Download - TTAT echnical R eport

T T

A T e c h n i c a l R

e p o r t

기술보고서

TTAR-xx.xxxx 제(개)정일: 2016년 xx월 xx일

핀테크 환경에서 텔레바이오인식을

이용한 비대면 인증

(기술보고서)Non Face-to-Face Authentication Application

and Technology using Telebiometric in Fintech

Environments(Technical Report)

표준초안 검토 위원회 바이오인식 프로젝트그룹(PG505)

표준안 심의 위원회 정보보호 기술위원회(TC5)

성명 소 속 직위 위원회 및 직위 표준번호

표준(과제) 제안 한승진 경인여대 교수 PG505 간사

김재성 KISA 수석연구원 PG505 의장

표준 초안 작성자 한승진 경인여대 교수 PG505 간사

표준 초안 에디터 한승진 경인여대 교수 PG505 간사

김재성 KISA 수석연구원 PG505 의장

표준 초안 검토 김재성 KISA 수석연구원 PG505 의장

전명근 충북대 교수 PG505 부의장

전동훈 슈프리마 수석 PG505 부의장

김학일 인하대 교수 PG505 특별위원

한승진 경인여대 교수 PG505 간사

이필중 포항공대 교수 PG505 특별위원

전인자 인하대 교수 PG505 특별위원

한근희 고려대 교수 PG505 특별위원

황종모 금융보안원 차장 PG505 위원

정창신 TTA 팀장 PG505 위원

김유성 인하대 교수 PG505 특별위원

표준안 심의 원유재 충남대 교수정보보호

기술위원회 의장

서동일 ETRI정보보호

기술위원회 부의장

김지홍 세명대 교수정보보호

기술위원회 부의장

오흥룡 TTA 책임정보보호

기술위원회 간사

사무국 담당 박정식 TTA 부장 정보기술부 부장

오흥룡 TTA 책임 정보기술부 책임

본 문서에 대한 저작권은 TTA에 있으며, TTA와 사전 협의 없이 이 문서의 전체 또는 일부를 상업적 목적으로 복제 또는

배포해서는 안 됩니다.

본 표준 발간 이전에 접수된 지식재산권 확약서 정보는 본 표준의 ‘부록(지식재산권 확약서 정보)’에 명시하고 있으며, 이후

접수된 지식재산권 확약서는 TTA 웹사이트에서 확인할 수 있습니다.

본 표준과 관련하여 접수된 확약서 외의 지식재산권이 존재할 수 있습니다.

발행인 : 한국정보통신기술협회 회장

발행처 : 한국정보통신기술협회

13591, 경기도 성남시 분당구 분당로 47

Tel : 031-724-0114, Fax : 031-724-0109

발행일 : 20xx.xx

기술보고서

TTAR-xx.xxxxi

서 문

1 기술보고서의 목적

핀테크 환경이 발전하면서 이에 대한 보안 기능의 강화가 요구되고 있다. 전통적인 방

법을 이용한 대면 인증에서 지역적으로 떨어져 있는 객체간의 인증을 바이오정보를 이용

한 비대면 인증이 새로운 기술로 주목받고 있다.

본 기술보고서는 핀테크 환경에서 텔레바이오인식 기술을 활용하여 생체신호를 포함한

바이오정보를 이용한 비대면 인증에 대해서 기술하고, 이에 대한 요구사항, 관련 사례 및

표준에 대해서 기술한다.

2 주요 내용 요약

핀테크 환경에서 서비스의 효율적인 활용을 위해서는 기존의 대면 인증에서 비대면 인

증으로 인증 환경이 변하고 있다. 기존의 핀테크 환경에서 바이오정보를 이용한 대면 인

증 방법에서 원격으로 다양한 바이오정보를 전송하고 이를 인증하는 비대면 인증 방법의

필요성이 대두되고 있다. 본 기술보고서는 핀테크 환경에서 비대면 인증의 필요성과 위

협 요소를 사례를 통해 기술하고, 이러한 위협 요소를 제거할 수 있는 텔레바이오인식

기술을 이용한 비대면 인증 기술을 설명한다. 또한 이와 관련된 표준과 향후 전망에 대

해서 기술한다.

3 인용 기술보고서와의 비교

3.1 인용 기술보고서와의 관련성

- 해당 사항 없음

3.2 인용 표준과 본 기술보고서의 비교표


기술보고서

TTAR-xx.xxxxii

Preface

1 Purpose

The development of Fintech environment requires the reinforcement of security.

The non face-to-face authentication to authenticate locally, between the objects

away from face-to-face authentication using the traditional method using the

biometrics has attracted attention as a new technology. This technical report

utilizes Telebiometric technology in Fintech environment for non face-to-face

authentication using the biometric information, including biometric signals. It also

describes a requirements, and related practices and standards required.

2 Summary

For the efficient use of the services in Fintech environments, Certification is

changing from a non face-to-face to a face-to-face authentication certificates.

From the face-to-face authentication using the biometric data from the existing

Fintech environment it is required to a non face-to-face authentication to

authenticate to send various bio-information remotely. This technical report

describes the need for non face-to-face authentication and the case of threats in

a Fintech environment. We describe a non face-to-face authentication using the

Telebiometric capable of removing the threat. It also describes a related

standardized future prospects.

3 Relationship to Reference Standards

- N/A

기술보고서

TTAR-xx.xxxxiii

목 차

1 적용 범위 ·····································································································································1

2 인용 표준 ·····································································································································1

3 용어 정의 ·····································································································································1

4 약어 ···············································································································································2

5 텔레바이오인식을 이용한 비대면 인증 ·················································································4

6 텔레바이오인식을 이용한 비대면 인증 사례 ·······································································6

6.1 바이오정보를 이용한 국내 금융 서비스 현황 ···························································6

6.2 바이오정보를 이용한 국외 금융 서비스 현황 ···························································9

6.3 기타 ·····································································································································9

7 텔레바이오인식을 위한 비대면 인증 관련 표준 ······························································17

7.1 바이오 보안 토큰을 이용한 텔레바이오 인증(X.bhsm) ········································18

7.2 모바일 텔레바이오정보 보호기술(X.tam) ·································································19

7.3 FIDO(Fast IDentity Online) ························································································23

8 결론 ············································································································································26

부록 Ⅰ-1 지식재산권 확약서 정보 ························································································29

Ⅰ-2 시험인증 관련 사항 ································································································30

Ⅰ-3 본 표준의 연계(family) 표준 ················································································31

Ⅰ-4 참고 문헌 ··················································································································32

Ⅰ-5 영문표준 해설서 ······································································································34

Ⅰ-6 표준의 이력 ··············································································································35

기술보고서

TTAR-xx.xxxx1

핀테크 환경에서 텔레바이오인식을 이용한 비대면 인증

(Non Face-to-Face Authentication Application and Technology

using Telebiometric in FinTech Environments)

1 적용 범위

본 기술보고서는 핀테크 환경에서 원격에 위치한 생체를 대상으로 바이오인식 정보를

이용한 인증에 대한 사항을 기술한다. 텔레바이오인식을 이용한 비대면 인증기술 도입

사례 및 표준화 현황과 관련된 내용을 기술한다.

2 인용 표준


3 용어 정의

3.1 바이오정보(Biometrics Information)

지문·얼굴·홍채·정맥·음성·서명 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정

보를 의미하며, 가공되지 않은 원본정보와 이로부터 추출되어 생성된 특징정보를 포함한다.

3.2 바이오인식(Biometrics)

바이오정보를 이용하여 개인을 식별하는 행위를 의미한다.

3.3 바이오인식 시스템(Biometrics System)

바이오인식을 수행하는 정보시스템을 의미하며, 바이오정보의 수집·추출·저장·전송·검증

등을 수행하는 장치를 포함한다.

