PKI(Public Key Infrastructure) 인증은 개인키 소지(possession)와 개인키 보호 패스워드 지식(knowledge)이라는 2 요소 인증(2 factor authentication) 능력과 안전한 공개키 암호프로토콜을 통해 인터넷 거래의 신뢰 인프라 구축에 많은 기여를 해왔다. 하나의 인증서로 모든 PKI 사이트를 접근할 수 있는 점도 PKI 인증의 활성화에 기여하였다. 그럼에도 불구하고 인증서 인프라 구축 비용, 인증서 관리에 따른 사용자 불편함, 그리고 개인키 보호 패스워드 관리의 어려움 등에 따른 여러 가지 문제점들이 노출되어 왔다. 최근에 주목받고 있는 FIDO(Fast IDentity Online) 인증은 PKI 인증과 같이 공개키 암호 프로토콜에 기초한 강력한 인증 서비스를 제공하면서도 사용자별 인증서 발급이 불필요하고, 생체 인증 등과 결합하여 안전하고 편리한 인증 서비스 제공을 추구하고 있다. 본 논문은 PKI 인증과 FIDO 인증의 동작 방식을 구체적으로 비교하여 각각의 장단점을 분석하고, 그에 따른 각각의 응용 분야를 제시하는 데 목적이 있다.
PKI(Public Key Infrastructure) 인증은 개인키 소지(possession)와 개인키 보호 패스워드 지식(knowledge)이라는 2 요소 인증(2 factor authentication) 능력과 안전한 공개키 암호 프로토콜을 통해 인터넷 거래의 신뢰 인프라 구축에 많은 기여를 해왔다. 하나의 인증서로 모든 PKI 사이트를 접근할 수 있는 점도 PKI 인증의 활성화에 기여하였다. 그럼에도 불구하고 인증서 인프라 구축 비용, 인증서 관리에 따른 사용자 불편함, 그리고 개인키 보호 패스워드 관리의 어려움 등에 따른 여러 가지 문제점들이 노출되어 왔다. 최근에 주목받고 있는 FIDO(Fast IDentity Online) 인증은 PKI 인증과 같이 공개키 암호 프로토콜에 기초한 강력한 인증 서비스를 제공하면서도 사용자별 인증서 발급이 불필요하고, 생체 인증 등과 결합하여 안전하고 편리한 인증 서비스 제공을 추구하고 있다. 본 논문은 PKI 인증과 FIDO 인증의 동작 방식을 구체적으로 비교하여 각각의 장단점을 분석하고, 그에 따른 각각의 응용 분야를 제시하는 데 목적이 있다.
The two factor authentication capability, private key possession and key protection password knowledge, and the strong public key cryptography protocol of PKI authentication have largely contributed to the rapid construction of Internet transaction trusted infrastructure. The reusability of a certif...
The two factor authentication capability, private key possession and key protection password knowledge, and the strong public key cryptography protocol of PKI authentication have largely contributed to the rapid construction of Internet transaction trusted infrastructure. The reusability of a certificate-based identity for every PKI site was another contribution factor of the spread of PKI authentication. Nevertheless, the PKI authentication has been criticised mainly for the cost of PKI construction, inconvenience of individual certificate management, and difficulties of password management. Recently FIDO authentication has received high attention as an alternative of the PKI authentication. The FIDO authentication is also based on the public key cryptography which provides strong authentication services, but it does not require individual certificate issuance and provides user-friendly and secure authentication services by integrating biometric technologies. The purpose of this paper is to concretely compare the PKI-authentication and FIDO-authentication and, based on the analysis result, to propose their corresponding applications.
