스마트폰 공인인증서 문제 정리 인증/지불/서명/피싱

스마트폰 환경

       플러그인 개발이 어려움

      기존 PC상의 웹브라우저 공인인증서 지원은 모두 ActiveX등 플러그인 방식이었음

       모바일 웹의 인증, 지불 등 보안 기술 수요 제기

       모바일 웹보다는 모바일 앱 방식으로 우선 개발

 

 

스마트폰 공인인증서 문제


       인터넷 뱅킹/쇼핑 => 모바일화 문제

      공인인증서/신용카드지불 클라이언트 모듈이 필요

      App의 저장공간은 다른 App에서 접근 불가

      개별 app마다 모듈 및 저장공간 필요 (중복)

       웹에서는 안됨

      Plug-in 부재




스마트폰 지불결제 규제완화


       공인인증서 의무 적용 규정 해제

      30만원 이하 용

       뱅킹 부분 및 30만원 이상은 공인인증서 동일 보안성 제공 필요

       신용카드 지불 모듈도 여전히 필요

      안심클릭(xMPI)에선 필요없음

       중복성도 계속 남아있음



 

KISA의 공통앱


       아이폰 앱용

      KT의 “쇼인증서”

      PKCS#12 로 각 App [인증서 + Key ]제공

      App의 공인인증서 모듈은 PKCS#12 풀어서, 비밀키 패스워드(PKCS#5) 넣고  사용

      전자서명 모듈의 중복성은 여전

       PKCS#12데이터를 아무 앱에서나 획득 가능하다는 지적

 




금결원 개발 자바애플릿 방식


       웹에서 인증서 사용

      Java applet

      저장 방식은 N/A (ascrow도 가능)

      매번 applet 다운로드 => 느림

       이 방식도 실제로 스마트폰 브라우저에서 정상 동작하지 않는다고 함



 

오픈웹 주장


       OS keystore SDK사용

      Password 없이 접근(아이폰)

      타 앱에서 저장한 것에 접근 불가

       중복저장 필요 (default)

       app_id만 알면 접근 가능함.. (보안취약점)

      웹기반 전자서명 지원 안됨

 



스마트폰 공인인증서 문제 요약


       웹브라우저에서 전자서명 솔루션 없음

      일부 제시된 솔루션들도 기술 검증 실패

      금결원 자바 applet 방식

       앱용 솔루션 (공통앱)의 문제

      보안성 지적

      전자서명 모듈 중복


핑백

  • Something odd : 스마트사인 2012-09-18 09:57:34 #

    ... 스마트폰 환경의 공인인증서 문제 정리</a>- 공인인증기술 개발 히스토리 (개발에 참여했던 공인인증 기술의 간략한 히스토리)기본 아이디어 독립적 App (SmartSign App)을 설치SmartSign App 에서 인증서와 비밀키를 가지고 전자서명을 수행웹브라우저에서 url protocol을 통해 SmartSign App을 호출 * url protocol : 브라우저와 애플리케이션이 통신하기 위한 표준 방식으로 모든 플랫폼에서 지원 ... more

덧글

  • 숲속얘기 2011/04/04 17:41 # 삭제 답글

    개인적인 목적으로 퍼가겠습니다.
    검색노출은 안되게 해둘게요. 감사합니다.
  • 봉봉이 2012/09/17 21:36 # 답글

    ㅠㅅㅠ빨리 해결되면 좋겠어요....진짜 공인인증서 때문에 폰으로 되는건 몇개 없고ㅠㅅㅠ 크롬으로도 안되는게 불편하네요
댓글 입력 영역