3.4 생체신호정보 (Biosignal Information)

사람의 생리학적인 작용에 의하여 전기, 물리, 화학적으로 발생하는 모든 신호정보. 본

표준에서의 생체신호정보라 함은 전기적 신호인 뇌전도와 심전도, 물리적 신호인 심탄도,

광학적으로 발생하는 광용적맥파로부터 나오는 신호 정보를 포함한다.

3.5 뇌전도 (EEG, Electroencephalogram)

대뇌의 활동 상태에 따라 변화하는 신호로, 머리 표면에 부착한 전극에서 전압의 형태로

측정된다. 인지기능, 감각기능, 운동 기능, 감정상태, 수면 상태 등 뇌의 다양한 활동 상

태를 부위에 따라 선택적으로 나타내는 대표적인 생체 신호이다.

기술보고서

TTAR-xx.xxxx2

3.6 심전도 (ECG, Electrocardiogram)

심장의 박동과 관련되어 전압의 형태로 측정되는 전기적인 신호이다. 심장 각 박동의 세

부적인 순서에 따라서 정형적인 패턴을 나타내고 있어, 심장의 이상 진단에 활용되고 있

는 대표적인 생체 신호이다.

3.7 PCI-DSS(Payment Card Industry-Data Security Standard)

신용카드 인프라 총체적으로 안전한 네트워크와 시스템 구성 여부 등을 종합적으로 판단

하는 기준이다. 계정통제 및 접근통제를 통해 업무환경의 엄격한 관리는 물론이고 정기

적 보안감사 시행 여부 등 보안정책까지 포함하는 아주 넓은 개념이다. 하지만 기술적으

로는 역시나 주로 어플리케이션 내부와 통신구간에서의 민감정보의 안전성 및 암호화 여

부 등을 따져서 안전성을 판단한다. 즉, 민감정보를 취급하는 모든 사람이 주의할 사항이

다.

3.8 이상금융거래 탐지시스템 (FDS, Fraud Detection System)

전자금융거래에 사용되는 단말기 정보·접속 정보·거래내용 등을 종합적으로 분석하여 의

심거래를 탐지하고 이상금융거래를 차단하는 시스템을 의미한다.

4 약어

EEG Electroencephalogram

ECR Electrocardiogram

PCI-DSS Payment Card Industry-Data Security Standard

FDS Fraud Detection System

5 텔레바이오인식을 이용한 비대면 인증

핀테크 서비스는 인증측면에서 보면 기존 방식은 로컬의 카드정보, 단말 플랫폼 보안

그리고 추가 인증수단을 사용하였으나 결제 편의를 위해 초기 인증이 단순화, 비 설치화

하는 형태로 변화하고 있는 한편, 홍채, 지문, 정맥 등을 이용하는 바이오인증, IC카드

등 소지매체를 활용한 신규 인증기법이 활성화되고 있다. 그러나 개방형 모바일 플랫폼

과 신규 인증기법의 취약점을 이용한 ID 도용, 추가인증 우회, 피싱 및 파밍 공격 등 위

협이 존재한다.

과거보다 더 많은 금융서비스가 모바일 기기에 탑재되고 있으나, S/W 보안방식의 한계

점이 점차로 노출됨에 따라 서비스 확산에 걸림돌이 되고 있다. 다양한 S/W적 보호기법

이 개발되고 있지만 악성코드, 앱 위변조, 역분석, 내부정보 유출 등에 완벽히 대응하기

에는 역부족이다.

결제, 인증정보 등 보안정보의 안전한 저장 및 처리를 위해 대형 IT 및 보안업체는 자

사의 금융 서비스에 운영체제가 특별히 관리하는 별도의 H/W 영역에 중요정보를 저장‧처리하고, 일반서비스는 일반(Normal)영역, 금융서비스는 안전(Secure)영역에서 실행하여

기술보고서

TTAR-xx.xxxx3

정보를 상호격리하는 H/W 보안기술을 적용하고 있다.

(그림 5-1) 보안 인증 기술(각 인증) 경쟁 비교

(표 5-1) 국내외 금융보안 체계의 특징

해외는 표 5-1에서 보는 바와 같이 편의성을 크게 해치지 않는 범위에서 사업자의 자율

성을 보장하고 기술 중립적 사후적 규제와 거래금액이나 신용도에 따라 보안수준을 차등

적용함으로써 금융거래의 효율성을 높이고 있다.

(그림 5-2) 국내 전자금융서비스 보안위협 대응

구 분 해외(미국,영국) 국 내

보안규제

방식사후 책임 사전 규제

금융보안

주도금융회사(PCI-DSS인증 도입) 금융 당국

보안수준

차별성

거래규모 및 고객의 신용도 등에 따라

필요 보안수준을 차등 적용, 소비자에

게 보안수준에 대한 선택권 부여

획일적인 보안수준을 요구, 소

비자에게 선택권 부여하지 않음

보안사고의

책임

전자결제업체, IT기업, 금융소비자에게

도 책임 부여금융당국이나 금융회사에 집중

보안인력

및 기술

보안인력이 풍부하고 검증된 이상금융

거래 탐지시스템, 빅데이터 분석기술,

다양한 인증기술 등 확보

보안인력이 부족하고 이상금융

거래 탐지시스템 및 빅데이터분

석 등 기술 수준 낮음

기술보고서

TTAR-xx.xxxx4

국내 금융보안 정책은 그림 5-2와 같이 금융서비스를 보호하기 위한 보안 S/W 및 인증

기술들을 사용자구간(A~C)에 집중시키고 있다.

IT 인프라와 핀테크의 발달, 인터넷 전문은행 출범 등으로 기존의 ID, PW 및

PIN(Personal Identification Number)과 같은 전통적인 방법으로는 다양한 환경에서의 본

인 인증에 대해 많은 문제점이 대두되고 있다. 소비자의 비대면 채널(ATM, 인터넷뱅킹,

텔레뱅킹)을 통한 금융 서비스 이용 비중이 90%에 육박하고 있기 때문에 핀테크 환경에

서 비대면 인증의 필요성이 대두되고 있다. 비대면 인증 방법은 크게 4가지로 나뉜다. 지

식기반 인증, 소지기반 토큰 인증, 바이오정보기반 인증, 특징기반 인증 등이다. [그림

1]과 같이 4가지 비대면 인증 방법 중 바이오정보 기반의 인증이 가장 안전한 인증방법

임을 알 수 있다.

비대면 인증은 기존에 직접 대면하여 본인을 인증하는 오프라인 방식이 아닌 전자적

정보 등의 기술을 사용하여 사용자 본인 여부를 확인 및 증명하는 방식이다. 많은 기관

들이 전자적 정보로서 최근에 바이오정보를 사용하여 사용자 본인 여부를 확인하고 있

다.

바이오정보는 템플릿으로부터 원본 이미지 복원이 가능하기 때문에 이를 어렵게 만드

는 기술적 방안 도입이 필요하다. 상호호환성 및 표준적합성 시험을 위해 국제 표준 ISO

SC37 19794-2 고유의 템플릿포맷 준용이 국제적 추세이며, 원본 이미지 일부 복원도

프라이버시 침해로 이어질 가능성이 존재한다. 따라서, 특징벡터 변환이나 바이오 암호시

스템을 통한 바이오인식 템플릿 보호를 위한 기법도입이 필요하다.

(그림 5-3) 비대면 인증기술로 사용가능한 바이오정보 요소

국내 ATM(Automatic Teller Machine)에 바이오인식 도입 고려에 있어서 아프리카 등에

서 에볼라 바이러스로 인해 비접촉식에 대한 요구가 있다는 점에 주목해야 한다. 애플페

이 등의 개인사용에 한정된 모바일 디바이스의 경우 지문 인식 등 접촉식이 적합할 수

있으나, ATM등 공동으로 사용되는 서비스에 있어서는 홍채 등 비접촉식에 대한 요구가

현대화 사회에서 증대될 수 있다. 일본 ATM의 경우 지문과 PIN의 멀티팩터 인증 메커니

즘으로 보안 등급을 강화한 모델을 도입하고 있다. ATM을 통해 본인의 생년월일을 입력

하여 검색 대상을 한정하고, 센서에 손바닥정맥을 인식하여 정보 일치여부 확인 후 비밀

기술보고서

TTAR-xx.xxxx5

번호를 입력하여 거래에 이용하고 있다. 단일 바이오인식에 의존할 경우 저가형 센서의

보급으로 인식성능 저하 사례가 발생할 수 있다 또한, 개인의 신체적 특징에 의해 단일

바이오인식 제공이 힘든 사례가 존재할 수 있다. 국내 금융 서비스의 안전성과 범용성을

획득하기 위해서는 표 5-2와 같은 다중 바이오정보 및 다중 개체 등의 도입이 필수적이

다.

