GCOD
1,000+ Views

사용자는 아이콘 4개만 터치하는데 PASSCON

사용자는 아이콘 4개만 터치하는데
PASSCON은 32자리 알파벳의 해시값을 256자리 개인키로 서명한 후 공개키로 암호화한 인증값을 검증한다. 또한 추가로 일련의 과정에서 디바이스의 고유정보와 어플리케이션 설치시점의 고유정보를 검증한다.
ID와 아이콘 키를 알아내도 제3자 디바이스에서는 인증시도 자체가 진행되지 않으며 레인보우 공격이나 brute force dictionary attack 같은 것은 원천적으로 불가능하다.
그래서 특수문자 알파벳 숫자 섞어놓은 8자리 비밀번호 인증과 기술적 차별성을 비교하는 것 자체가 우스운 일이다.
또한 개인키로 서명하는 digital signature에도 응용 가능하다. 인증서를 발급하던 안하던 그것은 선택이다.

- 패스콘 -


#패스콘
#PASSCON
Comment
Suggested
Recent
Cards you may also be interested in
거짓말좀하지말자..공인인증서던 공동인증서던..
모르면 말하지 마라. 알고도 거짓말을 하면 안되는 거다. PKI인증서는 대게 사용자정보, 공개키, 개인키로 구성된다. 여기서 개인키는 암호화되어있다. 사설이던 공인이던 마찬가지다. 여기서 PKI 공개키와 개인키의 용도가 무엇인지 왜 사용하는 지를 알아야 한다. 이에 대한 이해가 없으면 맨날 거짓말을 하거나 거짓말에 속을 수 밖에 없다. A라는 사람이 공개키와 개인키를 가지고 있다고하자. 나를 유일하게 식별되도로 하는 키가 공개키다. 그래서 공개키는 말 그대로 공개하기 위한 식별자이다. 비트코인을 보내거나 받을 때 사용하는 주소라는 거다. 개인키는 언제사용할까? 내가 생성하는 정보에 내가 만들었다는 증거를 남기는 거다. 방식은 해당 정보를 나의 개인키로 암호화하는 것이다. 이것이 서명이다. 그래서 개인키는 무조건 본인만 소유하여하며 이것이 유출되지 않도록 자~~~~알 관리하여야 하는 것이다. 그런데 개인키로 암호화한 것은 공개키로 항상 복원할 수있다. 어?? 공개키는 공개한다며? 그럼 개인키로 암호화하는 것이 무슨 소용이지? 이대목에서 일반인들이 멘탈붕괴된다. 용도를 모르기 때문이다. PKI키는 서명하는 목적과 정보를 제3자가 볼 수없게하는 암호화 목적 두가지로 사용되는 원리를 모르기 때문이다. 간단히 정리하면 내가 했다라는 증거는 나의 개인키로 암호화하는 것이고 특정된 상대방만 복원하도록하는 암호화 (이것을 기밀성이라한다)의 목적은 상대방의 공개키로 암호화하는 방식을 적용한다. 즉 서명은 나의 개인키로 하고 기밀유지는 상대방 공개키로 암호화한다는 말이다. 자 그럼 사설이던 공인이던 인증서를 블록체인을 이용하여 구현하면 개인키 유출이 차단되나? 기사를 보면 마치 그런것처럼 읽혀진다. 거짓말이다. 비트코인월렛의 개인키는 뭐고 블록체인의 개인키는 뭐지? ㅡㅡㅡㅡㅡㅡㅡ ''인증서와 개인키를 복사해가는 것을 블록체인으로 보완한다?'' 이거이 대체 뭔말이당가??? ㅡㅡㅡㅡㅡㅡㅡ http://m.zdnet.co.kr/news_view.asp?article_id=20171204165403
비밀번호 인증 설계의 핵심은 책임소재를 잘 배치하는 것이다. 이것은 보안이라고 할 수 없다.
