휴대폰인증서 서비스 (Ubikey)

㈜인포바인㈜인포바인 2007.07 2007.07

-2-

목 차

I. 서비스 개요

I-1. 서비스 개발 배경

I-2. 서비스 정의

I-3. 서비스 특징

I-4. 서비스 진행 경과

I-5. 서비스 전체 구성도

I-6. 인터넷뱅킹 휴대폰 공인인증서 흐름도

I-7. 서비스 진행 화면

II. 서비스 보안성

II-1. 서비스 보안성 특징

II-2. 보안시스템 구성도

III. 서비스 이용 현황

III-1. 서비스 가입자 현황

III-2. 서비스 이용 요금

III-3. 계약 체결 및 계약 진행 현황

-3-

I. 서비스 개요

I-1. 서비스 개발 배경

2005. 12. 6 [ 중앙일보 ]

공인인증서 , ` 하드 ` 에 깔면 위험 ...

2005. 12.14 [YTN TV]

공인인증서 , PC 에 보관하지 마세요 ...

2005. 6. 7[ 머니투데이 ]

공인 인증서 안전성 논란 ...

2005. 6.27[[ 서울신문 ]

“ 금융거래인증서 HD 에 저장 마세요” ...

2005. 6.11 [ 동아일보 ]

인터넷뱅킹 인증서 보안강화…

2005. 6.27[ 파이낸셜뉴스 ]

금감원，금융사 해킹대응 감독강화 ...

2005. 6.11[ 스탁데일리 ]

구멍뚫린 인터넷 뱅킹 ...

2005. 6.14[ 전자신문 ]

공인인증서 재발급 보안수위 높인다 ...

2005. 6.4 [ 동아일보 ]

인터넷뱅킹 첫 해킹 충격…

2005. 6.17[ 연합뉴스 ]

" 인터넷 뱅킹 안전성에 허점 있다 " ...

[ 인터넷뱅킹 해킹 위험성 ]

현재 공인인증서의 저장 수단으로 하드디스크를 주된 저장매체로 이용하고 있으나 , 이는 공인인증서의 본인소지

원칙에 맞지 않으며 인터넷뱅킹 사고의 주요 원인으로 작용하고 있다 . 아울러 이동 저장매체인 플로피디스크나 USB 는

공인인증서를 저장하여 사용할 수 있으나 휴대의 불편과 분실의 위험이 높으며 , 기업내 보안문제로 사용이 제한적이다 .

이런 상황에서 본인의 휴대폰에 공인인증서를 안전하게 저장해서 편리하게 사용할 수 있도록 본 서비스가 개발 되었다 .

향후 본 서비스가 모바일을 이용한 온라인상의 보편적인 본인 확인수단으로 이용될 것으로 기대된다 .

-4-

I. 서비스 개요

공인인증서를 휴대폰에 1 회 저장 후 , 휴대폰 외에 별도의 추가도구 없이 유 , 무선 인터넷을 이용하여 사용시마다

공인인증서를 컴퓨터로 전송하여 컴퓨터에서 공인인증절차를 수행하게 하는 서비스 .

I-2. 서비스 정의

I-3. 서비스 특징

편의성

- 휴대가 용이하고 사용이 편리하며 , 공인인증서의 재발급 절차 없이 사용가능 . 안전성

- 항상 본인이 지참하는 매체를 이용하며 , 1 회성 사용으로 PC 방 , 공공장소 , 타인의 PC 등에서 사용시에도 안전 . 경제성

- 월정액 900 원으로 무제한 사용이 가능 ( 단 , LGT 제외 ) 그 외

- 대기업 , 벤처기업 등 내부정보 보안정책에 따라 이동식 디스켓 , USB 드라이브 , 이메일 송수신 등의 이용이 엄격히

되어 있는 기업체에서는 공인인증서를 휴대 및 저장할 수 있는 유일한 방법이 되고 있음 .

- 실례 ) SKT 에서는 ’ 05.12 월말 전직원이 본 서비스에 일시 가입함 .

전자 인감증명서 = 공인인증서 , 라는 개념에 부합

전자 개인인감은 하드디스크 (X) 에 보관 하지 않고 , 자신의 관리 하에 휴대 (○) 필요 ※ 휴대매체 : 디스켓 , USB, 스마트카드 , 휴대폰 등

-5-

I. 서비스 개요

I-4. 서비스 진행 경과

(2005.3.24 동아일보 ) (2005.8.27 MBC 뉴스데스크 ) (2005.10.11 서울경제신문 ) (2005.11.22 전자신문 )(2005.3.24 조선일보 ) (2006.3.30 매일경제 )

2005 년 6 월 이동통신사 (SKT, KTF, LGT) 는 인포바인과 시스템 및 네트워크 구축 완료 .