모바일 디바이스 사실표준(De-facto)인 FIDO(Fast Identity Online)의 멀티팩터 인증이

국제적 추세이다. 기존 패스워드를 사용하는 온라인 서비스에서 두 번째 인증요소로 바

이오인식을 사용하고 있다. NIST(National Institute of Standards and Technology)의 보

안 등급별 적용인증 수단에서도 높은 등급의 레벨(Level) 3 이상의 인증을 위해서는 싱글

팩터 사용 보다는 멀티팩터 소프트웨어 암호 토큰, 멀티팩터 OTP 장치, 멀티팩터 암호장

치를 권장하고 있다.

(표 5-2) 다중 바이오정보 및 다중 개체

현재 바이오정보를 이용하여 이용자를 인증하는 방식은 바이오정보가 서버에 저장되어

있는 경우 서버 저장 방식, 바이오인식 단말에 저장되어 있는 경우 FIDO 방식으로 구분

할 수 있다.

1) 서버 저장 방식

디지털 키오스크, 홍채인증 ATM이 이 방식을 사용하며, 개인의 바이오정보가 금융회사

서버에 저장되어 있고 바이오인식 단말에서 추출한 바이오정보를 전송해 서버에서 비교

한다.

2) FIDO 방식

분류 특성 비고

멀티모달

적어도 2개 이상의 다른

모달리티 데이터를 인식

(예: 얼굴 + 지문)

멀티 인스턴스

같은 모달리티로부터 몇 개의

인스턴스를 획득

(예: 오른쪽 홍채 + 왼쪽 홍채,

오른쪽 엄지 지문 + 왼쪽 엄지 지문)

멀티 알고리즘

단일 인스턴스에 다른 인식

알고리즘을 적용S/W에 기반

함

멀티 센서

단일 인스턴스에 여러개의

센서들을 사용H/W에 기반

함

멀티 샘플

단일 인스턴스의 바이오인식

데이터에 대해서 몇 개의

대표적인 것과 함께 추출된 정보

사용자 입력

에 기반함

기술보고서

TTAR-xx.xxxx6

우리 삼성페이, NH스마트금융센터가 이 방식을 사용하며, 개인의 바이오정보가 바이오

인식단말에 저장되어 있어 추출한 바이오 정보를 단말에서 비교 후 전자서명 값이 전송

되기 때문에 바이오정보가 서버로 전송되지 않는다.

(표 5-3) 서버 저장 방식과 FIDO 방식의 인증 방식 비교

6 텔레바이오인식을 이용한 비대면 인증 사례

6.1 바이오정보를 이용한 국내 금융 서비스 현황

최근 바이오정보를 활용한 이용자 인증이 무인화 기기, 모바일 기반 업무 시스템 등 다

양한 서비스에 적용되면서 금융 거래에 필요한 대면확인, 카드/계좌 등과 같은 기존 수단

없이도 금융 거래를 이용할 수 있도록 변화하고 있다.

(표 6-1) 국내 주요 금융기관들의 바이오인식정보를 이용한 금융서비스

6.1.1 디지털 키오스크

디지털 키오스크는 비대면으로 실명확인, 계좌 발급, 금융업무를 수행할 수 있는 무인

화 기기 서비스이고, 금융위는 금융실명제 도입 이후 대면 방식으로 시행되던 실명 확인

< 서버 저장 방식 흐름 > < FIDO 방식 흐름 >

구분 신한은행 기업은행 우리은행 농협은행

서비스명 디지털 키오스크 홍채인증 ATM 우리 삼성페이 NH스마트금융센터

출시일자 2015.12.2 2015.12.14 2015.8.20 2015.12.19

인증방식 서버 저장 방식 서버 저장 방식 FIDO 방식 FIDO 방식

바이오정보 손바닥 정맥 홍채 지문 지문

인증절차 키오스크 방문 ATM 방문스마트폰 ⇒

ATM 태깅모바일 앱 실행

주요서비스

상품가입, 발급,

ATM 등 은행

창구 업무

ATM 입금,

출금ATM 출금, 결제 금융상품 가입

기존

거래여부불필요 필요 필요 필요

바이오정보

등록시비대면 대면 비대면 비대면

기술보고서

TTAR-xx.xxxx7

방식을 정부의 핀테크 산업 활성화를 위해 복수의 방법을 통한 비대면 방식으로 실명 확

인을 할 수 있도록 허용하였다. 최초 서비스 가입 단계부터 비대면으로 본인 확인이 가

능하고, 기존 창구에서 수행하던 업무의 90%를 디지털 키오스크 서비스를 이용하여 처

리가 가능하다.

(그림 6-1) 디지털 키오스크 신원확인

6.1.2 홍채인증 ATM

ATM 이용 시 최초 영업점을 방문하여 등록된 홍채정보를 통해 ATM 기능(입금, 출금,

계좌송금)을 이용 할 수 있는 서비스로써, 실물 카드 또는 통장 없이 홍채인증만 이용하

여 금융거래가 가능하다. IBK 기업은행과 우리은행이 적용하여 운영하고 있다.

(그림 6-2) IBK 은행의 홍채인증 ATM

6.1.3 우리 삼성페이

은행 계좌를 삼성페이에 등록하고 ATM에서 삼성페이를 이용해 태깅(Taging)하여 출금

기능을 이용할 수 있는 서비스로써, 삼성페이와 연계하여 별도의 현금카드 없이 등록된

은행 계좌에서 직접 ATM(삼성페이 리더기가 설치된 ATM)을 이용하거나 매장에서 결제

서비스로 이용이 가능하다.

(그림 6-3) 삼성페이를 이용한 우리은행 ATM기에서의 현금 인출

기술보고서

TTAR-xx.xxxx8

(그림 6-4) 삼성페이 앱을 이용하여 우리은행 계좌 등록

6.1.4 KEB 하나은행

KEB 하나은행은 스마트폰 뱅킹에서 공인인증서 없이 지문인증만으로 계좌이체를 할

수 있는 서비스를 시작했다. 지문인증으로 로그인 등을 하는 서비스는 있었으나 계좌이

체를 하는 서비스이다.

(그림 6-5) KEB하나은행의 지문인증을 통한 모바일뱅킹 계좌이체 과정

6.1.5 BC 카드

목소리 정보를 스마트폰 내에 안전한 공간에 암호화해 보관하며, 결제할 때에는 스마트

폰에서 인증한 뒤 BC카드가 보유한 생체인증 국제 표준(FIDO) 서버에서 재차 인증을 거

쳐 인증한다.

(그림 6-6) BC 카드의 목소리 인증을 통한 결제 서비스

기술보고서

TTAR-xx.xxxx9

6.2 바이오정보를 이용한 국외 금융 서비스 현황

6.2.1 US Bank

미국의 US Bank사는 모바일 뱅킹서비스에서 Nuance사의 음성인식 솔루션을 적용하여

음성을 통한 사용자 인증 및 계좌 조회, 이체 등 명령실행이 가능하다.

(그림 6-7) US Bank사의 모바일 뱅킹서비스

6.2.2 USAA

USAA는 모바일 앱을 통해 고객의 음성 및 얼굴인식 정보를 활용하여 고객을 인증한

다.