The two factor authentication capability, private key possession and key protection password knowledge, and the strong public key cryptography protocol of PKI authentication have largely contributed to the rapid construction of Internet transaction trusted infrastructure. The reusability of a certificate-based identity for every PKI site was another contribution factor of the spread of PKI authentication. Nevertheless, the PKI authentication has been criticised mainly for the cost of PKI construction, inconvenience of individual certificate management, and difficulties of password management. Recently FIDO authentication has received high attention as an alternative of the PKI authentication. The FIDO authentication is also based on the public key cryptography which provides strong authentication services, but it does not require individual certificate issuance and provides user-friendly and secure authentication services by integrating biometric technologies. The purpose of this paper is to concretely compare the PKI-authentication and FIDO-authentication and, based on the analysis result, to propose their corresponding applications.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
그러나 인증서 인프라 구축 비용, 인증서 관리 부담에 따른 사용자 불편, 패스워드 기반의 개인키 보호에따른 안전성과 사용자 불편 문제 등으로 새로운 대안 개발도 활발하게 진행되어 왔다. 본 논문은 결제 대행서비스와 인터넷 뱅킹 등의 분야에서 PKI 인증의 대안으로 떠오르고 있는 FIDO 인증을 기존 PKI 인증과 비교 분석하였다. 생체인식과 결합된 FIDO 인증은 자주접근하는 서버에 인증 장치를 한번 등록하고 나면, 인증서 관리가 불필요하고 패스워드에 비해 높은 관리 편의성과 안전성을 지원한다.
2012년에 결성된 FIDO Alliance는 2014년 U2F(Universal 2nd Factor)와 UAF(Universal Authentication factor) 등 2개의 표준을 발표하였다[13,14]. 본 논문은 패스워드 사용 없이 다중 요소(multi-factor) 보안 서비스 제공을 위해 제안된 UAF 표준을 중심으로 분석한다. FIDO 표준은 PayPal과 Alipay와 같은 대형 결제 대행 업체(PG-Payment Gateway)에 의해 채택되어 사용되고 있으며, 2015년 9월에는 BOA(Bank Of America)가 모바일 뱅킹에 FIDO 인증 적용을 발표하였다[15].
본 연구는 PKI 인증과 FIDO 인증의 동작 방식을 구체적으로 비교하여 각각의 특징을 분석하고, 분석 결과를 바탕으로 PKI 인증과 FIDO 인증에 적합한 응용 분야를 제시하고자 한다. 본 연구 결과를 통해 PKI 인증과FIDO 인증이 적절하게 적용됨으로써, 인터넷 거래 인프라가 보다 안전하고 편리하게 개선될 수 있기를 기대한다.
따라서 PKI 인증과 FIDO 인증이 적합한 응용 분야도 다를수 밖에 없다. 본 연구는 PKI 인증과 FIDO 인증의 차이를 구체적으로 분석하고, 각각에 적절한 응용을 제시하는 데에 초점을 맞추고 있다.
가설 설정
사용자 단에서도 FIDO 인증과 관계가 깊은 클라이언트와 인증 장치(authenticator) 부분만 표시하고, 웹 브라우저, 인증 장치와 클라이언트간의 인터페이스인 ASM(Authenticator-Specific Module) 부분 등은 제외하였다. FIDO 인증에서 인증 대상 사용자의 계정 개설(account open) 작업은 사전에 완료되는 것으로 가정하고, 계정 개설 과정에서 이루어지는 사용자에 대한 신원 확인 방법과 절차는 서버에 따라 결정될 뿐, FIDO 인증과는 무관하다. 계정 개설을 완료한 서버는 서비스수준에 맞는 인증 장치 수용 정책(acceptance policy)과 서명용 챌린지를 클라이언트에 전송함으로써 계정 인증에 사용될 공개키 등록을 요청한다.
제안 방법
FIDO UAF 표준에서는 서비스 제공자에 해당하는 엔티티를 RP(Relying Party)로 표현하고 있으나, 본 논문에서는 RP의 웹 서버 부분 등 FIDO 인증 동작과 관련이 적은 부분은 제외하고 FIDO 서버 부분만 표현하였다. 사용자 단에서도 FIDO 인증과 관계가 깊은 클라이언트와 인증 장치(authenticator) 부분만 표시하고, 웹 브라우저, 인증 장치와 클라이언트간의 인터페이스인 ASM(Authenticator-Specific Module) 부분 등은 제외하였다.
