전자금융 거래 시 생체인증을 전자서명에 활용하기 위한 기술 및 법률에 관한 연구 A Study on the Utilization of Biometric Authentication for Digital Signature in Electronic Financial Transactions: Technological and Legal Aspect원문보기
요즘 각 스마트폰 제조사에서 플래그쉽(flagship) 스마트폰 모델에 지문, 음성, 홍채인식 기능을 기본적으로 탑재하면서 생체인증을 활용한 인증수단이 활성화 되고 있다. 이러한 생체인증(지문, 음성, 홍채 등)은 패턴이나, 비밀번호와 같이 스마트폰의 잠금 해제 기능뿐만 아니라 금융권을 중심으로 다양한 인증수단으로 확산되고 있다. 본 논문에서는 생체인증을 통해서 전자금융(인터넷뱅킹, 스마트뱅킹 등)거래 시 사용자를 인증하고, 거래 내역에 대한 전자서명을 통한 부인방지 기술에 대해 설명하고, 이러한 생체인증 기술이 금융서비스에 접목되기 위해 필요한 관련 기술적, 법률적인 요구사항을 연구하고자 한다.
요즘 각 스마트폰 제조사에서 플래그쉽(flagship) 스마트폰 모델에 지문, 음성, 홍채인식 기능을 기본적으로 탑재하면서 생체인증을 활용한 인증수단이 활성화 되고 있다. 이러한 생체인증(지문, 음성, 홍채 등)은 패턴이나, 비밀번호와 같이 스마트폰의 잠금 해제 기능뿐만 아니라 금융권을 중심으로 다양한 인증수단으로 확산되고 있다. 본 논문에서는 생체인증을 통해서 전자금융(인터넷뱅킹, 스마트뱅킹 등)거래 시 사용자를 인증하고, 거래 내역에 대한 전자서명을 통한 부인방지 기술에 대해 설명하고, 이러한 생체인증 기술이 금융서비스에 접목되기 위해 필요한 관련 기술적, 법률적인 요구사항을 연구하고자 한다.
Today, leading smartphone manufacturers offer biometric technologies such as fingerprints, voice recognition, and iris patterns in their flagship models. These biometric technologies are used for authentication. Biometric authentications are widely used in device security and even in financial trans...
Today, leading smartphone manufacturers offer biometric technologies such as fingerprints, voice recognition, and iris patterns in their flagship models. These biometric technologies are used for authentication. Biometric authentications are widely used in device security and even in financial transaction. This paper examines cases where a user uses biometric authentication during financial transaction (both online and smartphone banking), and explains biometric for non-repudiation by digital signature. Finally, the paper also explains technical and legal requirements for biometric authentication in the area of financial services.
Today, leading smartphone manufacturers offer biometric technologies such as fingerprints, voice recognition, and iris patterns in their flagship models. These biometric technologies are used for authentication. Biometric authentications are widely used in device security and even in financial transaction. This paper examines cases where a user uses biometric authentication during financial transaction (both online and smartphone banking), and explains biometric for non-repudiation by digital signature. Finally, the paper also explains technical and legal requirements for biometric authentication in the area of financial services.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 생체인증 기반의 부인방지에 초점을 맞추기 위하여 UAF를 중심으로 고찰하도록 한다.
본 장에서는 거래의 단순화와 편의성을 향상시킨 시대적 흐름에 따라 개정된 전자금융거래법 등 관련법을 살펴보고, 금융 서비스의 관점에서 생체인증을 활용한 전자서명의 신원 확인 효력과 거래 내역 부인방지 효력 및 한계점을 검토해 보고자 한다
본 장에서는 생체인증의 기술 표준인 FIDO(Fast IDentity Online) 규격의 명세 범위와 부인방지 서비스의 요건을 살펴보고, FIDO 기반의 전자서명 및 부인방지 기술들을 고찰하고자 한다.