2005 년 8 월 17 일 최초 서비스 개시 ( 신한 , 조흥 , 하나은행 )

현재 13 개 은행 (6 지방은행포함 ), 3 개 중앙회 ( 수협 , 농협 , 신협 ), 우정사업본부 , 새마을금고 , 4 개 카드사

계약

공인인증기관 ( 금결원 ) 계약 , 공공기관 ( 국민연금관리공단 ) 계약 언론기관에서 인터넷뱅킹 보안 관련 우수서비스로 소개

- 조선 , 동아 (2005.3.34), 서울경제 (10.11), 디지털타임즈 , 전자신문 (2005.11.22), MBC(8.27, 9 시 뉴스 )

동아일보 (2006.3.16), 매일경제 (2006.3.30), 한국경제 (2006.10.8), 전자신문 (2006.10.25)

※ 이동통신 3 사에서 단기간에 가장 많은 고객을 확보한 특화 서비스임 . - 특히 SKT 의 경우 , 2006 년도 KPI(Key Performance Index) 로 선정 - 농협의 경우는 농협 모바일뱅킹 실이용 고객을 추월 (2006 년 7 월 기준 )

-6-

SKT

KTF

LGT

SKT 가입자

KTF 가입자

LGT 가입자

WAP 서버

전송 서버

PC전자서명클라이언트

I. 서비스 개요

I-5. 서비스 전체 구성도

고객 PC 송수신 G/W

Internet

IDS/FireWall

-7-

I. 서비스 개요

① 인터넷뱅킹 접속③ 전자서명 클라이언트 배포 ( 은행 )

④ 휴대폰선택후 , 휴대폰번호 전송 ( 유선인터넷구간 연결 )

공인인증서 송수신

은행I-6. 인터넷 뱅킹 휴대폰 공인인증서 흐름도

공인인증서

VM 실행 , 휴대폰번호 전송( 무선인터넷구간 연결 )

⑤

⑤ Callback URL SMS 발송

② 전자서명 요청

⑥

⑥

인포바인

이동통신사

⑦

⑦

공인인증 모듈

인터넷뱅킹고객

-8-

인증서 저장 메뉴선택 SMS 수신내용

1

VM 다운로드 중

승인번호 생성 인증서저장 중

[UBIKey ]인증서 저장을 실행 하시겠습니까 . 6/17 12:00 P 통화 : 연결하기

휴대폰인증서서비스

인증서 관리프로그램다운로드 중 !!

PC 에서 승인번호 입력

I-7. 서비스 진행 화면 ( 인증서 휴대폰저장 )

I. 서비스 개요

2 3 4

5

6

휴대폰 메뉴선택휴대폰 번호입력 ->SMS 발송

1

VM 실행 중 전송할 인증서 선택 승인번호 생성

공인인증 모듈

I-7. 서비스 진행 화면 (PC 에 인증서 전송 )

2 3 4

5

인증서 PC 전송 완료

6

공인인증 모듈

PC 에서 승인번호 입력

-9-

II. 서비스 보안성

End to End 암호화 보안 - “휴대폰 인증서 서비스 ( 유비키 )”는 PC 에 저장된 공인인증서를 휴대폰에 저장하거나 , 휴대폰에 저장된 공인 인증서를 사용자 PC 로 전송시 공인인증서가 유 , 무선 인터넷망을 통하여 전송되기 때문에 공인인증서를 안전 하게 전송하기 위하여 PC와 휴대폰간에 “ End to End” 암호화로 보안 해결 .

휴대폰인증서 서비스 ( 유비키 ) 보안성 - 휴대폰은 현대인의 필수품으로 사용자가 항상 휴대 - 완벽한 보안 알고리즘을 사용하여 공중망을 통해 인증서를 안전하게 전송 (16 자리 승인번호 이용 ) - PC 로 전송된 공인인증서는 1 회성으로 타인의 PC 에 남지 않음

정부의 보안 강화 정책에 부합 - 정보통신부 및 금융감독원은 인터넷상의 해킹 등으로부터 보안성을 강화하기 위해 컴퓨터가 아닌 이 동매체에 저장을 권고 ( 인터넷뱅킹 10 계명 , 금융감독원 : 전자금융거래 안전성 강화 종합대책 (9.18))

II-1. 서비스 보안성 특징

-10-

SKT

KTF

LGT

SKT 가입자

KTF 가입자

LGT 가입자

Internet

전송 서버PCWindow

Client

침입탐지서버

침입차단서버

구 분 내 용

구성안1. 침입차단시스템 및 침입탐지시스템을 Absolute-100 으로 이중화 구성 .2. L4 장비를 이용한 Active-Active FLB 구성 .3. PC 와 휴대폰 단말기 구간에 데이터 암호화 전송 .