성능/효과
따라서 인증서를 발급하고 관리하기위한 인프라 구축비용 측면에서 보면, 사용자별 인증서발급이 필요한 PKI 인증이 인증 장치 생산자 별 인증서 발급이 필요한 FIDO 인증에 비해 높은 비용 구조를 가짐을 알 수 있다. 그리고 PKI 인증은 사용자가 인증서 발급, 유지, 그리고 관리에 직접 참여해야 하는 데 비해 FIDO 인증은 인증서와 관련하여 사용자의 참여가 불필요하므로, 사용자 편의성 측면에서 FIDO 인증이 유리함을 알 수 있다.
즉, 사용자는 생산자가 자신이 생산하는 인증 장치의 능력에 대한 인증서를 발급 받은 후 생산하는 인증 장치를 단지 믿고 사용하기만 하면 된다. 따라서 인증서를 발급하고 관리하기위한 인프라 구축비용 측면에서 보면, 사용자별 인증서발급이 필요한 PKI 인증이 인증 장치 생산자 별 인증서 발급이 필요한 FIDO 인증에 비해 높은 비용 구조를 가짐을 알 수 있다. 그리고 PKI 인증은 사용자가 인증서 발급, 유지, 그리고 관리에 직접 참여해야 하는 데 비해 FIDO 인증은 인증서와 관련하여 사용자의 참여가 불필요하므로, 사용자 편의성 측면에서 FIDO 인증이 유리함을 알 수 있다.
후속연구
그러나 FIDO 인증은 일정 수준 이상의 보안 능력이 갖추어진 인증 장치에서만 제공이 가능하고, 서버별로 별도의 등록 절차가 필요하며, 공개키의 응용 범위가 등록 서버에 국한되는 등 기존의 PKI 인증과 다른 특징들로 인해, PKI 응용을 빠른 시일 내 광범위하게 대체하기는 어려울 것으로 전망된다. 대신 향후상당 기간 동안 PKI 인증과 FIDO 인증은 상호 경쟁하며 공존하는 것이 불가피할 것이다.
본 연구는 PKI 인증과 FIDO 인증의 동작 방식을 구체적으로 비교하여 각각의 특징을 분석하고, 분석 결과를 바탕으로 PKI 인증과 FIDO 인증에 적합한 응용 분야를 제시하고자 한다. 본 연구 결과를 통해 PKI 인증과FIDO 인증이 적절하게 적용됨으로써, 인터넷 거래 인프라가 보다 안전하고 편리하게 개선될 수 있기를 기대한다.
반면, FIDO 인증을 통해 보다안전하고 편리한 서비스를 제공할 수 있는 응용에 기존 PKI 인증을 계속 적용하는 것은 인터넷 거래 활성화의 걸림돌이 될 것이다. 본 연구가 PKI 인증과 FIDO 인증을 적절하게 활용하여 향후 인터넷 안전 거래 인프라를 효과적으로 발전시켜가는 데에 작은 초석이 되기를 기대한다.
질의응답
핵심어
질문
논문에서 추출한 답변
PKI는 무엇을 통해 보증되는 체계인가?
특히 국가적인 PKI가 잘 구축된 우리나라에서는 2015년 말 기준으로 3,388만개의 인증서가 발급되어 광범위한 분야에서사용되고 있다[1]. PKI는 높은 보안성이 증명된 공개키암호(public key cryptography) 프로토콜에 바탕을 두고있으며, 인터넷 사용 주체별 공개키를 신뢰할 수 있는기관인 CA(Certification Authority)가 인증서 발급을 통해 보증하는 체계이다. 따라서 PKI 환경에서 특정 사용자의 인증서만 확인하면 해당 사용자의 공개키를 믿고 사용할 수 있으며, 인증서의 공개키에 대응되는 개인키(private key)로 작성된 서명 검증(signature validation)을 통해 인증서에 기술된 사용자임을 확인할 수 있다[2,3].
Public Key Infrastructure기반의 인증이 가져오는 문제점은?