특히, 전체 금융거래의 89.7%를 비대면(인터넷/스마트폰뱅킹, 자동화기기 등)거래가 차지하고 있는 상황에서, 비대면 거래에 대한 안전성과 고객의 신뢰성을 확보하기 위한 가장 핵심적인 요소는 ‘신원확인’과 ‘부인방지’ 기술이며, 본 논문에서는 FIDO로 대표되는 생체인증 기술을 금융서비스에 적용하기 위한 기술적/법률적 사항을 살펴보았다.
제안 방법
(2) 사용자의 스마트폰 디바이스에서 생체정보(지문, 홍채, 음성 등)를 인식 한 후, 개인키를 이용한 연산 결과를 FIDO 서버에 전송하여 FIDO 서버가 사용자의 공개키로 사용자를 인증한다.
본 논문에서 제안하는 사항은 첫째, 공인인증서에 기초한 전자서명만을 공인전자서명으로 인정하고 있는 전자서명법의 개정이 이루어져야 한다. 공인전자서명에만 부여된 법적 추정력을 일정한 요건을 갖춘 비공인전자서명으로 확대하면 금융회사와 ICT 기업들이 공인인증서에 대한 절대적인 의존에서 벗어날 수 있을 것으로 판단된다.
성능/효과
(1) 거래 내역과 고객의 결합 요건의 확인을 위해서는 우선 대면인증 등 금융기관 책임 하에 고객 신원을 확인하여야 하며,FIDO 인증기(Authenticator)는 신뢰할 수 있는 실행 환경에서 동작해야 한다. 또한, 거래 내역의 전자서명은 안전하게 관리되는 개인키로 수행되어야 한다.
(3) 거래 내역의 변경을 불가능하게 하기 위해 서버에 안전하게 등록된 공개키로 전자서명을 검증해야 하며, 금융기관 서버 내에서 거래 내역과 전자서명을 안전하게 보관하여야 한다.
(3) 인증된 사용자는 단말기 상의 개인키로 거래 내역에 대해 전자서명 연산을 수행하고 그 결과를 FIDO 서버로 전송하여 서버가 사용자의 공개키로 거래 내역 전자서명을 검증하는 프로토콜을 수행할 수 있다.
상기 표에서 보는 바와 같이 FIDO 기술 규격은 생체인증 프로토콜을 통한 사용자 등록, 인증, 전자서명 및 사용자 해지에 대한 규격을 주 내용으로 다루고 있다. 본 논문에서 관심있는 사용자 인증 및 거래 내역의 부인방지 측면으로 분석하면 사용자 인증과 거래 내역 전자서명 부분까지가 FIDO 기술 규격이 제공하는 범위로 판단할 수 있다.
후속연구
끝으로, 금융회사는 핀테크의 활성화에 따른 기술발전 속도에 맞추어 안전한 금융서비스 제공을 위해 선제적 사전 위험평가예방 활동(취약점 분석․평가 강화, 정보보호 관리체계(ISMS)구축 등)[2]를 더욱 강화해 기술 혁신과정에서 유발되는 리스크를 합리적으로 통제하고 소비자 권익을 보호할 수 있도록 노력하길 제안해 본다.
그러나, 앞에서도 고찰해 보았듯이 생체인증을 통한 혁신적이고 안전한 신원확인 및 부인방지 기술이 존재함에도 불구하고 법적/제도적 한계로 인해 공인전자서명의 요건에 해당하지 않는 것으로 판단된다. 따라서, 생체인증 분야의 기술적인 발전만으로는 국제적 흐름에 따른 혁신적 금융서비스의 활성화에 기여하기 어려우며, 관련 정책 및 법․제도의 제정이 반드시 병행되어야 할 것이다.
하지만, 전자서명법 및 관련 법령상의 공인인증기관 설립 요건 문제와 공인인증 규격이 PKI 인증서 규격에 국한되어 있는 등 해결해야 하는 과제가 남아 있는 실정이다. 많은 핀테크 기업들이 새로운 비즈니스 모델로 공인인증서에 준한, 생체인증을 활용한 공인인증 서비스 기관으로 지정될 수 있도록 관련 법규가 개정되어야 하며, 중소규모의 핀테크 기업들이 공인인증기관으로 지정되기 위한 요건(자본금 50억 이상, 시설 및 장비 등)을 완화할 수 있도록 관련 규격의 정비를 위한 연구가 진행되어야 할 것이다.
