생체 행위 인증 표준화 동향 및 스마트 서명 사인 기술 by김태봉 KTB솔루션

1. SmartSIGN
2015. 06.23 발표자 : 김태봉(KTB솔루션 대표이사)
생체 행위 인증 표준화 동향 및 스마트 서명 사인 기술

2. WE'RE GOING TO USE
THE BEST POINTING DEVICE IN THE WORLD.
WE'RE GOING TO USE
A POINTING DEVICE THAT
WE'RE ALL BORN WITH
- BORN WITH TEN OF THEM.
WE'RE GOING TO USE OUR FINGERS.
Steve Jobs
“최고의 디바이스는 손가락입니다!”

3. 시장 현황

4. IT 시장 환경의 기술적 추이 분석
“Gartner hypercycle technology 2015”
 디지털 시큐리티(보안)의 대두
 스마트 환경의 가속화
 신뢰할 수 있는 기기의 식별성
 바이오와 연결되는 디바이스
 사물인터넷(IoT)으로의 확장
 빅데이터 및 분석의 고도화
보안 인증

5. Business Area
보안과 인증이 필수적으로 요구되는 시장
IoT(Internet of Things)온라인 뱅킹/ 카드FinTech(핀테크)
전자 계정(로그인 등 본인확인)모바일(결제/인증)FDS(Fraud Detection System)
빅데이터 분석온라인 거래전자 결재

6. Business Area Growth
핀테크, 정보보안, 멀티팩터 인증 시장의 성장성

7. 모바일 결제 시장의 폭발적 성장성

8. 당면한 위협과 필요성
다양한 보안 위협에 대응하기 위해 철저한 보안과 본인 인증이 필요
화면
훔쳐보기
(패스워드
입력 유출)
지능형
RAT 위협
피싱/파밍,
사기
해킹 위협
인증정보
유출 위험 계정
보안
본인확인
(부인방지)
금융
보안

9. SmartSIGN 이해

10. 보안 인증 수단별 안전성 비교
‘거래서명기술 ‘ 수준 이상의 안전성 보장 필요
 악성코드 및 해킹 대비책 필요
 피싱 및 파밍 대비책 필요
 온라인 채널 공격 대비책 필요
 권한탈취(원격 조종, RAT)
대비책 필요
 거래정보 연동 보안책 필요
 본인 확인의 정합성 필요
본인
인증
위협
대응

11. 본인 인증 정합성 확보
Gartner(2014.4), “A Taxonomy of User Authentication Methods”
“KTB SmartSign”

12. 본인 인증 정합성 확보 – 1(핵심 방법)
가장 높은 본인확인 수단은 “생체 기반”임

13. 본인 인증 정합성 확보 –2

14. 본인 인증 정합성 확보-3

15. 보안 인증 기술 경쟁비교
안전성: 생체 > 소지 > 특징 > 지식 기반 인증
생체 기반
인증 기술
특징 기반
인증 기술
소지 기반
인증 기술
지식 기반
인증 기술
본인인증 정합성 측면(Middle)
위협 대응(보안) 기술 측면(Middle)
본인인증 정합성 측면(Low)
위협 대응(보안) 기술 측면(Low)
본인인증 정합성 측면(High)
위협 대응(보안) 기술 측면(Middle)
본인인증 정합성 측면(Middle)
위협 대응(보안) 기술 측면(Middle)
NFC 인증
OTP 인증
패스워드 인증
그래픽인증
디바이스 인증
Q&A 인증
지문/홍채 인증
서명(싸인) 인증
2채널 인증

16. SmartSIGN vs 기타 생체 기반 인증 방식 비교
본인 인증 정합성이 가장 높은 수단간의 비교
Key figures SmartSIGN 생체기반(지문/홍채)
본인 확인 방식 생체 행위 인증 방식 생물학적 특징 인증 방식
不의사 오용
예) 약물, 알코올, 수면 등 반 의사 행위
대응 가능 대응 불가
인증 정보 유출시 대응 여부
예) 생체 원 정보 탈취시 변경/교체 가능
대응 가능
(사후 변경 가능)
대응 불가
(사후 변경 불가)
적용 및 편의성 여부
예) 지문 인식 센서 필요
ONLY 스마트폰
(별도 장치 불필요)
별도/추가 인식 장치 필요
(스마트폰외 생체 인식 장치 등)
시장 접근성 여부
예) 경제성 및 인식 장치 보급률
추가 비용 미발생 및
모든 스마트폰 적용(별도 장치 불필요)
상대적 경제성 및
인식 기기 보급률 낮음
비상 대응(Emergency Mode) 여부
예) 강압 및 협박에 의한 강제성
다양한 상황별 설정 가능 생체 정보의 제한성
보안 및 복합 인증 적용
예) 디바이스 인증 및 모바일보안 등
생체 기반 + 특징 기반 + 소지 기반 인증
및 특화된 모바일 보안 복합 적용
Only 생체 기반 인증