제목 : 비밀번호 인증의 문제를 정확히 알려주어야 한다. 부제 1 : 계정이 해킹되었는데 서비스는 해킹되지 않았다? 부제 2 : 보안의 끝판왕은 책임 소재가 어디인가에 있다는 사실,,,, 사용자가 왜 비밀번호를 아무리 잘 관리하려해도 소용이 없는 지 사용자에게 자세히 알려주어야 한다. 그리고 설사 비밀번호가 해킹되어도 왜 서비스 제공자는 책임이 없는지도 알려주어야 한다. 아래 그림에서 보듯이 서비스 제공자는 자신의 서버에 비밀번호를 단방향 암호화로 저장한다. 한번도 아니고 1만번 이상 뺑뺑이를 돌린다, 물론 다 이렇게 하지는 않는다. 그래서 서버가 해킹되면 비밀번호가 유출되는 것이다. 암튼 이 정도 조치를 해둔 서버를 해킹하여 비밀번호를 탈취하는 것은 사실상 불가능하다. 통신 구간에서는 SSL로 비대칭 암호화를 적용한다. 이 역시 탈취하여 크랙하는 것은 거의 불가능하다. 단, 다 이렇게 하지는 않는다. https에서 s가 없으면 이렇게 안하는 것으로 이해하면 된다. 문제는 이 상황이면 설사 계정이 도용되어도 서비스 제공자는 책임이 없다는 것이다. 왜냐하면 서버는 해킹되지 않았기 때문이다. 그럼 왜 계정이 도용당하는가? 그것은 사용자 단말에서 문제가 발생하기 때문이다. 키보드가 해킹되거나 다크웹에서 구매한 비밀번호를 무차별 대입하여 도용을 시도하는 것이다. 여기서 키보드 해킹에 대하여는 금융기관의 경우 금융당국이 제재하여 각종 키보드 해킹 방지 프로그램을 강제로 설치하게끔하고 있다. 그런데 금융기관이 아니면 대부분이 이부분에 대한 강제 규제가 없다. 게다가 다크웹에서는 여러곳에서 탈추한 비밀번호들이 거래되고 있기 때문에 심각한 문제가 발생하게 된다. 이외에도 개인정보가 탈취되면 사회공학적 툴로 비밀번호 유추가 용이하다. 왜냐하면 대게 사람들은 자신의 신상과 관련된 문자 몇 개는 비밀번호에 섞거나 반복 재사용하기 때문이다. 이러한 방법으로 계정이 도용당하면 왜 사용자의 책임인가? 그것은 비밀번호를 자주 변경하지 않았다는 이유와 키보드가 해킹당하도록 악성코드 제거를 열심히 하지 않았다는 이유 때문이다. 일반 사용자는 이와 같은 불리한 상황을 극복할 방법이 사실상 없다. 따라서 결국 책임은 사용자의 것이다. 이것은 서버스 제공자가 계속 비밀번호 인증을 유지하는 이유일지도 모른다. 한마디로 비밀번호는 "계정이 해킹되어도 서버의 비밀번호는 해킹되지 않아 책임에서 자유롭다."는 아이러니한 결과를 제공하기 때문이다. 보안의 끝판왕은 책임 소재가 어디인가에 있다는 사실,,,, #PASSWORD #보안 #비밀번호 #다크웹 #스터핑
IOT 융합 인증체계
디지털 사회는 IOT융합 인증보안체계를 절박하게 요구한다. http://blog.naver.com/gcodpasscon/221159044413 1. 서론 인증에 대한 수요는 보안 목표를 달성하고 KYC(know Your Customer)를 통하여 고객 만족과 편의를 제공하며. 서비스나 상품의 경쟁력을 강화하기 위하여 필수적인 비즈니스 요구로 부터 시작된다. 이러한 인증보안 수요는 모든 산업에 걸쳐 고객 주기 전반에 걸쳐서 빈틈 없이 내재되고, 연결되고 관련되어야 한다. 특히 4차산업혁명(Digital Transformation)이라고 부르는 최근의 동향에서 알 수 있듯이 향후 10년 이상 지속적인 변화의 압박이 모든 인간의 생활 속으로 파고들 것이다. 이러한 압박은 이전에 경험하거나 상상할 수 없었던 복잡성과 다양성을 쏟아내게 될 것이다. 여기서 주목되어야 할 것은 긍정과 부정의 효과는 항상 동시 다발적으로 발생한다는 점이다. 초연결을 지향하는 4차디지털변환기에 있어서 가장 핵심적인 부정적 효과 란 바로 프라이버시와 보안이라고 말할 수 있겠다. 왜냐하면 연결은 좋은 객체와의 연결을 통한 새로운 가치의 신속한 창출과 향유를 제공하지만 동시에 악의적인 목적에 이용될 가능성에 그만큼 더 많은 문을 열어주는 것과 같기 때문이다. 2. 