인터넷은행 환경 조성과 관련하여 금융당국이 발표한 비대면 실명확인 정책은 대면 이상의 정확성을 기하기 위해 다중확인을 원칙으로 하고 있다. 인터넷은행은 기존 인터넷뱅킹과 법적 실체와 사업모델이 다른데, 본인확인 구조로써 인터넷뱅킹의 본인확인 구조를 유지한 채 실명확인만 대면에서 비대면으로 대체하는 것은 최초 가입자에게 불편을 줄 뿐 아니라, 엄격한 대면확인을 거치는 인터넷뱅킹보다 보안위험에 더 노출될 수 있다. 본 연구는 인터넷은행의 서비스 단계를 등급화하고, 등급에 따라 차등화된 서비스등록 및 이용이 이루어지도록 개선된 본인확인 구조를 제안한다. 또한, 인터넷은행에 대해 발생할 수 있는 보안취약점과 공격모델을 수립하고, 각 공격모델에 대한 인증매체의 보안특성과 서비스 단계별 안전성을 분석한 결과 등급에 따라 기존 인터넷뱅킹보다 비슷하거나 더 높은 안전성을 제공하고, 이용자 가입 유도 측면에서 유용함을 확인하였다.
인터넷은행 환경 조성과 관련하여 금융당국이 발표한 비대면 실명확인 정책은 대면 이상의 정확성을 기하기 위해 다중확인을 원칙으로 하고 있다. 인터넷은행은 기존 인터넷뱅킹과 법적 실체와 사업모델이 다른데, 본인확인 구조로써 인터넷뱅킹의 본인확인 구조를 유지한 채 실명확인만 대면에서 비대면으로 대체하는 것은 최초 가입자에게 불편을 줄 뿐 아니라, 엄격한 대면확인을 거치는 인터넷뱅킹보다 보안위험에 더 노출될 수 있다. 본 연구는 인터넷은행의 서비스 단계를 등급화하고, 등급에 따라 차등화된 서비스등록 및 이용이 이루어지도록 개선된 본인확인 구조를 제안한다. 또한, 인터넷은행에 대해 발생할 수 있는 보안취약점과 공격모델을 수립하고, 각 공격모델에 대한 인증매체의 보안특성과 서비스 단계별 안전성을 분석한 결과 등급에 따라 기존 인터넷뱅킹보다 비슷하거나 더 높은 안전성을 제공하고, 이용자 가입 유도 측면에서 유용함을 확인하였다.
Non-face-to-face real name verification policy that financial authorities announced, in order to secure a face-to-face or more of accuracy, are in principle of multi check. The business model and legal entities of Internet banks is different from existing Internet banking. Relpacing real name verifi...
Non-face-to-face real name verification policy that financial authorities announced, in order to secure a face-to-face or more of accuracy, are in principle of multi check. The business model and legal entities of Internet banks is different from existing Internet banking. Relpacing real name verification from face-to-facd to non-face-to-face while maintaining the structure of identification can not only cause inconvenience to a first time member, but also can be more vulnerable to verious security risks. In this study, to evaluate a service level of a bank of the Internet, and provide an improved identification of the structure such that the registration and use of differentiated services is performed in accordance with the evaluation. In addition, the security that may occur with respect to Bank of the Internet to establish a vulnerability and attack model, the results of the analysis of the safety of the step-by-step security attributes and services of the authentication medium of each attack model, existing the safer than Internet banking, confirmed the usefulness in user registration guide.
