금융부문 암호기술 - (1) 금융 보안 법률, 입력정보의 암호화

 

금융부문 암호기술, 보안관련 법률
- 전자금융거래법(국내 전자금융 거래의 안전성 강화 목적)
+ 전자금융 감독규정(시행령)
- 개인정보보호법
- 정보통신망법
- 신용정보법
+ 신용정보법 시행령

금융부문 암호기술 적용 현황

<그림 1: 금융 서비스 암호기술 적용 현황>

(1) 입력정보의 암호화
- 이용자를 확인하기 위해 사전에 정의한 특정 정보를 입력하여 거래를 처리하는 절차는 올라인 뱅킹과 결제뿐 아니라, 오프라인 거래(PIN 입력)에서도 존재한다. 하지만 PC를 포함한 거래 단말기는 범용 기기이므로 쉽게 해킹에 노출될 위험이 있다.
- 즉, 온라인뿐만아니라 오프라인에서도 입력정보의 암호화가 중요하다.(MS카드 대신 IC카드 사용)
- 온라인에서 대표적인 입력정보 암호화 수단 : 키보드 암호화 프로그램
- 키보드 암호화 프로그램은 사용자 디바이스(PC, Mobile)에 키로거 기능을 수행하는 멀웨어가 있는 경우 키 로깅(Key logging)을 차단하는 역할을 수행한다.
- 메모리 해킹 사고(2013) : 사용자가 수신자 계좌번호, 송금액을 정상입력하여 계좌이체 하였으나 사용자 디바이스에 설치된 멀웨어가 디바이스의 메모리(RAM)에 계좌번호, 송금액에 해당하는 메모리 주소를 찾아내어 해당 값을 변경시킴으로써 금전피해가 발생한 사례
- 금융권은 이에 대응하여 E2E 암호화를 권고하였으며 이에따라 사용자 디바이스의 금융거래정보가 메모리 상에서 암호화되었다.

구분	E2E	확장 E2E
보호 영역	계좌 비밀번호 보안카드 번호 공인인증서 비밀번호	계좌 비밀번호 보안카드 번호 공인인증서 비밀번호 이체금액, 입금정보

- E2E 암호화 솔루션에 의해 데이터를 암호화하여 메모리 해킹공격과 네트워크상에서 이루어진 공격을 차단함

온라인 뱅킹 거래시 적용되는 암호기술

암호적용 단계	입력값	로그인	예비거래	본거래	전자서명	전송
① 공인인증서 개인키 추출	인증서 비밀번호	○			○
② 키보드보안(1)	계좌 비밀번호 보안카드 번호		○	○
③ 키보드보안(2)	이체금액 입금정보		○	○
④ 전자서명	거래내역				○
⑤ 통신구간	통신 데이터					○

- 공인인증서 개인키 추출 : 모바일기기(혹은 USB)에 저장된 공인인증 정보(개인키)를 온라인 뱅킹 시스템에 전송하는 과정으로써 개인키는 대칭 암호 알고리즘에 의해 암호화되어 전송된다.
- 온라인 뱅킹의 이체 서비스는 '예비거래'와 '본거래'로 구분
- 예비거래 : 입력된 정보를 통해 금융거래가 처리되기 전에 진행되는 거래로서, 수취인의 계좌정보 유효성과 해당 계좌의 예금주를 확인하는 단계
- 본거래 : 이용자가 거래금액과 개인정보를 입력하여 거래를 진행하는 단계
- 키보드 보안(1) : 계좌 비밀번호, 보안카드 번호를 사용자에게 '*' 형태로 표기 + 네트워크상 암호화
- 키보드 보안(2) : 이체금액, 입금정보를 사용자에게 평문으로 보여주되 네트워크상 암호화
- 전자서명 : 공인인증기반 구조(PKI)에 등록된 개인키를 사용하여 전자서명(Digital Signature)를 생성해 인증성, 부인방지를 지원
- 통신구간 : SSL/TLS 프로토콜을 사용하여 통신 구간 암호 프로토콜을 적용