 이동식 저장매체나 다른 매체를 사용하는 경우에 비해 사용자가 쉽고 편리하게 이용할 수 있는 장점이 있음을 알 수 있다. 현재 인증서를 PC의 하드디스크에 보관함으로서 발생할 수 있는 파일 도난, 파일 유출로 인해 발생하는 신원 도용과 같은 불법 사용의 문제에 대해서 보안 USB, 스마트카드, 보안 토큰 등의 안전한 저장 매체를 보급하고 이러한 매체의 사용을 장려하는 것과 동시에 본 본문에서 제시한 기법을 구현한 소프트웨어를 보급함으로써 온라인 쇼핑몰, 인터넷 뱅킹 등과 같은 온라인 상의 여러 어플리케이션에서 안전하게 인증서를 이용 할 수 있는 환경을 조성하는데 기여를 할 수 있을 것으로 기대한다.
첫째, 암호화 되어 있는 인증서와 개인키를 Device-DNA를 이용해서 이중 암호화함으로서 기밀 성을 강화한다. Device마다 다른 비밀키를 이용하여 이중 암호화함으로서 한번만 하는 암호화 방식보다 강한 안전성을 제공한다.
후속연구
제안된 기법은 현재 사용되는 인증 표준 체계를 그대로 따르면서, 물리적 매체를 보급하기 위한 시간과 금전적인 추가 부담 없이 단시간 내에 적용이 가능하며 공격자에 의해 파일과 패스워드가 모두 노출되더라도 불법적인 사용을 방지할 수 있고, 이동식 저장매체나 다른 매체를 사용하는 경우에 비해 사용자가 쉽고 편리하게 이용할 수 있는 장점이 있음을 알 수 있다. 현재 인증서를 PC의 하드디스크에 보관함으로서 발생할 수 있는 파일 도난, 파일 유출로 인해 발생하는 신원 도용과 같은 불법 사용의 문제에 대해서 보안 USB, 스마트카드, 보안 토큰 등의 안전한 저장 매체를 보급하고 이러한 매체의 사용을 장려하는 것과 동시에 본 본문에서 제시한 기법을 구현한 소프트웨어를 보급함으로써 온라인 쇼핑몰, 인터넷 뱅킹 등과 같은 온라인 상의 여러 어플리케이션에서 안전하게 인증서를 이용 할 수 있는 환경을 조성하는데 기여를 할 수 있을 것으로 기대한다.
질의응답
핵심어
질문
논문에서 추출한 답변
PKI서비스에서 인증서의 기능은?
공개키 기반 구조(PKI, Public Key Infrastructure)기반의 인증서는 공개키 알고리즘과 해쉬 알고리즘 등 신뢰되고 안전한 거래를 위해 전 세계적으로 사용되는 암호 알고리즘에 의해 발급되고 사용이 보호된다. PKI서비스에서 인증서는 전자 금융을 거래하기 위한 기본이 되는 접근 수단으로 인터넷 뱅킹, 증권 거래, 인터넷 쇼핑, 전자세금 계산서 등 신뢰를 필요로 하는 온라인 전자 거래 정보의 무결성을 보장하고, 전자거래 행위의 부인방지 기능을 제공한다. 또한 전자서명법에서 인증서를 이용한 전자서명에 대한 법률적 효력을 규정하고 있기 때문에 사이버 상의 많은 사이트들이 신원확인을 위한 최초 인증 수단(log-in)으로 인증서를 사용하고 있다.
안전한 이동식 저장매체들을 이용할 때 발생하는 문제는?
인증서 저장을 위한 기술 규격에서는 PC하드 디스크에 저장하는 것을 지양하며, USB메모리, 스마트카드, 보안토큰 등과 같은 안전한 이동식 저장매체를 보급하여, 인증서를 해당 매체에 저장할 것을 권장한다. 하지만 해당 매체들을 이용하기 위해서는 추가적인 비용이 요구되며, 사용자들은 인증서 저장 매체에 대한 정확한 인식이 없어 보안 인식 제고를 필요로 하기 때문에 단 시간 내에 효과를 기대하기 어렵다. 또한 추가적인 매체를 소지해야 함으로 인해 사용자들에게 불편함을 초래할 수 있고, 해당 매체를 유실하게 되는 경우에는 동일한 문제를 발생시킬 수 있다.
전자서명법의 목적은?
전자서명법은 전자서명에 관한 기본적인 사항을 정함으로써 국가사회의 정보화를 촉진하고 국민생활의 편익을 증진함을 목적으로 1999년 2월5일 법률 제 5792호로 제정되고 2013년 3월23일 법률 제11690호로 일부 개정되었다. 전자서명법은 인증서를 기반으로 하여 전자서명에 법적 인감과 동일한 효력을 부여 함으로써, 온라인상의 전자거래를 활성화시키는 제도적 기반을 마련하였고, 전자서명법에 근거하여 2000년 2월 1호 공인인증기관이 지정된 이후 현재 총 5개의 공인인증기관이 지정되어 공인인증서의 발급/관리 업무를 운용하고 있다.
참고문헌 (10)
Hyung-uk Kim, "A Enhanced Private Key Protection Techniques in the Device Authentication Environments," M.A,Soongsil University, Dec. 2011
Ho-kuen Lee, "public certificate management techniques by random number information for identification," Korea University ,M.A,Dec.2010
National Assembly, "Digital Signature Act(DSN)", Mar, 2013
Korea Internet & Security Agency, "KCAC.TS.CM-Certificate Management in Mobile Device," v1.30, Feb, 2012
Korea Internet & Security Agency, "KCAC.TS.UI-User Interface Specification for the Interoperability between Accredited Certification Authorities," v1.83, Feb. 2012
Korea Internet & Security Agency, "Research on the Actual condition of Electronic Signature System Usage," Dec. 2011
Byung-hoon Kang, Beom-soo Kim and Kyung-kyu Kim, Society for e-Business Studies, "Securing the Private Key in the Digital Certificate Using a Graphic Password," 16(4), pp.1-16, Nob. 2011
Ki-jung Lee , Tae-kyoung Kwon, Seong-woon Hwang and Ki-song Yoon, Jonornal of The Korea Institute of information Security & Cryptology, "A Study on the Secure Storage Device for Protecting Cryptographic Keys in Untrusted DRM Client Systems," 14(2), pp.3-13, Apr.2004
Network Working Group, "Public-Key Cryptography Standards (PKCS) #8 : Private-Key Information Syntax Specification v1.2," RFC 5208, May. 2008
※ AI-Helper는 부적절한 답변을 할 수 있습니다.