[한국인터넷진흥원][정보보호] 바이오정보 연계 등 스마트폰 환경에서공인인증서 안전 이용 구현 가이드라인 (2019.04)

안녕하세요. 황컴플라이언스 입니다.

[한국인터넷진흥원][정보보호] 바이오정보 연계 등 스마트폰 환경에서공인인증서 안전 이용 구현 가이드라인 (2019.04) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 바이오정보 연계 등 스마트폰 환경에서공인인증서 안전 이용 구현 가이드라인

○ 발행일 : 2019년 04월

○ 주관부처 : 한국인터넷진흥원

---

[개요]

□ 추진배경

• 본 가이드라인은 스마트폰에서 별도 프로그램 설치 없이 바이오정보 등 다양한 인증기술 연계를 통해 공인인증서를 간편하고 안전하게 이용할 수 있는 방법에 대해 기술한다.

---

바이오정보 연계 등 스마트폰 환경에서 공인인증서 안전 이용 구현 가이드라인.pdf

1.17MB

바이오정보 연계 등 스마트폰 환경에서공인인증서 안전 이용 구현 가이드라인 (2019.04) : 한국인터넷진흥원

---

□ 구성 및 범위

• 공인인증서를 이용해 서버로 로그인하는 과정은 사용자가 가입자 소프트웨어를 통해 공인인증서를 선택한 후 전자서명생성정보 비밀번호를 입력해 암호화된 전자서명생성정보가 복호화에 성공하는지 확인하는 로컬인증(Local Authentication)과 복호화된 전자서명생성정보로 서버가 보내준 난수 값을 서명해서 서명 값을 생성한 후 공인인증서와 함께 서버로 보내 서버가 이를 검증하는 원격인증(Remote Authentication)으로 구성된다.
• 본 가이드라인은 스마트폰 환경에서 공인인증서를 안전하게 저장하고 사용자가 전자서명생성정보 비밀번호를 입력하는 과정에서 비밀번호를 입력하는 대신 다양한 인증수단을 이용하는 방법을 기술한다.
• 부록에서는 스마트폰 환경에서 바이오정보, NFC IC카드 등 다양한 인증수단을 통해 공인인증서를 간편하고 안전하게 이용할 수 있는 기술을 제공한다.

□ 보안 요구사항

본 가이드라인에서는 다음의 보안 요구사항을 정의한다.

• 가) 루팅(Rooting)·탈옥(Jail-Break) 등 스마트폰이 불법 변경된 환경에서는 모든 저장소에 접근이 가능하기 때문에, 물리적으로 독립된 안전한 하드웨어 저장소를 활용하는 것을 권고한다.
• 나) PIN번호, 생체인증 등 전자서명생성정보 접근을 위한 로컬인증 실패시 횟수를 제한하여야 한다.
• 다) 스마트폰 내 생체인식 장치의 FAR(오인식률)은 1/50,000 이상을 지원하여야 하며, FRR(오거부율)은 2~3% 이하를 지원하여야 한다.
• 라) 위조된 생체정보 등 스마트폰 내 생체인식 장치의 취약점이 발견되는 즉시 보안조치가 이루어져야 한다. 마) TEE 클라이언트와 TA는 신뢰된 상호인증을 수행하는 것을 권고한다.

---

[목차]

1. 개요 

2. 구성 및 범위 

• 3. 관련 표준 및 규격 
• 3.1 국외 표준 및 규격 
• 3.2 국내 표준 및 규격 

4. 정의 

• 4.1 전자서명법 용어의 정의 
• 4.2 용어의 정의 
• 4.3 용어의 효력 

5. 약어 

6. 보안 요구사항 

7. 로컬인증 

• 7.1 로컬인증을 위한 인터페이스 
• 7.2 전자서명생성정보 암호화 확장 기술 

8. 스마트폰 환경에서 안전한 공인인증서 저장방법 

• 8.1 안드로이드 운영체제 
• 8.2 애플(iOS) 운영체제 

부록

• 부록 1. 소유 및 생체기반 간편 공인인증기술 
• 부록 2. FIDO 인증기술과 공인인증서 연계 기술