그럼에도 불구하고 PKI 인증은 PKI 인프라 구축을위한 정책적 어려움과 높은 비용 부담, 개인별 인증서발급과 유지 관리에 따른 불편함, 그리고 특히 개인키를 안전하게 보호하기 위해 개인이 별도로 관리해야 하는 패스워드에 대한 관리 어려움 등의 문제점들도 함께 노출해 왔다. PC의 파일 시스템과 같은 안전하지 않은저장소에 개인키를 저장하고 패스워드로 보호하는 기존의 일반적인 개인키 보관 메카니즘은, 공격자가 비교적 쉽게 개인키를 복제할 수 있게 허용하고, 따라서 패스워드가 노출되면 개인키도 함께 노출되어 PKI의 2 요소 인증의 의미가 퇴색되게 한다. 이를 극복하기 위해OTP(One Time Password) 시스템과 같은 추가적인 인증 도구의 도입을 필요로 하고, 이는 PKI 인증에서 사용자불편을 가중시키는 또 다른 요인이 되고 있다[6,7].
PKI는 어떠한 프로토콜을 바탕으로 두는가?
특히 국가적인 PKI가 잘 구축된 우리나라에서는 2015년 말 기준으로 3,388만개의 인증서가 발급되어 광범위한 분야에서사용되고 있다[1]. PKI는 높은 보안성이 증명된 공개키암호(public key cryptography) 프로토콜에 바탕을 두고있으며, 인터넷 사용 주체별 공개키를 신뢰할 수 있는기관인 CA(Certification Authority)가 인증서 발급을 통해 보증하는 체계이다. 따라서 PKI 환경에서 특정 사용자의 인증서만 확인하면 해당 사용자의 공개키를 믿고 사용할 수 있으며, 인증서의 공개키에 대응되는 개인키(private key)로 작성된 서명 검증(signature validation)을 통해 인증서에 기술된 사용자임을 확인할 수 있다[2,3].
참고문헌 (18)
Korea Internet & Security Agency. 2016 National Information Security White Paper[Internet]. Avaliable : http://isis.kisa.or.kr/ebook/download_pdf/.
FIPS PUB 201-2, Personal Identity of Verification(PIV) of Federal Employees and Contractors, National Institute of Standards and Technology, August 2013.
FSA 2010-001, A Management Guide for Financial Part Encryption Technologies, Financial Security Agency, Jan. 2010.
Y. K. Song, "Lessons of Public Certificate-related Debates and A Policy-direction Proposal for Future Digital Transactions," KDI FOCUS, No. 51, pp. 1-8, March 2015.
J. H. Lee, "Usability of Accredited Certificate and Its Problems in Smart Environments," Internet & Security Focus, pp. 23-53, March 2013.
H. S. Kim, J. H. Huh, and R. Anderson, "On the Security of Internet Banking in South Korea," Oxford Univ. Computing Laboratory, Technical Report CS-RR-10-01, Oct. 2010.
S. W. Chai, K. S. Min, and J. H. Lee, "A Study of Issues about Accredited Certification Methods in Korea," International Journal of Security and Its Applications, vol. 9, no. 3, pp. 77-84, March 2015.
RFC 5246, The Transport Layer Security(TLS) Protocol Version 1.2, IETF, Aug. 2008.
S. C. Park, "A Comparative Analysis of NPKI and SSL/PLS for Secure Internet Transactions," Journal of the Korea Institute of Information and Communication Engineering, vol 20, no. 2, pp. 289-298, Feb. 2016.
FIDO Alliance, Response to NIST RFI on the Framework for Improving Critical Infrastructure Cybersecurity [Internet]. Avaliable : http://csrc.nist.gov/cyberframework/rfi_comments_02_2016/.
Korea JoongAng Daily, Hana to Use Biometrics to Make Internet Banking Safer[Internet]. Avaliable : http://koreajoongangdaily.joins.com/news/article/.
RFC 5280, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, IETF, May 2008.
Y. J. Maeng, D. O. Shin, S. H. Kim, D. H. Nyang, and M. K. Lee, "A Vulnerability Analysis of MITB in Online Banking Transactions in Korea," Internet and Information Security, vol 1, no. 2, pp. 101-118, Nov. 2010.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.