Non-face-to-face real name verification policy that financial authorities announced, in order to secure a face-to-face or more of accuracy, are in principle of multi check. The business model and legal entities of Internet banks is different from existing Internet banking. Relpacing real name verification from face-to-facd to non-face-to-face while maintaining the structure of identification can not only cause inconvenience to a first time member, but also can be more vulnerable to verious security risks. In this study, to evaluate a service level of a bank of the Internet, and provide an improved identification of the structure such that the registration and use of differentiated services is performed in accordance with the evaluation. In addition, the security that may occur with respect to Bank of the Internet to establish a vulnerability and attack model, the results of the analysis of the safety of the step-by-step security attributes and services of the authentication medium of each attack model, existing the safer than Internet banking, confirmed the usefulness in user registration guide.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구는 계좌개설, 조회, 이체, 대출 등 인터넷은행 서비스 단계를 등급화하고, 등급에 따라 차등화된 실명확인, 서비스등록 및 이용이 이루어지도록 개선된 본인확인 구조를 제안한다. 또한 인터넷은행에 대해 발생할 수 있는 보안취약점에 대하여 가로채기, 메모리해킹, 단말제어 등의 공격모델을 수립하고, 본인확인 인증매체의 보안특성과 서비스 단계별 안전성을 분석한 결과, 등급에 따라 기존 인터넷뱅킹과 비슷하거나 더 높은 안전성을 제공하고, 이용자 가입유도 측면에서 유용함을 확인한다.
가설 설정
인증매체별 보안특성은 각 공격모델에서 공격자가 입수하지 못한 정보에 대해서 무작위 공격 실행을 가정하여 비교분석 한다. 반대로, 공격자가 인증정보 및 인증매체를 확보하면 공격에 성공한 것으로 가정한다. 한편, 최대한의 안전성 분석을 위해, 일반적인 이용자 단말 상황과는 달리, 공격자가 단말에 악성코드를 주입하여 운영체제 메모리에 접근 가능하고, 이용자 단말을 장악하여 원격제어 가능한 강력한 공격수단을 확보한 것으로 가정한다.
인증매체별 보안특성은 각 공격모델에서 공격자가 입수하지 못한 정보에 대해서 무작위 공격 실행을 가정하여 비교분석 한다. 반대로, 공격자가 인증정보 및 인증매체를 확보하면 공격에 성공한 것으로 가정한다.
반대로, 공격자가 인증정보 및 인증매체를 확보하면 공격에 성공한 것으로 가정한다. 한편, 최대한의 안전성 분석을 위해, 일반적인 이용자 단말 상황과는 달리, 공격자가 단말에 악성코드를 주입하여 운영체제 메모리에 접근 가능하고, 이용자 단말을 장악하여 원격제어 가능한 강력한 공격수단을 확보한 것으로 가정한다.
제안 방법
본인확인 모델은 계좌개설 단계의 실명확인과 서비스 이용 단계의 본인확인으로 구성한다. 기존 비대면 실명확인이 확실한 신뢰성을 기반으로 최초 1회만 실시하고, 이후 인터넷뱅킹 서비스 이용을 위한 본인확인 절차가 분리된 구조인 반면, 제안하는 본인확인 구조는 비대면 실명확인과 본인확인을 서비스 단계별 등급관리를 하도록 통합한다. 본인확인 구성요소별 역할은 다음과 같다.
세 번째, 기존계좌 활용은 타 금융회사에 실명확인을 거쳐 이미 개설된 계좌로부터 소액이체 등을 통해 고객의 동 계좌 거래 권한을 확인한다. 네 번째, 직원 방문은 현금카드, OTP발생기 등을 고객에게 우편 등으로 전달 시 은행직원 또는 전달업체 직원이 증표를 통해 실명을 확인한다. 추가인증 방법으로써 타 기관 확인결과 활용은 인증기관 등 타 기관에서 신분확인 후 발급한 휴대폰 번호, 공인인증서, 아이핀 등을 활용한다.
첫 번째, 신분증 확인은 고객이 신분증을 촬영 또는 스캔하여 인터넷(휴대폰 포함)을 통해 제출 하면 금융회사가 신분증 발급기관에 진위여부를 확인한다. 두 번째, 영상통화는 금융회사 직원이 이용자와 영상통화를 하면서 육안 및 안면인식기술을 통해 신분증상 사진과 고객 얼굴을 대조한다. 세 번째, 기존계좌 활용은 타 금융회사에 실명확인을 거쳐 이미 개설된 계좌로부터 소액이체 등을 통해 고객의 동 계좌 거래 권한을 확인한다.
첫 번째는 수취인 계좌번호나 거래금액에 따라 비밀번호가 생성되는 거래연동 OTP이다. 두 번째는 범용적 활용체계가 갖춰지지 않았으나, 비대면 실명확인 정책[7]의 창의적인 방법에 포함되고, 은행권 공동구축 방안이 연구되고 있는 지문인식을 추가적으로 포함하여 검토한다.