공인전자서명에만 부여된 법적 추정력을 일정한 요건을 갖춘 비공인전자서명으로 확대하면 금융회사와 ICT 기업들이 공인인증서에 대한 절대적인 의존에서 벗어날 수 있을 것으로 판단된다. 이에 따라 생체인증 등 안전하고 편리한 인증 및 부인방지 기능을 활용한 혁신적인 금융서비스[2]가 연구/개발될 수 있을 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
공인인증서란 무엇인가?
특히, 공인인증서는 공인인증기관(CA)이 발행하는 전자적 정보로서 신원확인, 무결성, 기밀성, 부인방지 등 많은 장점이 있어 국내 전자금융(인터넷뱅킹, 스마트뱅킹 등)거래 시 오랫동안 사용되어 왔다. 하지만, 공인인증서의 실제 사용 환경에서는 ActiveX 등 비표준기술로 구현되어 있어 설치에 따른 사용자의 편의성을 저해하고, 피싱, 파밍 등 악성코드를 통해 사용자 PC나 스마트폰의 NPKI 폴더에서 공인인증서 파일 탈취가 가능하다는 취약점이 지적되어왔다[2].
FIDO 기술 규격은 어떻게 나뉘는가?
FIDO 기술 규격은 크게 두 가지 방식으로 나뉘는데, 지문 및 음성, 얼굴인식 등 생체 정보에 기반한 사용자 인증 과정에 활용되는 표준인 UAF(Universal Authentication Framework)방식과, 기존 ID/Password 인증 방식 및 추가의 보안 정보를 보관하는 USB(Universal Serial Bus) 방식, 스마트카드 등 별도의 인증 장치를 사용하는 U2F(Universal Second Factor) 방식으로 구분된다.
우리나라가 미국, 영국 등 핀테크 선진국처럼 '사후 보안'을 강화하는 방향으로 규제 패러다임을 전환하는 이유는 무엇인가?
이는, 글로벌 경쟁력을 갖춘 핀테크 서비스를 창출하고 핀테크 산업을 우리나라의 신성장 동력으로 육성하기 위함이다[8]. 이러한 정책의 일환으로, 인터넷을 주 채널로 모든 거래가 이루어지는 인터넷전문은행 출시에 앞서, 전자금융거래에서도 공인인증서 의무 사용 폐지(2015.
참고문헌 (10)
Cha, B. R. and Ko, F. I. S., "An OTP(One Time Password) Generation Method Using the Features of Fingerprint," The Journal of Society for e-Business Studies, Vol. 13, No. 1, pp. 33-43, 2008.
Jang, S. S., "A Study on the Effect Fintech on the Information Security Industry," Internet & Security Focus, pp. 4-32, 2015.
Jeong, C. H., "Electronic signature based authentication," Seoul Association For Public Administration, pp. 185-215, 2003.
Jeong, W. Y., "A Comparative research on the revised electonic signature Act," Compare Justice, Vol. 10, No. 4, pp. 1-49, 2003.
Kim, J. D., "The Legal Analysis on the Electronic Signature," Jungang Law Academy, Vol. 6, No. 3, pp. 353-376, 2004.
Lee, H. J., "Biometrics began accelerate in the mobile security authentication means," Digieco, pp. 1-10, 2016.
Lee, J. H., "The biometric authentication technology and financial transactions and its future," etnews, 2016.
Park, J. G., "Understanding and Responding to Fintech services in the information security point of view," Payment and Information Technology, Vol. 61, pp. 70-100, 2015.
Shim, C. S. and Chung, H. W., "A Study on the Improvement in Legal Issues for Related Electronic Signature Acts in Korea Focusing on the Legal Issues Connected with e-Signature and e-B/L," Korea Internet Electrornic Commerce Association, Vol. 10, No 2, pp. 59-75, 2010.
Tsai, C. R., "Non-repudiation In Practice," Second international Workshop for Asian Public Key Infrastructure, pp. 1-2, 2002.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.