(그림 6-8) USAA사의 모바일 뱅킹서비스

6.2.3 Bank of America

Bank of America 등 미국 대형은행 및 카드사들이 애플과 제휴하여 지문인식을 이용

하여 모바일 결제서비스인 애플 페이를 제공하고 있다. US Bank, USAA 등은 음성인식

기반 모바일뱅킹 서비스 위주로 사용자 인증 및 계좌 조회, 이체 등 명령실행이 가능하

다. PIN, 얼굴인식, 음성인식 등의 인증옵션들을 제공하고, 앱에서 생성되는 보안코드와

함께 결합하는 형태의 멀티팩터 인증방식을 도입하고 있다.

기술보고서

TTAR-xx.xxxx10

(그림 6-9) 지문인식을 이용한 Bank of America사의 모바일 뱅킹서비스

6.2.4 CB그룹

프랑스 은행 간 카드협회(Groupement d’Interet Economique des Cartes Bancaires;

CB그룹)는 ATM이나 소매결제에 지문인식을 적용하였다. ATM 지문인식의 사용절차는 고

객은 바이오정보가 저장된 매체를 소지하고, ATM에 바이오정보를 인증해 현금인출 등의

거래가 가능하도록 했다.

(그림 6-10) 프랑스 CB 그룹의 뱅킹 서비스

6.2.5 St George Bank

호주의 St George Bank사는 모바일 뱅킹서비스에서 기존 로그인방식 외에 지문인식을

이용한 로그인 기능을 제공하고 있고, 은행도 동일한 로그인 방식을 제공하고 있다.

(그림 6-11) 호주 St George Bank사의 모바일 뱅킹서비스

기술보고서

TTAR-xx.xxxx11

6.2.6 Barclays

영국의 Barclays사는 기업고객을 대상으로 기존의 카드리더, 전화인증, PIN 코드 등의

인증방식을 대체하기 위해 히타치의 Finger Vein Authentication Technology(VeinID) 솔

루션을 적용한 손가락정맥 인증방식을 제공하고 있다. 바이오정보는 은행에서 발급한

SIM카드에 암호화되어 저장되고 은행에는 저장되지 않는다.

(그림 6-12) 영국 Barclays사의 손가락정맥 인증방식

6.2.7 Japan Post Bank

일본의 Japan Post Bank사는 2011년 동일본 대지진 당시 통장이나 은행카드가 유실

된 고객들이 예금을 인출하지 못하는 사례가 속출하여 이에 대응하기 위한 인증방식을

구현(2012년 9월) 하였다. 일본 대형금융기관의 바이오인증 채용 은행 점포수 기준으로

80%의 점유율 ATM기의 약 80,000대가 손가락정맥 인증장치를 탑재하였다.

(그림 6-13) 일본 Japan Post Bank사의 손가락 정맥 인증

6.2.8 MobiCash & KCB Bank

2013년 1월, 모바일 결제 플렛폼 회사인 르완다의 MobiCash와 KCB Bank가 지문 스

캐너를 통해 고객 인증을 하는 금융서비스를 시작하였다. 상점에서의 결제 등 모든 금융

거래가 신용카드나 ID카드 없이 계좌 소유자의 등록된 지문만으로 가능하고, 르완다의

국가-ID를 가진 16세 이상 인구는 누구든 해당 은행을 통해서 가상은행계좌로 지문을

연결하고 금융서비스를 이용가능하다.

기술보고서

TTAR-xx.xxxx12

(그림 6-14) MobiCash & KCB Bank사의 바이오인식을 이용한 이동형 결제단말기

6.2.9 CAIXA Bank

브라질의 CAIXA Bank사는 모바일 앱 뱅킹에서 지문인식을 이용한 계정 로그인 기능을

제공하고 있다. 루미다임(Lumidigm) 센서가 내장된 ATM내 탑재된 지문인식을 통해 현금

인출 시 별도 PIN 번호를 요구하지 않는다.

(그림 6-15) 스페인 CAIXA Bank사의 지문인식 센서가 내장된 ATM

6.2.10 Deniz Bank

터키의 Deniz Bank사는 모바일 앱 Fastpay를 통해 ATM 현금 인출 및 송금, 모바일간

송금, POS 단말기 결제 등이 가능하고, 터키 81개 지역 ATM 기기에서 모바일 앱 음성

인식 아이콘을 누르고 모바일 기기에 음성인식 후 인출이 가능하다.

(그림 6-16) 터키 Deniz Bank사의 ATM 인증과정

기술보고서

TTAR-xx.xxxx13

6.2.11 Aadhaar

인도의 Aadhaar사는 바이오정보 데이터베이스를 구축하여 이를 기반으로 신원 번호 및

신분증을 발급하여 저소득 지원, 금융거래(ATM) 등에 사용 가능한 시스템을 구축하였다.

지문, 홍채 인식 등의 바이오인식 정보를 기반으로 12자리의 고유 신원 번호와 신분증을

발급하여 금융거래 및 다양한 분야에 활용하고 있다. 2010년 11월 시작, 2014년 2월 기

준 인구 중 약 7억 5천만명 이상이 등록되었다.

(그림 6-17) 인도의 바이오인식 정보 등록 및 신분증 발급

6.2.12 폴란드 BPH은행

폴란드 BPH은행, 일본의 미즈호, 미쯔이스미토모, 리소나 은행은 히타치의 손각락 정

맥 인식기를 도입해 인터넷 뱅킹시 본인인증 수단으로 활용하고 있다. 폴란드 BPH 은행

은 손가락 정맥 인식장치가 달려있는 ATM기기를 2000여개 설치, 카드나 비밀번호없이

손가락 정맥 인식만으로 본인확인을 끝내고 돈을 인출할 수 있는 서비스를 도입했다.

(그림 6-18) 폴란드 BPH 은행의 손가락 정맥 인식장치가 있는 ATM

6.2.13 덴마크의 단스케 은행

덴마크의 단스케 은행은 스웨덴의 핀테크 기업인 Behaviosec의 기술을 도입해 스마트

폰상에서 개인의 자판입력시 압력과 패턴을 판별해 거래를 인증하는 방식을 활용하고 있

다.

기술보고서

TTAR-xx.xxxx14

(그림 6-19) 덴마크 단스케 은행의 압력과 패턴을 이용한 인증

6.2.14 영국의 Halifax 은행

영국의 할리팍스(Halifax) 은행은 캐나다 핀테크 업체 바이오님(Bionym)이 개발한 웨어

러블 팔찌 나이미(Nymi)를 이용해 심전도로 본인을 인증하는 서비스를 시험운영하고 있

다. 자신의 심장박동 패턴을 은행의 앱과 밴드에 저장한 뒤, 온라인 및 모바일 기기로 은

행 업무를 볼 때 착용한다. 스마트폰이 팔찌와 동기화를 한 후 심장박동을 스캔하기 시

작한다. 패턴이 일치하면 접근을 허가하고, 밴드가 벗겨져 있거나 패턴이 일치하지 않으

면 접근을 허가하지 않는다. 지문은 위조가 가능하나 심장 박동은 위조가 불가능하기 때

문에 이와 같은 생체 신호는 침입이나 위변조에 강한 인증 수단이 된다.

나이미 밴드(Nymi Band)는 심장의 고유 특징인 심전도파를 이용하면 대상자의 신원을

확인할 수 있다고 설명한다. 손목에 밴드를 달아 심전도파를 측정할 수 있으며, 블루투스

를 이용해 다른 기기에서도 사용자 신원을 인증할 수 있다. 단, 측정할 때 과도하게 흥분

하거나 늘어져 있는 상태만 아니면 된다.

(그림 6-20) 나이미 밴드의 심전도를 이용한 본인인증

기술보고서

TTAR-xx.xxxx15

(표 6-2) 해외은행 바이오인식 도입현황(‘12~’14)

6.3 기타

2013년에 UC 버클리(UC Berkeley) 연구원들은 사용자들을 대상으로 노래를 부르거나

자신의 호흡에 집중하는 등 간단한 정신적 작용을 수행하도록 요청했다. 그들은 1%의

오인식률로 사용자를 식별하는 데 성공했다. 연구원들이 사용한 일반 헤드폰과 마이크가

포함된 뉴로 마인드셋은 이미 단종된 상태이다. 마인드웨이브와 인사이트 헤드셋 모두

용도는 한 가지이고 뇌전도(EEG)만 측정한다.