제안하는 본인확인 구조는 본인인증 모델, 실명확인 등급, 인증매체 등급으로 나누어진다. 미국 국립기술표준원의 Electronic Authentication 모델[15]을 참조하여 계좌개설, 조회, 이체, 대출 등 서비스 단계별로 증가하는 리스크에 대해 실명확인, 서비스 등록(인증매체 발급) 및 본인인증을 하도록 구성하였다.
첫 번째, 신분증 확인은 고객이 신분증을 촬영 또는 스캔하여 인터넷(휴대폰 포함)을 통해 제출 하면 금융회사가 신분증 발급기관에 진위여부를 확인한다. 두 번째, 영상통화는 금융회사 직원이 이용자와 영상통화를 하면서 육안 및 안면인식기술을 통해 신분증상 사진과 고객 얼굴을 대조한다.
이론/모형
제안하는 본인확인 구조는 본인인증 모델, 실명확인 등급, 인증매체 등급으로 나누어진다. 미국 국립기술표준원의 Electronic Authentication 모델[15]을 참조하여 계좌개설, 조회, 이체, 대출 등 서비스 단계별로 증가하는 리스크에 대해 실명확인, 서비스 등록(인증매체 발급) 및 본인인증을 하도록 구성하였다.
성능/효과
본 연구는 계좌개설, 조회, 이체, 대출 등 인터넷은행 서비스 단계를 등급화하고, 등급에 따라 차등화된 실명확인, 서비스등록 및 이용이 이루어지도록 개선된 본인확인 구조를 제안한다. 또한 인터넷은행에 대해 발생할 수 있는 보안취약점에 대하여 가로채기, 메모리해킹, 단말제어 등의 공격모델을 수립하고, 본인확인 인증매체의 보안특성과 서비스 단계별 안전성을 분석한 결과, 등급에 따라 기존 인터넷뱅킹과 비슷하거나 더 높은 안전성을 제공하고, 이용자 가입유도 측면에서 유용함을 확인한다.
인터넷은행 안전성을 위한 본인확인 방법으로서 서비스 등급에 기반한 본인확인 구조는 낮은 서비스 등급에 대해 낮은 등급의 본인확인 방법을 적용하더라도 기존 인터넷뱅킹 본인확인에 비해 가로채기공격, 메모리해킹, 단말제어 공격으로부터 등급에 따라 기존 인터넷뱅킹 본인확인 구조와 비슷하거나 더 높은 안전성을 제공함을 확인하였다. 또한, 이용자의 가입 유도를 통해 인터넷은행 고객기반 확보에 유용함을 확인하였다. 다만 아직 인터넷은행이 설립 전이고, 운영 데이터가 존재하지 않은 관계로 본인인증 구조와 이용자의 가입실적과의 관계를 정량적으로 규명하는데는 한계가 있었다.
두 번째, 영상통화는 금융회사 직원이 이용자와 영상통화를 하면서 육안 및 안면인식기술을 통해 신분증상 사진과 고객 얼굴을 대조한다. 세 번째, 기존계좌 활용은 타 금융회사에 실명확인을 거쳐 이미 개설된 계좌로부터 소액이체 등을 통해 고객의 동 계좌 거래 권한을 확인한다. 네 번째, 직원 방문은 현금카드, OTP발생기 등을 고객에게 우편 등으로 전달 시 은행직원 또는 전달업체 직원이 증표를 통해 실명을 확인한다.
인터넷은행 안전성을 위한 본인확인 방법으로서 서비스 등급에 기반한 본인확인 구조는 낮은 서비스 등급에 대해 낮은 등급의 본인확인 방법을 적용하더라도 기존 인터넷뱅킹 본인확인에 비해 가로채기공격, 메모리해킹, 단말제어 공격으로부터 등급에 따라 기존 인터넷뱅킹 본인확인 구조와 비슷하거나 더 높은 안전성을 제공함을 확인하였다. 또한, 이용자의 가입 유도를 통해 인터넷은행 고객기반 확보에 유용함을 확인하였다.