17. SmartSIGN 특화 기술
동적기반 제반 특징자 추출 및 통계 분석, Score 합산을 통한 검증
선은 점의
연속
(No Image)
1/10 15
분석
입력 압력
측정
실시간 벡터
좌표 추출
소요 시간 측정
및 가속도(획간) 방향성 및
순서
실시간
싸인 좌표
분포도
분석
SmartSIGN

18. 디지털 싸인(서명) 경쟁 비교
국내 및 해외 디지털 싸인 상용화 대표 업체 간 비교
비교 SmartSIGN SV시리즈 SignDoc
개발/제조사 KTB솔루션 에스브이테크(국내1위) KOFAX(나스닥 상장)
특징 및 지향점
스마트폰 기반 온라인
비대면 거래 보안 인증 특화
오프라인 대면 인증 목적의
서명 검증(전국 동사무소 등
싸인 패드 구축)
문서 무결성 보증 목적의
서명 검증 및 전송
서명 입력(인식) 방식 실시간 벡터 좌표 추출 이미지 생성(SignDoc 기술) 이미지 생성
서명 검증(비교) 방식 다차원 벡터 좌표 분포 분석 이미지 비교(SignDoc 기술) 이미지 비교
등록 원(싸인)정보 유출 방지 여부 암호화 비 암호화 비 암호화
입력 장치에 대한 보안 적용
지원
(SmartHacker 내장)
미 지원 미 지원
서명 인식 장치 스마트폰 전용 싸인 패드 및 전용 펜
스마트폰
(SignDoc MOBILE 버전)
인식/식별 정확도
99.999999999999999%
(소수점 15자리까지 측정)
98%
(SignDoc SDK사용/ 동일 기술)
98%

19. SmartSIGN 검증 실례(시연)
싸인 비교시,
통과(허용) 여부
기준 설정 가능
-현재 합산 스코어
60% 이상 설정
최초 ‘싸인 등록’
싸인 입력, 일치 싸인 입력, 불일치
본인 확인 ‘성공’ 본인 확인 ‘실패’

20. SignPAY(SmartSIGN + 핀테크 결합 예시) 모델
SmartSIGN 인증을 적용, 핀테크(전자지갑, 계좌이체, 카드결제, 송금 등 통합) 모델 적용 예시
결제
요청
결제
승인
SignPAY
Server

21. 적용 가능 비즈니스 분야
인증과 보안이 요구되는 다양한 모델에 적용 가능
본인확인기관(신용평가사 및 통신사)과
연계하여 새로운 유형의 본인확인 제공
서비스 모델 및 시장 창출
모바일 기반 특화된 FinTech
(송금,전자결제,전자지갑,이체)
서비스 모델 및 시장 창출
스마트뱅킹, 모바일 오피스 등 다양한
모바일 업무 및 서비스의 보안을
강화하는 서비스 모델 및 시장 창출
IoT(사물인터넷), 오프라인(물리적 보안 및
출입통제 등)과의 융복합(문서 서명검증 등)
서비스 모델 및 시장 창출
모바일 카드의 본인 인증 및
결제 승인에 적용
서비스 모델 및 시장 창출
은행 및 증권, 카드, PG사 등
이상금융거래 차단시 2CH 인증
(SMS/ARS 등)과 별개로 추가 인증하는
서비스 모델 및 시장 창출
인터넷 서비스(게임,포털 등)및 그룹웨어
사용시 로그인 계정의 유효성과 보안성을
제공하는 서비스 모델 및 시장 창출
본인확인
서비스
전자금융
거래보안
서비스
핀테크
서비스
모바일
카드
서비스
모바일
보안
서비스
계정보안
서비스
융합보안
서비스
SmartSIGN