사용된 생각 암호는 예를 들어 손가락을 위아래로 움직이는 동작 등 손쉽게 기억이 가

능한 동작을 생각하는 프로토타입을 시연했다. 일반 소비자는 $100정도로 쉽게 구매할

국가 은행 모달리티 방법

미국

US-Bank

음성

-모바일 앱에서 사용자가 계정 정보를 보는 것이

가능함

- 저장되어 있는 음성 정보를 비교하여 인증을 식

별함

J P M o r g a n

Chase

Wells Fargo

영국 Barclays 지정맥 지정맥 인증 기술(PKI)을 통해 전자 서명을 결합함

터키 Biyokimlik 지정맥 3,400개의 지점에 센서가 부착된 ATM 설치

호주

N a t i o n a l

A u s t r a l i a

Bank

음성 음성 인식 시스템은 폰 뱅킹 시스템에서 선택됨

스페인 BBVA 음성 은행 앱에서 음성 인식을 지원함

폴란드 BPH S.A 지정맥PIN을 입력할 필요없이 ATM에서 고객의 지정맥을

인증함

러시아Sberbank 음성

ATM에서 사용가능한 신용 카드 발급을 포함한 모

든 신용 거래가 가능함Leto-Bank 지문 지점 ATM에 지문인식 센서가 내장됨

팔레스

타 인

요르단

C a i r o

A m m a n

Bank

홍채

- 100,000개의 바이오인식 데이터를 저장하고 있

음

- 고객 서비스 데스크, 지급장소, ATM에 홍채 정

보를 획득할 수 있는 500개 이상의 카메라 보유

브라질CAIXA 지문 지점 ATM에 지문인식 센서가 내장됨

Itautec 지문 12,000개의 지점 ATM에 지문인식 센서가 내장됨

일본

Japan Post

Bank지정맥 20,239개의 지점 ATM에 센서가 내장됨(100%)

Mega Bank지문, 손

바닥정맥2,408개의 지점 ATM에 센서가 내장됨

Trust Bank 지정맥 295개의 지점 ATM에 센서가 내장됨(63%)R e g i o n a l

Bank

지문, 손


Local Bank지문, 손


기술보고서

TTAR-xx.xxxx16

수 있는 뇌전도 하드웨어는 저렴하며 버클리 정보대학에서 실시한 테스트 결과 상당히

정확하게 생각 암호를 감지할 수 있음이 입증되었다.

(그림 6-21) 뉴로 마인드셋을 착용한 UC 버클리대학의 John Chuang 교수

미국 빙엄턴 대학(Binghamton University) 연구소가 본인인지를 판별하기 위한 뇌 스캔

바이오인식 시스템 개발에 성공하였다. 이 대학 연구팀은 본인이 맞는지를 알아내기 위

해 사람의 마음을 검색(스캔)하는 것으로 뇌에서 만들어지는 영상과 일련의 단어 및 영상

을 조합하는 방식의 기술을 이용한다.

(그림 6-22) 뇌전도를 측정하기 위한 캡 착용(배경의 파형은 실제 뇌전도임)

뇌 인식은 뇌전도 측정을 위한 모자를 통해 수개의 단어를 포함한 유명인사의 얼굴, 그

리고 저장 중인 간단한 사진 몇 장과 500개의 이미지를 보는 것만으로 끝난다. 본인 확

인 과정은 각각의 이미지가 0.5초 동안 화면에서 깜박거리고 뇌전도가 이들 이미지에 반

응하는 것을 모니터링 해 기존에 저장된 반응과 비교·체크(검증)하는 방식으로 진행된다.

기술보고서

TTAR-xx.xxxx17

이미지의 수가 늘어날수록 더 많은 반응이 더해져 신분을 속이거나 위조될 가능성은

더욱 낮아질 수밖에 없다. 초기 32명과 82명으로 구성된 집단 중에서 한사람을 확인할

수 있는 가능성은 97%에 이르렀다. 현재는 30명 가운데서 한사람을 분별해낼 확률이

100%에 이를 정도로 정확도가 높아졌다. 보다 광범위한 대조군을 대상으로 한 실험에서

도 이러한 성공률이 안정적으로 유지될 수 있다면 보안시스템을 위한 최선의 선택으로

간주될 수 있다. 장점은 지문의 위조, 안면(얼굴) 인식의 불안정성과 같은 문제를 동시에

해결할 수 있다.

7 텔레바이오인식을 이용한 비대면 인증 관련 표준

ITU-T SG17 Q9 연구반 정보통신 응용보안 기술분과인 Working Group 4 내에 연구과

제 9 (Question 9)는 통신 네트워크 환경에서의 바이오인식 표준을 진행하고 있다. 현재,

Q.9 연구과제 에서는 사용자 신원을 확인하기 위한 표준안과 바이오인식 기술의 활용 및

관련 데이터의 보호에 대한 표준안을 제정하고 있다.

(그림 7-1) Telebiometrics 개념도 및 표준화범위

Q.9 텔레바이오인식(Telebiometrics)은 ISO/IEC JTC1/SC37 (바이오인식), SC17 (IC카

드), SC27(정보보호) 뿐만 아니라 ISO/TC215 (Health informatics), ISO/TC12

(Quantities, units, symbols, conversion factors), IEC/TC25 (Quantities and units,

and their letter symbols)와 공동의 표준을 개발하는 등 다양한 형태의 협력을 하고 있

다. 2011년 9월에 모바일환경에서 바이오 정보보호를 위한 기술적·관리적 가이드라인에

대하여 표준화 작업을 착수하였다. X.tam은 모바일 기반 바이오인식 기술을 사용한 서비

스에서 발생할 수 있는 모델 및 보안 위협과 바이오 정보보호를 위한 기술적, 관리적 가

이드라인을 규정하고 있다. ISO/IEC JTC1/SC37(바이오인식) WG4 30125 Mobile

기술보고서

TTAR-xx.xxxx18

Biometrics for Personalization and Authentication 프로젝트와 유기적 협조 및 인증 모

델 등 차별화를 통해 표준화를 진행하고 있다.

(표 7-1) ITU-T SG17 Q.9 국제표준과제 추진현황

7.1 바이오 보안 토큰을 이용한 텔레바이오 인증(X.bhsm)

바이오인증 프레임워크(X.bhsm)는 ISO/IEC JTC1 SC27 WG5 스톡홀름 회의 이후

Common text로 진행되고 있으며, 바이오보안토큰을 기반으로 인증을 수행하기 위한 프

레임워크를 개발한다. 바이오보안 토큰은 기기 내부에서 바이오인식 센서로 가입자의 바

이오인식 정보를 추출하여 보안토큰에 안전하게 저장하며, 사용자 인증 시 바이오인식

규격번호 국제표준 제목 표준 주요내용 현상태

X.1087

A guideline to technical and

operational countermeasures

for telebiometric applications

using mobile devices(X.tam)

바이오인식기반 모바일 인증을

위한 모델 및 보안 위협, 대응

방안을 제시하는 기술적 관리

적 가이드라인 제시

개발중

X.1088

Telebiometrics Digital Key–A

Framework for Biometric

Digital Key Generation and

Protection

안전한 암호 인증을 위하여 공

개키 인증서 와 바이오인식 인

증서를 갖는 바이오정보 로부

터 디지털 키 생성 및 보호를

위한 프레임워크 정의

완료

X.1089Telebiometrics Authentication

Infrastructure

PKI(공개키인프라구조)와 PMI

(Privliege Management

Infrastructure reference: 접근

권한 제어인프라) 환경에서 바

이오인식을 이용 한 신분 및

권한 확인 시에 바이오정보 인

증모델 및 보안 프로토콜을 정

의

완료

X.1090

Authentication Framework with

One- time Telebiometric

Template

“Replay attack”과 같은 바이

오 템플릿에 대한 위협으로부

터 보호하기 위한 방법으로

One-time 템플릿을 이용한 사

용자 인증 프레임워크 정의

개발중

X.1091

A guideline for evaluating

telebiometric template

protection techniques

바이오 템플릿 보호를 위한 방

법론 제시, ISO/IEC JTC1

SC27과 Common Text로 개

발하여, SC27 WG5 IS로 제정

완료

완료

기술보고서

TTAR-xx.xxxx19

센서로부터 취득된 바이오인식 정보와 저장되어 있는 바이오인식 정보를 기기내부에서

매칭하여 사용자를 인증하는 독립된 하드웨어 보안모듈이다. 위치에 따라 9가지 바이오

인증 모델을 제안하고, 각 모델 별 발생할 수 있는 위협과 대처방안을 정의한다.