눈 앞의 디지털 세상 초 연결 사회는 IT기반의 디지털 사회나 마찬가지다. 아날로그의 가치와 향수는 개인의 취미나 취향으로는 남겨지게 될 것이다. 대부분의 인간 활동과 기업의 활동이 디지털화되어 기획, 구축, 운영, 관리되는 세상이 올 것이다. 적어도 20년 이내에는 화폐조차 완전히 사라질 가능성이 높다. 그것이 구지 지금의 비트코인과 같은 암호화폐일 필요는 없다. 미래의 화폐가 무엇이 되었던 그것은 중요하지 않다. 다만 디지털화될 것이란 것에는 아무도 이견이 없을 것이다. 최근의 핀테크 이슈도 그러한 맥락에서 생겨난 하나의 현상이다. 아날로그의 마지막 추억은 화폐가 될 것이며 그 마저 디지털화되어 사라진다면 세상은 디지털이 아닌 것이 없게 된다는 것과 진배없다. 3. 조화 하루가 다르게 기술은 진화 발전한다. 때로는 어느 단계를 뛰어넘는 듯 한 현상도 종종 목격된다. 불가능을 가능하게 하며 상상을 현실로 만들어 버리는 폭발적인 실험들이 연일 지속되고 있다. 어떤 합리적인 투자가의 입장에서 보면 이러한 노력들이 밑 빠진 독에 물 붓기로 보이기도 한다. 그러나 분명한 것은 변화와 발전은 지속되고 있다는 것이다. 진화와 발전은 긍정과 보편적 가치를 지향한다고 믿어진다. 하지만 그 과정이 항상 명확하고 좋은 방향으로만 흘러가기는 어렵다. 기술과 기술 간의 간극이 벌어지기도 하고 연결과 호환의 불 안정성으로 예기치 못한 재앙적 결과를 가져오기도 한다. 특히나 특정 기술의 개발과 응용이 집단화된 이기주의에 의하여 주도되거나 퇴출되어 인류의 이익에 반함에도 불구하고 수용을 강요당하기도 한다. 그러므로 조화가 필요하다. 조화는 보편적 가치를 추구하는 사람들의 노력이 뒤 받침 되어 지속적인 시도와 퇴출의 반복을 통하여 이루어 질 것이다. 4. 인증보안 체계의 중요성 인터넷에 연결된 60억 사용자와 모발일로 연결된 30억 사용자가 매일 24시간 온라인 상태로 무엇인가를 하고 있다. 인터넷은 그 시작이 개방형 오픈 네트워크이다. 즉 누구나 접속할 수 있는 사이버 세상이라고 여겨져 왔다. 여기까지는 문제될 것이 없었다. 그러나 인터넷은 접속과 정보 전송을 한참 뛰어 넘어 이제는 무엇이나 할 수 있는 사어버 공간이 되었고 나아가 현실과 인터넷을 구지 구분할 필요를 느끼지 못할 수준에 도달했다. 급기야 인터넷의 핵심 가치라고 할 수 있는 “누구나 어디서나 접속"때문에 눈부신 발전을 이루었지만 이제는 동일한 이유로 전례 없는 문제와 위협에 노출되었다. 이제 다시 인증보안에 대한 이야기로 돌아가 보자. 필요에 따라 누구인지, 무엇인지, 무엇을 할 것인지, 허용을 할 것인지 아니면 차단 할 것인지, 허용한다면 그 권한의 수준은 어디까지 할 것인지, 불순한 의도를 사전에 파악할 방법은 없는지 등등을 결정하고 적용함에 있어서 신뢰할 수 있고 자동화가 가능한 뛰어난 결정 알고리즘이 필요하게 되었다. 이 알고리즘이 바로 인증보안체계이다. 한마디로 신뢰로운 인증보안 체계 없이는 오늘날 세상은 하루도 운영이 불가능하다는 것이다. 5. 인증체계의 구조 고객 감동을 추구하는 수 많은 가치 개발 노력들은 수많은 디바이스를 탄생시켰다. 특히 IOT 디바이스는 수십억 개가 연결되는 세상으로 치닫고 있다. 네트워크의 특성상 이들이 직접적으로 연결될 필요는 없다. 다시 말해 연결되지 않았지만 언제라도 연결될 수 있는 구조를 가지고 있다는 뜻이다. 디바이스를 네트워크를 통해 사용자가 제어하고 통제하고 이용할 수 있어야 하고 디바이스는 정당한 사용자나 신뢰할 수 있는 다른 디바이스만 연결을 허용할 수 있어야 한다. 뿐만 아니라 급속히 늘어나는 디바이스와 서비스 서버들이 사용자를 정확히 식별하고 인증된 사용자에게만 로그인, 거래 및 전자서명을 허용하는 인증체계가 필요하다. 구지 언급하자면 현재 이 과정을 비밀번호라는 인증수단이 가장 광범위하게 담당하고 있다. 이는 매우 심각하고 안일한 대응이 아닐 수 없다. 