top of page
검색
  • 작성자 사진KoreaExpert
    • 2020년 3월 24일
    • 2분 분량

공공기관 사용자 인증, IRUKEY로 강화하자!


최근 공공기관의 사용자 보안 인증 관련 트랜드는 세 가지로 설명됩니다.


1) 공인인증서 폐지 (간편인증, 공인인증서 대체수단 활용)

2) 내부 시스템 정보보안 강화 _ 국정원 보안 지침 (2차인증, ID Protector 활용)

3) 개인정보보호 강화 _ 개인정보보호법 & 정보통신망법 (2차인증, 가상계정부여 기능 활용)



1) 공인인증서 폐지 (간편인증, 공인인증서 대체수단 활용)


개인정보보호 및 시스템을 보호하기 위한 수단으로 가장 널리 사용해왔던 공인인증서의 경우 인증서 발급, 사용을 위한 많은 절차와 보안 프로그램 강제설치(ActiveX) 등으로 편의성은 떨어지고 보안 취약점 또한 노출되어왔습니다. 이에 따른 전자서명법 개정안이 국회에 계류 중에 있으며, 각 기관에서는 공인인증서 대체

수단 또는 간편인증 수단을 도입 고려하고 있습니다.

전자서명법 전부개정안의 주요내용은 다음을 골자로 하고 있습니다.


  • 기존 공인인증서 제도 및 관련 규제 대폭 폐지

  • 가입자, 이용자 보호장치는 현행 수준을 유지

  • 기존 공인인증서 사용자에 대한 보호장치 마련

  • 다양한 편리한 전자서명 수단을 제공하기 위한 인터넷 이용 환경 개선



2) 내부 시스템 정보보안 강화_국정원 보안 지침 (2차인증, ID Protector 활용)


공공기관의 내부 보안을 위한 조치로 기관별 망분리를 진행 해왔습니다. 국가기관의 정보보호를 위한 조치로 국가정보원에서는 각 기관별 내/외부망 보안강화를 위해 내부망(그룹웨어)/외부망(이메일)의 2차인증 도입을 권고하고 있습니다. 이에 따라 각 상위기관에서는 국정원 보안지침을 참고로 해당 하위기관의 정보보안 감사 시 지적사항으로 활용하고 있습니다. 이에 따라 각 기관에서는 2차인증의 필요성을 인지하고 도입검토를 진행하고 있습니다.


3) 개인정보보호 강화_개인정보보호법 & 정보통신망법

(2차인증, 가상계정부여 기능 활용)


개인정보보호 관련 법규는 강화되고 있습니다. 행정안전부의 개인정보보호법 “개인정보보호의 안정성 확보조치 기준”과 방송통신위원회의 정보통신망법 “개인정보의 기술적 관리 보호 조치”, 두 규정을 해석하면 “VPN 또는 안정한 인증수단”을 적용하도록 하고 있습니다. “안정한 인증수단의 적용” 예시에는 인증서, 보안토큰, 일회용 비밀번호(OTP)를 언급하고 있으며, “안정한 인증수단을 적용할때에도 VPN 등 안전한 접속수단을 적용하도록 하고 있습니다. 위를 근거로 개인정보관련 시스템에는 “VPN + 안정한 인증수단”을 도입해야 한다고 해석할 수 있습니다. 공공의 사용자 편의성과 보안을 위한 조치로가 이루어 지고 있으며 이에따른 도입 검토가 필요합니다.


< All in One 솔루션 IRUKEY(OTID) >


세계 최초 OTID(One Time Identity) 기반 신개념 간편인증 솔루션입니다. IRUKEY (Identity, Random, Unique Key)는 제품명은 나에게만 유일한 OTID로 편리하고안전하게 사용자를 인증하는 신개념 간편 인증솔루션을 의미합니다.

주기적으로 자동 생성되며 임의의 숫자, 영문 대소문자, 특수 문자로 조합된 일회용 사용자 아이디 입니다. 제한 시간이 지나거나 로그인 후에 사용 불가한 일회용 코드 적용으로 유출 염려가 없습니다. 1차 인증(ID, PW) 뿐 아니라 기존 2차 인증(SMS, ARS, OTP, PIN등)대체 및 ID Protector, 간편인증 또한 가상계정 부여 기능을 활용하여 공용ID/PW 사용 시 가상계정을 부여하여 실사용자를 파악할 수 있습니다.


2019년 국감에서 지적되었던 교직원공제회 “타 사이트 계정정보로 유출로 인한 개인정보 도용 사례”의 경우 사용자들이 ID/PW를 일원화하여 사용한다는 취약점을 이용하여 타 사이트에서 유출한 계정정보를 활용하여 기관 시스템 접근하여 정보가 유출된 사례입니다. IRUKEY의 시간 주기에 따른 일회용 랜덤 코드를 이용한 사용자 식별 방식으로 타사이트에서 유출된 계정정보를 이용하여 로그인이 불가능하며 유출되더라도 일정시간 이후엔 OTID의 변경으로 로그인이 불가합니다.


All in One 솔루션인 IRUKEY(OTID)는 한번의 구축으로 1차 인증(ID, PW) 뿐 아니라 기존 2차 인증(SMS, ARS, OTP, PIN등)대체ID Protector, 간편인증 또한 가상계정 부여 기능을 활용하여 공용ID/PW 사용 시 가상계정을 부여하여 실사용자를 파악할 수 있는 다양한 기능으로 활용 가능합니다.

조회수 221회댓글 0개

최근 게시물

전체 보기
Untitled-1.png
bottom of page