ISO/IEC 24761은 PKI(Public Key Infrastructure) 기술과 PKIX(X.509, Public Key

Infrastructure)를 기본으로 하며, 신뢰성 확보와 부인 방지를 위하여 전자서명을 사용한

다. 인증 요청자로부터 획득한 바이오인식 샘플 또는 비교에 사용되는 바이오인식 레퍼

런스와 같은 데이터의 수신 없이도 확인자가 바이오인식 검증 과정의 결과를 확인할 수

있음을 보장한다. X.1089는 바이오인증서 구조를 정의하고 CBEFF (Common Biometric

Exchange File Format) 기반 바이오 템플릿(template) 정보들에 대해 정의한다. 궁극적

바이오인식 기반 인증서 도입을 위해서는 X.1089기반 바이오인증서 데이터 포맷으로 전

환하여야 한다.

(그림 7-2) X.bhsm 구동 환경

7.2 모바일 텔레바이오정보 보호기술(X.tam)

모바일 디바이스 기반 바이오 정보보호를 위한 기술적, 관리적 가이드라인은 모바일 기

반 바이오인식기술 사용 서비스에서 발생할 수 있는 모델 및 보안 위협과 바이오 정보보

호를 위한 기술적, 관리적 가이드라인을 규정하고 있다, 또한, 모바일 장치를 사용하여

텔레바이오인식 응용 프로그램에 대한 바이오 정보의 흐름의 보안 및 안정성을 보장하기

위해 보안 프레임 워크를 제공한다. 이를 위해 바이오인식 센서, 모바일 장치 및 서버의

구성에 따라 바이오인식 인증 모델을 정의하고, 텔레바이오인식 시스템의 사용을 위해

안전한 모바일 환경을 구축하기 위해 모바일 장치 기반 기술 및 관리 두 관점에서의 보

안 대책을 포함한 위협 및 대응방안을 제시한다.

․ 클라우드 컴퓨팅 서비스를 포함한 모바일 장치를 사용 텔레바이오인식 운영 체제에서

텔레바이오인식 보안 참조 모델

․ 모바일 장치를 사용하여 텔레바이오인식 응용 프로그램에 대한 보안 및 안정성을 보

기술보고서

TTAR-xx.xxxx20

장하기 위해 일반 지침 관련 위협 및 대책

(그림 7-3) X.tam 구동 환경

ITU-T SG 17 Q9에서는 모바일 디바이스에서 텔레바이오인식 응용을 위한 기술 및 관

리적 보안 지침(A Guideline to Technical and Operational Countermeasures for

Telebiometric Applications using Mobile Devices)에서는 인증 모델을 바이오인식 정보

획득, 저장 및 비교의 주체 방식에 따라 12가지 모델을 제시하였다.

(표 7-2) ITU-T SG 17 Q9 인증 모델 12가지

* 바이오인식 참조 템플릿 위치

바이오인식 센서 모바일 장치 서버

모델 1 획득 비교, 저장*

모델 2 획득 비교 저장

모델 3 획득 비교, 저장

모델 4 획득, 비교 저장


모델 6 획득, 비교, 저장

모델 7 획득, 저장 비교

모델 8 획득, 저장 비교

모델 9 획득 저장 비교

모델 10 획득, 비교, 저장

모델 11 획득 비교, 저장


기술보고서

TTAR-xx.xxxx21

(표 7-3) 모바일 바이오인식 인증 모델별 보안 위협과 대처 방안

가능한 보안 위협 가능한 대처 방안

인증모델 1

Ÿ 도난되었거나 변형된 데이터와 같은 적법

하지 않게 획득된 데이터로의 교체

Ÿ 적법하지 않은 바이오인식 참조 템플릿

데이터의 사용

Ÿ 적법하지 않은 비교 프로그램의 사용

Ÿ 모바일 장치의 분실 및 도난 등을 통한

바이오 참조 템플릿의 유출

Ÿ BioHSM과 모바일 장

치 간 상호 인증

Ÿ 참조 데이터의 암호

화

인증모델 2




데이터의 사용


Ÿ 바이오인식 참조 템플릿의 유출

Ÿ 적법하지 않은 서버로 데이터 전송



Ÿ 중앙 서버의 분실 혹은 도난으로 인한 바

이오인식 참조 템플릿의 유출

Ÿ BioHSM, 모바일 장

치, 서버에 대한 인증

(암호화 과정이 수행

될 때 처리키 생성과

디지털 서명 생성은

Universal Subscriber

Identity Module

(USIM) 카드에 있다.

Ÿ 전송 채널의 암호화

Ÿ 전송되는 데이터의

암호화

인증모델 3



Ÿ 획득된 데이터 전송 시 적법하지 않은 데

이터로 변형

Ÿ 전송 채널에 대한 공격




Ÿ BioHSM과 서버에 대

한 인증



암호화

인증모델 4




데이터의 사용


Ÿ BioHSM의 분실 혹은 도난 등을 통한 바

이오 참조 템플릿의 유출





한 인증


화



암호화

인증모델 5 Ÿ 도난되었거나 변형된 데이터와 같은 적법 Ÿ BioHSM과 모바일 장

기술보고서

TTAR-xx.xxxx22



데이터의 사용


Ÿ BioHSM의 분실 및 도난 등을 통한 바이

오 참조 템플릿의 유출

치에 대한 인증


화

인증모델 6




데이터의 사용


Ÿ BioHSM의 분실 및 도난 등을 통한 바이

오 참조 템플릿의 유출


화

인증모델 7




이터로 변형


데이터의 사용




Ÿ BioHSM과 모바일 장

치에 대한 인증


화

인증모델 8




이터로 변형




한 인증


인증모델 9

Ÿ BioHSM에 대한 오용(관계없는 모바일 앱

이 BioHSM 사용)

Ÿ 중간자 공격을 통해 관계없는 모바일 앱

이 BioHSM을 공격함으로써 관계없는 앱

이 획득된 바이오인식 정보를 사용


데이터의 사용




Ÿ BioHSM과 모바일 앱

에 대한 인증


화

인증모델 10 Ÿ BioHSM에 대한 오용(관계없는 모바일 앱 Ÿ BioHSM과 모바일 앱

기술보고서

TTAR-xx.xxxx23

7.3 FIDO(Fast IDentity Online)

FIDO 인증 기술의 등장은 패스워드에 대한 문제인식에서 시작된다. 패스워드는 인터넷

이 탄생한 시점부터 원격에 있는 사용자를 확인하는 수단으로 사용되어 왔다. 최근 인터

넷 사이트에 적용된 패스워드의 관리 정책은 사용자 본인조차도 기억하기 어려운 패스워

드를 요구하고 있고, 그렇게 생성된 패스워드에 대해서도 신뢰 부족(e.g. 여러 사이트에

동일하게 사용되는 패스워드의 대규모 유출, 피싱, 해킹)으로 인해 추가적인 인증 수단을

요구하고 있기 때문이다. 대부분의 새로운 인증 기술들은 보급에 실패 하였고, 기존의 많

이 BioHSM 사용)








에 대한 인증

Ÿ 모바일 앱과 서버에

대한 인증



암호화

인증모델 11


이 BioHSM 사용)





데이터의 사용









에 대한 인증


대한 인증


화



암호화

인증모델 12


이 BioHSM 사용)







에 대한 인증


대한 인증


기술보고서

TTAR-xx.xxxx24

은 실패 경험들은 강한 인증(Strong Authentication)은 사용자를 불편하게 한다는 부정적

인 인식만을 남겨 두게 되었다. 바이오인식은 사용자 단말 기술의 발전과 FIDO 기술의

등장으로 극복될 가능성이 보이기 시작하였다. 스마트폰과 같은 사용자 단말은 고사양의

인식 센서들을 탑재하기 시작하였고, 프라이버시 보호 및 편리한 인증을 강조하는 FIDO

기술은 사용자의 고유특성인 바이오정보를 사용자가 소지한 기기에서만 확인하여 사용자

단말 외부로 사용자의 바이오정보 유출없이 안전하게 인증할 수 있는 표준화된 플랫폼을

제공하기 때문이다.

