2016년 5월 15일 일요일

카드사 대체 인증기술 보안성 비교 분석

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2431

카드사 대체 인증기술 보안성 비교 분석



- 개 요 -

o `14년 온라인 카드결제시 공인인증서 의무 사용 폐지, 온라인 간편결제 활성화2) 대책 발표 이후 공인인증서를 대체하기 위한 기술이 지속적으로 개발되고 있음

- 다만, 대체 인증기술에 따라 이용 환경(단말기, 운영체제 등)의 제약과 절차상 요구하는 정보의 차이가 존재

o 본 보고서에서는 카드사 서비스 이용(서비스 가입, 결제* 등) 시 제공되는 공인인증서 기반 본인인증 서비스를 대체하는 인증기술의 보안성을 비교 분석함

* 결제 시 인증이 아닌 특정금액 이상 결제하여 추가인증이 필요한 경우

- 제공 예정인 서비스의 경우 일부 내용이 변경되어 출시될 수 있음


- 시사점 -
o 공인인증서 의무 사용이 폐지된 후 공인인증서를 이용한 본인인증을 대체하기 위해 휴대폰 기반 본인인증 서비스가 등장하고 있으며, 인증정보를 안전하게 생성·전달하기 위해 다양한 보안 기술이 적용되고 있음

o 단말기, 추가 인증수단(IC카드)을 통해 인증 정보를 생성하는 것이 상대적으로 안전하지만, 생성되는 위치(일반영역, 보안영역)에 따라 보안성, 위험의 정도가 달라짐

o 지속적으로 발생되는 위협으로부터 이용자를 보호하기 위해서는 사전에 등록된 단말기 기반 인증 이외에도 FDS7), 거래연동 인증, TUI 등의 추가적인 보안 방안을 적용을 고려해야 함

- (FDS) 다양한 수집 데이터를 활용하여 부정인증 시도 여부를 판별하고,유사한 위협에 대해서는 신속한 정보 공유 등의 대응 방안 고려

- (거래연동 인증) 인증 값 생성 시 거래 정보와 연동하여 본인의 거래내역을 확인하여 보안 강화

- (Trusted UI, TUI) 일반영역의 입·출력 값은 캡쳐, 키로깅 등의 위험에 노출되므로 보안영역에 구현하여 입·출력 값 보호 필요


추가 내용은 첨부 파일을 참고 하세요

댓글 없음:

댓글 쓰기