22. 주요 사례별 추진 및 구축 진행 사항
Key figures 적용 분야 추진 목적
국내 A 은행 FDS 이상거래 탐지/ 차단시, 추가 본인 인증에 활용
국내 B 은행 텔레뱅킹 및 콜센터 비대면 거래시 본인 확인에 활용
국내 C 은행 공인인증서 공인인증서 대체 목적의 추가 복합 인증 수단으로 활용
국내 D 카드 모바일 카드 및 핀테크 간편 결제 및 본인 확인 강화, 핀테크 차별화
국내 E 반도체 그룹웨어(로그인 인증) 내부정보 유출 방지 목적의 계정 보안(기존 USB토큰 대체)
국내 F 통신 본인 확인 서비스 비대면 기반 거래 증가 대비, 생체 기반 본인 확인 서비스 목적
국내 G 기업 물리적 출입통제 장치 출입문(게이트) 통과시 별도 장치/키패드 없는 본인확인
국내 H 기업 키오스크(ATM) 본인(생체) 확인/ 인증 목적
국내 I 기업 전자 문서 검증 계약서/ 확인서 등 전자 문서 검증 목적
국내 J 공공기관 OOOO카드 공인인증서 없이도 간편 송금(핀테크) 및 전자결제 활용
중국 K 보험 본인 확인 기 검토된 안면윤곽인식 기술과 결합된 복합 생체 인증
중국 L 스마트폰 제조업체 싸인으로 잠금 해제 애플/삼성의 지문으로 잠금해제 등과 차별화 마케팅 목적
미국 M 기업 전자 수표 체크 기존 수표 체크 싸인을 스마트폰 기반 디지털화 목적

23. 인증 수단간 비교
보안 요구 항목 거래연동OTP NFC 인증
SMS
인증
전화
인증
지문/홍채
인식
얼굴 안면 인식 스마트싸인
인증 기법 분류 소지 소지 소지 소지 생체(특징) 생체(특징) 생체(행위)
본인 확인 정확성(생체만 가능) X X X X 높음 보통 높음
제3자 오용 가능성 위험 위험 위험 위험 안전 위험 안전
인증 원 정보 유출시 대응
(=폐기후 대체 가능성)
가능 가능 가능 가능 불가 불가 가능
반 의사 오용 가능성(약물, 알코올, 수면 등 본
인 의지와 무관)
위험 위험 위험 위험 위험 위험 안전
인증정보 유출/해킹 위험성 안전 안전 위험 보통 안전 위험 안전
혁신성(=사용자 흥미 유발) 보통 보통 낮음 낮음 보통 보통 매우 높음
부인 봉쇄(방지) 지원 여부 낮음 낮음 낮음 낮음 보통 보통 높음
평균 처리 소요 시간 ~20초 ~20초 ~10초 ~1분 ~10초 ~10초 ~2초
사용자 친화성(=사용자 UX 경험) 낮음 낮음 보통 높음 보통 매우 낮음 높음
경제성(=별도 장치 불필요 등) 낮음 낮음 높음 보통 낮음 높음 높음
비상(제3자 협박,강요에 의한 강제 인증)시 대
응 지원
X X X X X X O
인증정보 유출시 악용 가능성 낮음 높음 높음 보통 낮음 보통 낮음
범용적 사용성 지원(=95%이상 사용자의 즉각
적 지원 가능성)
매우 낮음 매우 낮음 높음 높음 낮음 높음 높음

24. SmartSIGN 시스템 구성안
SmartSIGN ‘전자 서명(싸인)’ 정보를 서버 또는 로컬(스마트폰)에 저장/ 비교 선택 가능
온라인 거래 처리 영역 SIGN 인증 처리 영역
싸인 등록
저장 서버
관리자 UI
인증 처리
서버
실시간
인증 처리
요청/사용자
식별정보
실시간
응답코드
사용자
정보
+
디바이스
정보
+
싸인 비교
결과
원본 싸인
등록값
+
처리 로그
+
백업 데이터
실시간
단말정보
KTB SmartSign 시스템채널 기간계
WAS/WEB
FDS 등 추가 인증
/본인확인 요청
이벤트 발생
디바이스 인증
정보 수집
스마트 뱅킹
인터넷 뱅킹
Agent
호출
고객센터
DB
File
등록 스마트폰,
‘싸인 입력’ 수행
CDMA망을 통한 PUSH 이벤트 발생,
싸인 입력 창 실행
CDMA망을 통한 싸인 입력값(디바이스 정보 및 이벤트 식별 정보 등 포함) 전송
지원 OS 앱 지원 모바일 웹 지원
안드로이드 가능 가능
IOS 가능 가능
기타 모든 OS - 가능
* 원천기술 확보,
특허등록 및
출원기술 다수 적용
암호화