FIDO 기술 표준을 제정한 FIDO Alliance(www.fidoalliance.org)는 2016년 4월 현재

250여 업체가 참여하고 있고, 참여업체 수가 꾸준히 늘어나고 있는 거대한 기업 연합체

이다. 참여하는 기업들은 바이오인식 기업뿐 아니라, 칩 제조사(퀄컴, NXP 등), 단말 제

조사(삼성, 레노버 등), OS 플랫폼 기업(구글, MS), 금융 서비스 기업(페이팔, 알리바바,

VISA, 마스터카드 등)들로 구성되어 있으며, 패스워드를 대체하여 다양한 인증 수단을 수

용할 수 있는 사용자 인증 공통 플랫폼 기술 개발을 목표로 참여하고 있다.

(그림 7-4) FIDO 인증 기술의 핵심 개념

그림 7-4는 FIDO 인증 기술의 핵심 개념을 설명하고 있다. 사용자는 사용자가 소지하고

있는 기기가 제공하는 인증 수단을 통해 사용자 로컬 인증을 수행하고 사용자 기기는 인

증된 사용자를 대신하여 FIDO 표준 기반의 원격 인증을 수행한다. FIDO 표준의 원격 인

증은 이미 많이 사용되어 안전이 입증된 공개키 암호 기술을 사용한다. 공개키 암호에

사용되는 개인키는 사용자의 기기에만 저장되고 외부에 노출되지 않으며, 사용자가 기기

에 인증한 경우에만 저장되어 있던 개인키를 이용해 암호문을 생성하고 해당 암호문을

서버에 전송할 수 있다. 서버는 사용자 등록 과정에서 전달받은 저장된 공개키를 이용하

여 전송된 암호문을 검증하고 사용자 인증을 완료한다.

FIDO 기술은 크게 사용자 기기와 사용자에게 서비스를 제공하는 웹 서버로 구성된다.

사용자 기기는 웹 서버의 서비스를 사용자에게 제공하기 위한 응용 앱(Relying-Party

APP)과 사용자 인증을 수행하기 위한 FIDO 클라이언트로 구성된다. 그리고 FIDO 클라

이언트는 더 세밀하게는 FIDO 클라이언트, FIDO ASM(Authenticator Specific Module),

FIDO 인증장치(Authenticator)로 구성되는데, 실제적인 사용자 인증과 FIDO 키 관리 및

서명은 FIDO 인증장치에서 대부분 수행된다. 따라서 FIDO 인증장치는 사용자 인증을 위

기술보고서

TTAR-xx.xxxx25

한 모듈과 키 관리 및 서명을 위한 모듈이 기본적으로 탑재된다.

(그림 7-5) FIDO 아키텍처

서비스 웹 서버는 사용자에게 서비스를 제공하기 위한 응용 서버(Relying-Party

Server)와 FIDO 서버로 구성된다. FIDO 서버는 FIDO 클라이언트와 FIDO 프로토콜을 수

행하여 사용자 등록, 인증, 탈퇴 관련 서비스를 제공하며, 이를 위한 서버정책 및 메타데

이타 관리 서비스를 제공하도록 구성된다. 서버 정책은 응용 서버에서 수용 하고자 하는

인증 수단 및 장치를 세밀하게 조정할 수 있다. 따라서 서비스 제공자 측에서는 서버에

대한 수정 변경 없이도, 서버정책만을 조정하여 새로운 인증 수단을 수용하거나 제어할

수 있게 된다. 또한 서버정책을 설정하는 것만으로 멀티 팩터를 이용한 인증도 가능해진

다.

(그림 7-6) FIDO 등록

FIDO의 UAF에서 등록과 인증 과정은 그림 7-6, 7-7과 같다. 모든 FIDO 프로토콜은

HTTPS를 통해 메시지 정보가 보호되며, FIDO 서버와 FIDO 인증장치간 채널 바인딩

기술보고서

TTAR-xx.xxxx26

(Channel Binding) 등 기술을 통해 실시간 MITM 공격(Real-Time Man-In-The-Middle

Attack) 등 위험을 극복할 수 있도록 설계되어 있다.

FIDO 인증 기술에 대한 업계의 시각은 현재까지는 매우 긍정적으로 보인다. FIDO 기술

개발에 참여했던 구글과 MS는 자사의 차기 OS와 브라우저에 FIDO 기술을 탑재할 예정

이라고 발표하였고, 퀄컴은 스냅 드래곤 칩에 FIDO 모듈을 탑재하여 좀 더 안전한 인증

이 가능하도록 할 예정이다. 또한 최근에는 안드로이드의 대표 스마트폰인 갤럭시 S6가

FIDO 기술을 탑재하여 출시되었다. 그리고 FIDO 연합에 참여하고 있는 금융․결제 서비스

제공자들이 FIDO 기술 적용에 높은 관심을 보이고 있어, 단기적으로는 스마트폰에 탑재

된 바이오인식 기술을 중심으로 FIDO 기술 적용이 확대될 것으로 예상되며, 향후에는 노

트북, PC 등을 이용한 금융․결제 서비스에서도 다양한 인증 수단이 결합된 FIDO 기술을

활용할 수 있을 것이다.

(그림 7-7) FIDO 인증

FIDO의 인증 기술은 점차 멀티 팩터로 확대될 가능성이 높다. 시장에서 소개되고 있는

대부분의 단일 인증 기술들은 각자의 기술적 한계를 갖고 있다. 예를 들어, 바이오인식

기술에 있어서 대부분은 라이브니스 바이오정보 검출(Liveness Check)에 어려움이 있는

것으로 알려져 있고, 일부 소수의 사용자에게는 바이오정보 추출 자체가 불가능한 경우

도 보고되고 있다. 따라서 바이오인식 기술이 대체적으로 사용되는 서비스 환경에서도

이를 대체할 수 있는 인증 기술은 요구될 것이며, 또한 개별적 인증 기술의 보안적 한계

를 보완하기 위한 추가 인증 기술도 계속적으로 연구될 것이다. 다만 기존의 멀티 팩터

인증 기술과는 다르게, 사용자의 편의성을 해치지 않는 인증 기술, 즉 사용자의 불편을

초래하는 명시적 인증을 최소화하는 무자각 인증, 지속 인증(Continuous Authentication)

의 개념으로 인증 기술이 발전해 가고 적용될 것이다.

7 결론

기술보고서

TTAR-xx.xxxx27

인터넷 전문은행, 모바일 간편결제 등 비대면 채널이 활성화되면서 금융소비자의 본인

인증 기술 수요가 급증하고 있다. 해킹기술이 첨단화되면서 기존의 ID와 비밀번호 방식

만으로는 기업이나 공공기관이 외부해킹에 효과적으로 대처하기 어려워졌기 때문에 생체

인식이 대안으로 부상하고 있는 것이다.

