본문 바로가기
스티븐 디지털伺

공인인증서와 생체인증의 특징과 차이

by 하승범 위드아띠 2016. 1. 11.

생체인증(FIDO)와 공인인증서는 모두 '공개키 기반구조(PKI)'을 활용하고 있다. 이로 인해 체인증(FIDO, Fast Identity Online, 생체정보를 이용한 온라인 간편인증)이 공인인증서를 대체할 수 있는가에 대한 관심이 크다. 결론적으로 모든 분야에서 대체될 수 없다.



공개키 기반구조(PKI)는 암호화 키와 복호화 키로 구성한 공개 키를 기존에 설정한 비밀 키와 비교해 일치 여부를 확인하는 전자서명 기술이다.



'공인인증서'는 △ 온라인 상의 본인확인 기능 (주민등록번호 대체효과) △ 공개키 기반 인증 (with X.509 Certification) 기능 △ 부인방지 기능 (부인방지를 위한 공인전자서명 값 생성) 등을 수행한다



공인인증서의 4대 기능 : 신원확인, 무결성, 기밀성, 부인방지

> 부인방지(Non-Repudiation) ;  '송신자와 수신자가 거래하기로 또는 거래한 내용을 부인하지 못하게 하는 것.



공인인증서 서버는 공인인증으로 접속한 사용자가 "수미온"이라고 공식 확인하는 것이다. (주민등록번호 대체) 그러나 로그인된 사용자가 얼마나 안전한 키(Key) 관리 환경에서 접속되었는지는 확인되지 않는다. 


따라서 공인인증서를 PC 하드디스크나 USB메모리에 보관하는 것은 위험하다. 안전한 저장매체인 보안토큰이나 스마트폰 유심(USIM, 모바일 보안토큰)에 보관하여야 한다. 공인인증서가 유출되어 다른 사람이 접속을 해도 공인인증서 서버는 '수미온'이 로그인 되었다고 보기 때문이다.


'생체인증(FIDO)'는 △ 기존 서비스 가입자의 ID/PW보다 강력한 인증기능 (다양한 사용자 Verification 수단활용) △ 공개키 기반 인증 (with Primitive Public Key) 기능 △ 전자서명 기능 (with Secure Display, Not 공인전자서명) 등을 수행한다.


생체인증(FIDO)는 사용자에게 '인증서' 개념이 적용되지 않는다. 따라서 등록된 생체인증(FIDO)를 통해 생체인증 서버에 접속하더라도 기존 지식기반(아이디/패스워드) 본인인증처럼 "사용자(이용자)"인지만 확인한다. 그 '사용자'가 "수미온"인지 증명할 수 없다 (실명확인 불가) 


단지 기존 지식기반 본인인증보다 강력한 인증수단으로 생체인증 서버에 접속한 사용자가 얼마나 안전한 키(Key) 관리환경(장치)에서 로그인되었는지 확인이 가능하다는 것이다. 이것이 생체인증(FIDO) 보안의 핵심이다 (Attestation 개념) 즉 사용자가 삼성 캘럭시 S6의 생체인증(FIDO) Client를 이용할 경우 생체인증 서버는 생체인증(FIDO) 등록과정에서 생성된 공개 키(Key), 개인 키(Key)가 디바이스의 안전한 공간(TEE)에 저장되어 유출가능성이 매우 낮다는 것을 확인한다.


따라서 공인인증서에 없는 장점을 생체인증(FIDO)가 갖고 있어, 생체인증(FIDO)에 공인인증서를 연동하거나, 기존 공인인증서 시스템에 생체인증(FIDO)의 장점을 접목하면 "최고의 인증시스템"이 만들어진다.



단, 주민등록번호를 기반으로 본인확인이 필요한 경우 생체인증(FIDO)로 공인인증서를 대체할 수 없다. 이 경우는 생체인증(FIDO)에 '휴대폰 본인확인'과 같은 주민등록번호 대체인증수단을 연동하여 사용하여야 한다. 




최근 한국인터넷진흥원(KISA)은 2016년 부터 공인인증서에 비밀번호를 입력하는 현재 '로그인 방식(패스워드 입력)'을 대신해 지문, 정맥, 홍채 등 생체정보(FIDO)를 통한 인증을 적용하는 방안을 도입한다고 발표했다. ('생체인증(FIDO)인증기술과 공인인증서 연계기술개발') 


생체인증(FIDO) 그 자체로 편리하게 이용할 수 있지만 대면등록이 없어 공인인증서를 연계할 경우 고액 이체 등 부인방지 기능이 필요한 실시간 금융거래 등에 적용있다. 즉, 생체인증(FIDO)의 경우 생체정보에 대한 위변조 등이 발생해도 확인이 어렵다는 한계를 공인인증서로 보완하게 된다. 



2012년 7월 설립되어 온라인 환경에서 생체인식기술을 활용한 기술표준을 정하고 있는 FIDO Alliance는 2014년 "바이오인식과 공개키 기반 인증서(PKI, 공인인증서)의 결합을 표준으로 발표하였다.




한국인터넷진흥원이 추진하는 공인인증서 지문인식 기능은 스마트폰 기반으로 작동한다. 즉 지문인식이 가능하는 센서를 부탁한 스마트폰에 지문을 저장해두면 컴퓨터나 스마트폰에 연결해 공인인증서를 사용할 수 있다. 이렇게 되면 공인인증서 사용을 위해 설치했던 액티브X 보안프로그램을 설치하지 않아도 지문인식 기능을 통해 공인인증서를 사용할 수 있다.  () 2016-01-11



반응형
사업자 정보 표시
위드아띠 주식회사 | 하승범 | 서울시 서초구 방배천로2길 21 4층 비즈온 위드아띠 | 사업자 등록번호 : 445-86-00793 | TEL : 070-4497-5066 | Mail : stevenh@withatti.co.kr | 통신판매신고번호 : 2018-서울송파-1750호 | 사이버몰의 이용약관 바로가기

댓글