25. SmartSIGN 서명 검증 주요 프로세스
다차원 복합 검증 기능을 통해 본인 확인 정확성 확보 및 안전성 향상
1
•디바이스가 일치하는가?
•최초 지정/ 등록된 스마트폰이 일치하는지 ‘검증된 디바이스 인증’ 기술 적용으로 디바이스 검증
2
•싸인 입력시 입력된 ‘싸인’의 실시간 벡터 좌표 추출 분포도 분석을 통한 일치율 검증
3
•싸인 입력시 ‘동적 정보’(소요 시간, 획간의 가속도, 시작점 위치와 끝점 위치 정보, 압력 등)를
추가 검증
4
•싸인 입력시점, 스마트폰 내 ‘보안 위협’을 분석 Root 검사, 메모리 및 프로세스 검사, ‘ 원격 조종 여
부, 악성 행위 검증, 특허 등록된 “스마트해커” 보안 기술을 필수 핵심 요소로 통합 적용
5
•상기 과정의 일치 여부를 판단, 통계 분석을 통한 Score로 합산하여 ‘최종 일치율 산정’
(예, “서명 일치율 88%”)

26. Future
글로벌 인증 표준 기구화 추진 동참(“Board Member”)
FIDO(Fast
Identity Online)
얼라이언스
USID(Unique
Secure Identity)
얼라이언스
-서구권 중심(북미가 주도)
-”생체 패턴 특징 인증” 중심 표준화 진행
-제조 업체 중심의 적용 모델 중점
-한중일 중심(한국이 주도)
-”생체 행위 인증” 중심의 보안 일체형 표준화 진행
-FDS와 연계/연동한 형태의 적용 모델 중점

27. 위협 대응 - SmartHacker 통합
SmartSIGN내 행위기반 탐지 모바일 보안 솔루션 SmartHacker 기본 탑재
SmartHacker는 위협 대응 모바일 보안 솔루션으로,
행위기반 탐지 기법을 사용하여 악성 행위(도청/ 원격 조종 등)와 보안 취약점 위협 요소를 정밀 점검,
기존 모바일 백신의 구조적 한계점인 블랙리스트 방식이 아닌 행위 분석 및 탐지 기술을 사용하여
정확성과 Zero-Day Attack을 예방/ 차단함
악성앱(RAT 등)에 의한
도청/원격조종 탐지 전문,
증적 정보 기록/ 모니터링

28. 보안 위협대응(SmartHacker) 기능
항목 설명 비고
단말 관련 각종 정보 수집 스마트폰내 H/W 및 S/W, 네트워크 및 설정 정보 수집 -금융감독원 감독 기준/지침
-행정안전부 가이드라인
-KISA 가이드라인
-해외 가이드라인 및 권고안
준수
-제조사 자체 고유의 전문
검사 방식 적용
단말 고유 식별 정보 수집 단말을 식별할 수 있는 Unique한 Hash값 생성/ 관리
도청 및 정보유출 악성앱 설치 여부 검사 행위 기반 악성앱 설치/ 동작 여부 탐지
스마트폰내 이상 행위 여부 탐지 검사 비정상 행위
SMS내 유해 코드 삽입 여부 및 발신지 검사 수신 문자메시지내 url 검사, 발신자 서버내 apk 탑애 검사
보안 취약점 존재 여부 검사 보안 취약성 진단 및 검사
비인가 접근 여부 검사 허용되지 않은 경로와 방법으로 중요 영역 접근 시도 탐지
제3자에 의한 스마트폰 원격 조종/ 감시
여부 검사
악성앱을 통해 스마트폰 원격 조종/감시 여부 탐지, 추적
네트워크를 통한 정보 유출 여부 및 접속지/ 국가 추적 외부 네트워크와 연결을 시도하는 모든 앱에 대한 앱정보 검사,
접속 국가, IP 등의 상관관계 탐지/ 추적
출처 미상 앱 설치 여부 Live 검사 구글 등 정상 설치 경로가 아닌곳에서 설치된 앱이 있는지 검사
Hidden 앱 설치 여부 검사 화면에는 보이지 않는 은닉된 설치 앱이 있는지 검사
루팅 여부 및 접근 권한 정당성 여부 검사 루팅 등 시스템 위해 행위 검사
감사 기록 생성/ 추출 디지털포렌식을 위한 관련 기록 추출/ 비교
Proxy 동작 여부 검사 프록시 설정을 통한 정보 유출 위험성 탐지, 추적

29. 시 연

31. 감사합니다.
김태봉
KTB솔루션
서울시 구로구 독산동 현대지식 산업센터 A동 1906호
www.ktbsol.co.kr
이메일: kim@ktbsol.co.kr
회 사: 02-2132-5551
전 화: 010-2980-1485