후속연구
제안하는 인터넷은행 본인확인 구조는 낮은 등급 서비스에 대해 낮은 본인확인 등급을 요구한다. 계좌개설, 조회 등 이용률이 가장 높은 서비스에 대해 낮은 등급의 간편한 실명확인 방법을 요구하는데, 이러한 구조는 이용자에게 편의성을 제공하여, 이용자에게 가입을 유도하고 인터넷은행의 초기 가입자 기반 확보에 효과가 있을 것으로 기대된다.
(Type A 가로채기) 1등급은 공격자가 신분증 사본 및 개인정보를 취득하여 타인명의 계좌개설이 가능하다. 따라서, 계좌개설 직후 직원이 방문하여 현금카드 등을 전달하는 과정에 신분확인을 하는 후속대책을 적용할 필요가 있다. 2등급 휴대폰 인증은 휴대폰 번호 취득은 가능하나 휴대폰을 소지하지 못하므로 추가공격이 필요하다.
그런데 인터넷은행의 본인확인 구조로써, 기존 인터넷뱅킹 본인확인에 실명확인만 대면에서 비대면으로 대체하는 경우, 최초 가입자에게 다중확인(3중이상)을 요구함에 따라 가입 단계별 앱 설치 및 대기시간으로 이용자에게 불편을 줄 수 있다. 또한, 최초 비대면 실명확인만으로도 모든 금융서비스가 오픈되므로, 엄격한 대면확인을 거치는 기존 인터넷뱅킹 보다 보안위험에 더 노출될 수 있다. 특히, 영업점이 전국에 촘촘하게 배치된 국내 금융 인프라를 감안할 때, 기존 은행서비스 보다 편의성이나 보안성 측면에서 비교우위를 점하지 못하여 가입자 기반확보 및 창의적인 금융서비스 창출에 어려움을 겪을 수 있다.
또한, 높은 등급 서비스를 이용하기 위해서는 실명확인을 통하여 추가적으로 서비스 등록을 하고, 높은 안전성을 원하는 이용자는 높은 등급의 인증매체를 신청하여 발급받을 수 있다. 이처럼, 제안하는 인터넷은행 본인인증 구조는 이용자가 자신에게 적합한 서비스 및 보안수준을 선택하게 함으로써, 기존의 공급자 중심의 서비스를 이용자 중심의 서비스로 전환하는 효과도 있을 것으로 기대된다.
향후 인터넷은행이 설립되어 운영단계에 들어서면, 본인확인 구조의 안전성과 유용성에 대한 상관관계를 정량적인 데이터를 기반으로 연구할 필요가 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
실명확인이란 무엇인가?
실명확인은 「금융실명거래 및 비밀보장에 관한 법률」 (이하 “금융실명법”)에 따라 거래자가 “실지명의”로 금융거래를 하는지 확인하는 것[4]으로, 성명과 실명번호 뿐 아니라 실명확인증표에 포함된 사진 등에 의하여 본인 여부를 확인하는 절차이다[5,6].
인터넷은행이란 무엇인가?
인터넷은행은 영업점을 소수로 운영하거나 영업점 없이 업무의 대부분을 인터넷 등 전자매체를 통해 영위하는 은행을 말하며, 기존 은행 서비스를 인터넷으로 제공하는 인터넷 뱅킹과는 법적 실체에 있어 구분된다[1]. 인터넷은행은 기존 금융서비스에 핀테크 기술이 결합한 창의적인 사업모델 창출을 목적으로 추진되는데[2,3], 인터넷은행 환경 조성과 관련하여 금융당국의 비대면 실명확인 정책은 대면확인 이상의 정확성 제고를 위해 다중확인(3중 이상)을 원칙으로 하고 있다[4].
보안 측면에서 인터넷은행이 불리한 이유는?