특 징

1. 하드웨어일체형 장비로 구성하여 트래픽 병목현상이 없애 원활한 트래픽 처리 .2. 침입차단시스템 및 침입탐지시스템 이중화를 통하여 무중단 시스템 구축 .3. PC와 휴대폰 단말기에 이동되는 데이터는 SEED 알고리즘 이용하여 암호화 전송 .4. PRNG 난수 생성기를 통해 SHA-1 알고리즘을 이용 대칭키 생성 .5. 이동되는 세션키는 RSA 방식을 이용하여 PKI 방식으로 암호화 전송 .

결론1. 금감원에서 권고하는 K4 인증 받은 침입차단시스템 및 침입탐지시스템 이중화 구성 .2. 이동되는 데이터는 금감원에서 권고하는 SEED알고리즘을 이용 .

암호화 통신구간

보안기준 만족

II. 서비스 보안성

II-2. 보안시스템 구성도

WAP 서버

-11-

III. 서비스 이용 현황

SKT : 월정액 900 원 , 데이터 통화료 무료 , VM 다운로드 비용 무료

KTF : 월정액 900 원 , 데이터 통화료 무료 , VM 다운로드 비용 무료

LGT : 월정액 600 원 , 데이터 통화료 유료 , VM 다운로드 비용 유료 (2007 년 7 월 월정액 900 원 변경 예정 )

III-2. 서비스 이용 요금

III-1. 서비스 가입자 현황

가입자 현황 : 966,238명 (2007.6 월말 현재 )

SKT KTF LGT 합계

549,144 293,503 123,591 966,238

-12-

III. 서비스 이용

III-3. 계약 체결 및 진행 현황

은행

- 2005.2.17

- 2005.2.18.

- 2005.3.7.

- 2005.6.3.

- 2005.9.1

- 2005.9.21.

- 2005.9.30.

- 2006.8.25

- 2006.9.4

- 2006.9.18

- 2006.11.30

- 2006.12.8

- 2007.1.

- 2007. 3

- 2007.6

신한은행 휴대폰인증서 서비스 업무 협약외환은행 휴대폰인증서 서비스 업무 협약조흥은행 휴대폰인증서 서비스 업무 협약하나은행 휴대폰인증서 서비스 업무 협약농협중앙회 휴대폰인증서 서비스 업무 협약중소기업은행 휴대폰인증서 서비스 업무 협약한국 스탠다드차타드 제일은행 휴대폰인증서 서비스 업무 협약광주은행 휴대폰인증서 서비스 업무 계약우리은행 휴대폰인증서 서비스 업무 계약경남은행 휴대폰인증서 서비스 업무 계약부산은행 휴대폰인증서 서비스 업무 계약 전북은행 휴대폰인증서 서비스 업무 계약제주은행 , 수협은행 휴대폰인증서 서비스 업무 계약신협중앙회 , 대구은행 , 우체국 , 새마을금고 연합회 휴대폰인증서 서비스 업무 계약한국 산업은행 휴대폰인증서 서비스 업무 계약

카드사

- 2006.3.30.

- 2006.5.25.

- 2006.9.

- 2006.12.1

- 2007.5.2

신한카드 휴대폰인증서 서비스 업무 협약BC 카드 휴대폰인증서 서비스 업무제휴 계약 (번들상품 마케팅 추진 , 2006.10.16)LG 카드 휴대폰인증서 서비스 업무제휴 계약삼성카드 휴대폰인증서 서비스 업무제휴 계약 (번들상품 마케팅 추진 )롯데카드 휴대폰인증서 서비스 업무제휴 계약

기타

- 2006.11.15

- 2006.12.6

금융결제원 휴대폰인증서 서비스 업무 계약 (Apt2you, 인터넷지로 , 계좌이체서비스 제공 )국민연금관리공단 휴대폰인증서 서비스 업무 계약 ( 농심데이타시스템 )

-13-

감사합니다 .