금융부문 암호기술 - (3) 금융권 암호기술 분류
암호기술 분류
- 암호 프로토콜 : 사용자간 암호화 환경을 운영하기 위해 주고받는 정보에 대한 상호 규칙
암호기술의 주요 보안 특성과 금융권 적용 예시
| 주요 보안 특성(보안 위협) | 암호기술 | 금융권 적용 예시 |
| 기밀성(도청) | 암호화 | 종단 간 암호화(E2E 암호화) 입력값 보호(메모리 해킹 방어) |
|
무결성 |
일방향 해시함수 | 전자서명 |
| 메시지 인증코드(MAC) | 거래전문 확인 | |
| 전자서명 | 인증서 | |
| 인증(위장) | 메시지 인증코드(MAC) | 거래전문 확인 |
| 전자서명 | 본인인증 | |
| 부인방지(부인) | 전자서명 | 본인인증 |
| 기타 | 키 교환 프로토콜(ex.DH) | 세션키 생성 |
| 암호통신 프로토콜 | SSL/TLS, IPSec |
알고리즘의 종류 및 특징
| 종류 | 특징 | 대표적인 알고리즘 | 응용분야 | 구체적 예시 |
| 대칭키 암호 알고리즘 | - 암/복호화에 동일키 사용 - 기밀성을 유지한 통신 - 그러나, 키 분배 문제에 대한 해결책이 필요함 |
AES, SEED (블록 암호화) |
대부분의 개인정보 대상 암호화 적용 | 인터넷 뱅킹 조회 공인인증서 개인키 저장 |
| RC4(스트림 암호화) | 무선 통신 | 음성, 데이터 정보 암호 | ||
| 공개키 암호 알고리즘 | - 암/복호화에 서로 다른 키 사용 - 키 분배 문제 해결 가능 - 대칭키 암호 대비 느린 속도 - 중간자 공격에 취약 |
RSA(인수분해) | 공인인증서, 키 교환 | 인터넷 뱅킹, SSL |
| DSA(Digital Signature Algorithm) DH(이산대수) |
키 교환 | SSL 보안 프로토콜 키 설정 알고리즘 | ||
| ECDSA, ECDH (타원곡선 이산대수) |
||||
| 해시 함수 | - 키 없음 - 일방향 함수 - 해시함수 충돌 |
SHA-256 | 비밀번호 검사 | 아이디, 비밀번호 기반 로그인 인증 수행 |
| 기타(조합) | - 대칭키 암호와 공개키 암호를 함께 사용 - 해시함수와 다른 암호를 함께 사용 |
HMAC-SHA256 HMAC_DRBG |
- 메시지 축약값을 만들기 위한 MAC - OTP 생성용 의사난수 생성기 |
보안 API 및 SSL 프로토콜 전시 |
대칭키 암호기술
- 송수신자가 서로 동일한 키를 이용하는 암호기술로서 다량의 데이터를 암호화 할 때 주로 이용됨
- 블록암호 알고리즘은 데이터를 블록단위로 암호화하여 고정된 크기로 블록을 나누어 처리(AES, SEED, ARIA)
- 스트림 암호 알고리즘은 의사난수(Random Number)를 연속적으로 생성하여 비트 또는 바이트 단위로 처리하는 방식(RC4)
공개키 암호기술
- 공개키 암호기술은 대칭키와 달리 각 사람마다 한쌍의 키(공개키, 개인키)를 가진다
- 공개키 암호는 암호화에 많은 시간이 소요되고 계산량이 많기 때문에 일반적으로 대용량의 데이터를 암호화하는 데에는 사용되지 않고 길이가 짧은 데이터를 암호화하는 데 사용된다
공개키 암호 방식 알고리즘과 그 용도
| 공개키 암호 방식 알고리즘 | 용도 | ||
| 암호화/복호화 | 전자서명 | 키 교환 | |
| RSA | ○ | ○ | ○ |
| DH(디피 헬만) | X | X | ○ |
| DSA(전자서명알고리즘) | X | ○ | X |
| ECC(타원곡선암호체계) | ○ | ○ | ○ |
- 일반적인 공개키 암호 알고리즘은 인수분해 문제를 빠른 시간 내에 풀 수 없다는 것에 기반한다.
- 하지만, 양자 컴퓨터가 상용화되면 빠른 시간내로 인수분해 문제를 풀 수 있기때문에 기존의 공개키 암호 방식(RSA)에 취약점이 생긴다
- 따라서, 양자 컴퓨터가 상용화 될것에 대비하여 양자컴퓨터의 암호 해독 시도에도 안전한 새로운 공개키 암호 알고리즘이 필요하며 이러한 암호를 '포스트 양자암호'라 한다.
해시 함수
- 해시함수는 임의의 길이를 가진 메시지를 고정된 크기의 메시지로 출력하는 일방향 함수
- 해시함수는 어떠한 크기의 메시지를 입력 받아도 고정된 길이의 출력을 생성하기 때문에 파일이나 메시지, 데이터의 무결성을 검증할 수 있는 지문(fingerprint)를 생성할 수 있다
- 또한, 해시값으로부터 이전 평문을 복원할 수 없는 일방향 함수의 성질을 이용하여 메시지 인증(MAC)이나 전자서명에 사용할 수 있다
암호 알고리즘 조합
- 암호기술은 대칭키, 공개키, 해시함수 등의 알고리즘 특징을 고려해 이를 조합하여 이용하는 경우가 대부분
| 구분 | 조합된 암호 알고리즘 | 금융권 이용분야 |
| 하이브리드 암호 시스템 | 대칭키 암호, 공개키 암호 | 온라인 뱅킹 통신 구간 암호 |
| 스마트뱅킹 가상키패드 및 앱 무결성 | ||
| 전자서명 | 일방향 해시함수, 공개키 암호 | 거래내용 전자서명 |
| 인증서 | 일방향 해시함수, 대칭키 암호 | 본인인증, 부인방지 |
| 메시지 인증 코드(MAC) | 해시함수와 키를 조합, 대칭키 암호로 생성 | 로그 위변조 방지 |
| 증권 트레이딩 시스템 | ||
| 의사난수 생성기 | 대칭키 암호, 해시함수 | 구간 암호화용 대칭키 생성 |
| 암호키 생성 |
'정보보호 > 금융부문 암호기술 활용 가이드(금융보안원)' 카테고리의 다른 글
| 금융부문 암호기술 - (4) 블록 암호화 운영 모드(Block Cipher Mode) (0) | 2019.06.24 |
|---|---|
| 금융부문 암호기술 - (2) IC카드 거래에 사용된 암호화 기술 (0) | 2019.06.23 |
| 금융부문 암호기술 - (1) 금융 보안 법률, 입력정보의 암호화 (0) | 2019.06.23 |
| 금융부문 암호기술 활용가이드(금융보안원).pdf (0) | 2019.06.23 |