그런데 인터넷은행의 본인확인 구조로써, 기존 인터넷뱅킹 본인확인에 실명확인만 대면에서 비대면으로 대체하는 경우, 최초 가입자에게 다중확인(3중이상)을 요구함에 따라 가입 단계별 앱 설치 및 대기시간으로 이용자에게 불편을 줄 수 있다. 또한, 최초 비대면 실명확인만으로도 모든 금융서비스가 오픈되므로, 엄격한 대면확인을 거치는 기존 인터넷뱅킹 보다 보안위험에 더 노출될 수 있다. 특히, 영업점이 전국에 촘촘하게 배치된 국내 금융 인프라를 감안할 때, 기존 은행서비스 보다 편의성이나 보안성 측면에서 비교우위를 점하지 못하여 가입자 기반확보 및 창의적인 금융서비스 창출에 어려움을 겪을 수 있다.
Financial Services Commission, "Internet Primary Bank will be Introduced," Press Release, Jun. 2015
Financial Services Commission, "Internet Primary Bank Preliminary Approval Examination Will Review Centered on Innovation," Press Release, Sep. 2015
Ministrary of Government Legislation, http://www.law.go.kr/lsInfoP.do?lsiSeq154291&efYd20141129#0000 "Law of Real Name Financial Transaction System", Nov. 2014
Financial Services Commission, "A Comprehensive Handbook of The Real Name Financial Transaction System," pp. 3-6, 2008
Korea Federation of Banks, "A Commentary of The Real Name Financial Transaction System," Dec. 2010
Financial Services Commission, "A Rationalization of Real Name Verification on the Account Opening," May. 2015
Byeong-Ho Seo, "Non-face-to-face real name verification introducing notes on," Financial Weekly Briefing, Korea Institute of Finance, 25(3), May. 2015
The Bank of Korea, "2014 The Result of The Usage Patterns of Means of Payment and Implications," Survey Materials 2005-1, Jan. 2015
Bon-Seong Gu, "An Introduction of Internet Bank," Korea Institute of Finance, Finance Policy Research Report, Mar. 2008
Tae-Ho Kim, "A study on Preparation for The Electronic Finance Risk of Domestic Internet Only Bank," Korea Institute of Information Security and Cyptology, 8(5), Oct. 2008
Yong-Jae Kim, "Need for Elimination of The Regulatory Arbitrage on The Real Name Financial Transaction System and The Advancement of The Regulation of The Real Name Verification Procedures," The Korean Journal of Securities Law, 14(2), 2013
Jae-Hoon Lee "Improvement of The Electronic Finantial Service and Developement of The Real Name Financial Transaction System," IT and Law Research 7, Feb. 2013
Geol-Won Bang, "Implementation of The Fingerprint Identification Algorithm Fingerprint Registration," Korea Multimedia Society, pp. 585-589, 2002
William E. Burr, Donna F. Dodson and Elaine M. Newton "Electronic Authentication Guideline", NIST Special Publication 800-63-2, Aug. 2013
Chan-Ju Jeong "Research for Online Identity Verification Using Financial Security OTP," Information Security Journal, 18(5), Oct. 2008
Peotta, Laerte, et al. "A formal classification of internet banking attacks and vulnerabilities," International Journal of Computer Science & Information Technology vol. 3, no. 1, pp. 186-197. Feb. 2011
Han-Na You "A Study on the Two-channel Authentication Method which Provides Two-way Authentication using Mobile Certificate in the Internet Banking Environment," The Journal of The Korean Institute of Communication Sciences 36(8), pp. 939-946, Aug. 2011
Jae-Sik Lee, "A Design of Service Provider Model and Authentication Seheme for Secure Internet Banking," Ph.D. Thesis, Soongsil University Graduate School, Jun. 2013
Han-Wook Lee and Hu-Gen Shin "A Review of User Authentication Strong to The Memory Hacking Attack," Korea Institute of Information Security and Cyptology 23(6) Dec. 2013
National Police Agency, http://www.police.go.kr/portal/main/contents.do?menuNo200286, New Financial Crime(Memory Hacking)
Byung-Chul Cho and Jong-Man Park "Technology Review on Multimodal Biometric Authentication," The Journal of Korean Institute of Communications and Information Sciences 40(1) Feb, 2015
Chang-Hyun Cho, "Research on mobile communication dual channel authentication mechanism for Internet banking environment, security," Soongsil University Graduate School, Jun. 2010
※ AI-Helper는 부적절한 답변을 할 수 있습니다.