생체의 인증은 다른 인증기반보다 신뢰도가 높지만, 바이오정보의 조작사례가 과거 존

재하였다. 독일의 해커단체 CCC(Chaos Computer Club)는 독일 국방부장관의 기자회견

사진 등을 이용해서 VeriFinger 소프트웨어를 이용한 지문복제를 시연했으며, 또한 러시

아 대통령 푸틴의 고해상도 사진을 출력하여 홍채를 복제하는 프린트 공격(Print Attack)

을 선보였다. 바이오인증 자체로 신뢰도가 높지만 이를 우회하기 위한 방법이 존재하기

때문에 멀티 팩터 인증을 도입해야 한다. 해외의 바이오정보 인증 도입 사례를 살펴보면,

미국의 보험사 USAA는 안면, 음성, Touch ID(Apple의 지문인식 솔루션) 인증을 실시하

고 있으며, HSBC 은행에서는 음성, Touch ID를 이용한 인증을 실시하고 있다.

바이오정보 중 뇌전도나 심전도를 이용할 경우 보다 광범위한 대조군을 대상으로 한

실험에서도 이러한 성공률이 안정적으로 유지될 수 있다면 보안시스템을 위한 최선의 선

택으로 간주될 수 있다. 장점은 지문의 위조, 안면(얼굴) 인식의 불안정성과 같은 문제를

동시에 해결할 수 있다.

기술보고서

TTAR-xx.xxxx28

부 속 서 A


기술보고서

TTAR-xx.xxxx29

부 록 Ⅰ-1

(본 부록은 표준을 보충하기 위한 내용으로 표준의 일부는 아님)

지식재산권 확약서 정보

Ⅰ-1.1 지식재산권 확약서(1) (스타일 적용-대항목/소항목)


Ⅰ-1.2 지식재산권 확약서(2) (스타일 적용-대항목/소항목)


※ 상기 기재된 지식재산권 확약서 이외에도 본 표준이 발간된 후 접수된 확약서가 있을

수 있으니, TTA 웹사이트에서 확인하시기 바랍니다.

기술보고서

TTAR-xx.xxxx30

부 록 Ⅰ-2


시험인증 관련 사항

Ⅰ-2.1 시험인증 대상 여부


Ⅰ-2.2 시험표준 제정 현황


기술보고서

TTAR-xx.xxxx31

부 록 Ⅰ-3


본 표준의 연계(family) 표준


기술보고서

TTAR-xx.xxxx32

부 록 Ⅰ-4


참고 문헌

[1] 김태봉, “생체 행위 인증 표준화 동향 및 스마트 서명 사인 기술,” 핀테크포럼 6월

정기모임 발표자료, KTB 솔루션, 23rd, June, 2015.

[2] 박정국, “핀테크(Fintech)와 정보보안,” 정보과학회지, 한국정보과학회, vol. 33, no.

5, pp23-32, May, 2015.

[3] http://bio-metrica.com/biometric-theory

[4] 신용녀, 전명근, “한국형 금융 바이오 인식 기술 도입을 위한 분석 및 방안연구,” 정

보보호학회논문지, 한국정보보호학회, vol. 25, no. 3, pp.665-672, June, 2015.

[5] 금융보안원, “생체정보를 이용한 금융 서비스 현황 비교 분석,” 보안연구부

-2015-031, 금융보안원, Dec,. 2015

[6] 신한은행, http://www.shinhan.com

[7] http://www.segye.com/content/html/2015/12/14/20151214001477.html

[8] http://blog.naver.com/perona7485/220460191367

[9] 우리은행, www.wooribank.com

[10] KEB 하나은행, www.kebhana.com

[11] BC 카드, https://www.bccard.com/app/card/MainActn.do

[12] https://youtu.be/1gyvDD64eSw

[13]

http://www.americanbanker.com/news/bank-technology/biometric-tipping-point-usaa

-deploys-face-voice-recognition-1072509-1.html

[14]

http://www.sketchappsources.com/free-source/attachment-949-boa-mobile-banking

-app-sketch-freebie-resource-img1.html

[15] 전명근, 핀테크 기술을 적용한 ITU-T 텔레바이오인식 국제표준화 연구, 한국인터넷

진흥원, Jan., 2016

[16]

http://www.arnnet.com.au/article/558153/st-george-turns-fingerprint-login-apple-ios

-internet-banking/

[17]

http://bankingblog.celent.com/2015/06/30/biometrics-the-next-generation-of-corpor

ate-digital-banking-authentication/

[18] http://phys.org/news/2012-04-japan-bank-palm-reading-atms.html

[19]

http://mobicash.blogspot.jp/2012/12/mobicash-fingerprint-banking.html?view=sidebar

[20] http://sec.soup.io/tag/Banking%20security

http://bio-metrica.com/biometric-theory

http://www.shinhan.com

http://www.segye.com/content/html/2015/12/14/20151214001477.html

http://blog.naver.com/perona7485/220460191367

http://www.americanbanker.com/news/bank-technology/biometric-tipping-point-usaa-deploys-face-voice-recognition-1072509-1.html

http://www.sketchappsources.com/free-source/attachment-949-boa-mobile-banking-app-sketch-freebie-resource-img1.html

http://www.arnnet.com.au/article/558153/st-george-turns-fingerprint-login-apple-ios-internet-banking/

http://bankingblog.celent.com/2015/06/30/biometrics-the-next-generation-of-corporate-digital-banking-authentication/

http://phys.org/news/2012-04-japan-bank-palm-reading-atms.html

http://mobicash.blogspot.jp/2012/12/mobicash-fingerprint-banking.html?view=sidebar

http://sec.soup.io/tag/Banking%20security

기술보고서

TTAR-xx.xxxx33

[21] https://www.youtube.com/watch?v=DTS08Nf2u3Q

[22]

http://cis-india.org/news/economic-times-april-3-2014-m-rajshekhar-should-nanda

n-nilekani-aadhar-project-for-identity-proof-and-welfare-delivery-exist

[23] http://eandt.theiet.org/news/2014/may/biometric-atm.cfm

[24] https://www.youtube.com/watch?v=y0QKQ-Gi2vk

[25] Nymi, Nymi Band White Paper, Nymi, 2015.

[26]

http://www.ischool.berkeley.edu/newsandevents/news/20130403brainwaveauthenticati

on

[27] http://www.itu.int/itu-t/workprog/wp_item.aspx?isn=9429

[28] ITU-T, ITU-T SG17 Q9

[29] ITU-T SG17 Q9 X.bhsm

[30] ITU-T SG17 Q9 X.tam

[31] 김수형, 조영섭, 최대선, “핀테크 시대: 새로운 인증 기술을 요구하다,” 정보과학회

지, 한국정보과학회, vol. 33, no. 5, pp17-22, May, 2015.

[32] 김수형, "FIDO 표준 기술 동향,“ TTA Journal, TTA, vol. 164, 03/04 2016.

※ 상기 기재된 참고 문헌의 발간일이 기재된 경우, 해당 표준(문서)의 해당 버전에 대해서만

유효하며, 연도를 표시하지 않은 경우에는 해당 표준(권고)의 최신 버전을 따름

http://cis-india.org/news/economic-times-april-3-2014-m-rajshekhar-should-nandan-nilekani-aadhar-project-for-identity-proof-and-welfare-delivery-exist

http://eandt.theiet.org/news/2014/may/biometric-atm.cfm

http://www.ischool.berkeley.edu/newsandevents/news/20130403brainwaveauthentication

http://www.itu.int/itu-t/workprog/wp_item.aspx?isn=9429

기술보고서

TTAR-xx.xxxx34

부 록 Ⅰ-5


영문표준 해설서


기술보고서

TTAR-xx.xxxx35

부 록 Ⅰ-6


표준의 이력

판수 채택일 표준번호 내용 담당 위원회

제1판 2016/09/23 TTARxx.xxxx 제정 PG505

Download - TTAT echnical R eport

Top Related