보다 안전하고 긴편한 디바이스와 사용자에 대한 동시 인증체계가 긴급하게 필요하다. 6. 위험 헷지 “혹자는 아직까지 잘 돌아 가고 있지 않나” 라고 말할 수도 있겠다. 그러나 정말 잘 돌아가는 것인가? 인증보안 문제가 어떻게 관리되고 있는지 소비자 생활과 산업을 연관 지어 살펴보면 이 문제는 명확하다. 전혀 잘 가동되고 있지 않으며, 불공평하며 심지어 집단 내지는 자본 이기주의가 숨어 있지 않나 의심이 들 정도이다. 인증체계의 구축과 운영 환경은 기술선도국이나 추종국이나 별반 차이가 없다. 현재까지도 온라인 인증은 비밀번호가 99% 이상을 차지하고 있다. 사이버 범죄로 인한 천문학적인 피해가 바로 이 비밀번호의 허술한 보안체계 때문임은 말할 필요도 없을 것이다. FIDO생체인증 표준이 비밀번호를 없애 줄 것이라 생각하는 것은 큰 오해이자 착각이다. 생체정보를 등록하기 위하여 먼저 비밀번호로 로그인하는 과정을 거치기 때문이다. 그러므로 비밀번호에 의존하는 이상 인증보안체계는 그 수준이 대동소이 하다고 보아도 무리가 없을 것이다. 그렇다면 비 대면 온라인 환경에서 핀테크나 금융산업이 활발하게 발달한 국가와 그렇지 않은 국가의 차이는 무엇 때문일까? 많은 여러가지 이유가 있겠지만 그 격차는 보험 산업의 수준과 관계가 깊다고 하겠다. 사이버 보험이 발달하고 거대 시장이 존재하는 국가에서는 보안침해로 인한 손실을 대부분 보험으로 헷지 할 수 있다. 보험료가 비용인 것은 분명한 사실이고 축소시키고자 하는 위험관리 부서의 미션도 있지만, 그럼에도 불구하고 보험은 가장 효과적인 위험관리 솔루션임에 틀림없다. 안타깝게도 선진국을 제외하고는 이러한 사이버 보험이 발달하지 못했다. 거대자본과 대규모의 기술자를 보유한 기업들조차 기술적으로 인증보안 체계를 개선하지 못하고 보험에 의존하는 것은 그 만큼 풀기 어려운 숙제이기 때문일까? 아니면 전락적 포석일까? 7. 결론 우리는 디지털변환기 또는 4차산업혁명이라는 단어를 인용하지 않더라도 인증보안체계의 중요성을 잘 알고 있다. 대한민국의 경우 최근 수년 사이에 사이버 위협으로 인하여 디지털 금융이 오히려 퇴보하였다. 일각에서는 비밀번호로 다 되는 해외 사례를 궁극의 정답인양 피상적인 정보로 혼란만 가중하였고 공인인증서 기반의 인증체계는 기술적/가치적으로 발전을 이루지 못하였다. 그 결과 지연이체, 이체한도 축소, 출금지연, 간편결제의 난립 등으로 불편함이 오히려 가중되었다. 요란한 생체인증이나 블록체인이 우리의 실생활에 추가적인 편의성과 안전성을 제공하였는지 다시 생각해볼 일이다. 기존의 디지털 금융 서비스가 퇴보하였다고 느낀다면 무엇이 부족한지 무엇을 해야 하는 지에 대하여 추가적인 부연 설명은 더 이상 필요가 없다고 할 수 있겠다. 이제 중요한 것은 지금부터이다. IOT시대는 거스를 수 없는 대세이고 기존의 디지털 가치 서비스는 IOT와 결합되어 더욱 분화되고 결합될 것이기 때문이다. 그러므로 어플리케이션과 IOT의 융합 인증보안체계는 이 시대의 가장 핵심적인 선결과제임에 틀림없다. http://blog.naver.com/gcodpasscon/221159044413
일상에 바로 적용 가능한 상식을 알려주는 책
안녕하세요! 나만의 스마트한 독서 앱, 플라이북입니다! 여러분은 일상을 살아가는 데 필요한 상식들을 어디서 얻으시나요? 알아두면 도움 되는 상식들을 모아볼 수 있다면 어떨까요? 이번 플라이북의 추천 책은 일상에 바로 적용 가능한 상식을 알려주는 책 다섯 권입니다. 생활부터 과학, 역사, 자연, 사회에 이르기까지 일상에 꼭 필요한 지식만을 선별한 지식백과 1분 생활 상식 자세히 보기 >> https://www.flybook.kr/book/139329 양을 의심하는 고객부터 어린이 고객까지 모든 클레임에 현명하게 대처하는 꿀팁들 음식점 클레임 대응 꿀팁 자세히 보기 >> https://www.flybook.kr/book/139330 빌려준 돈 되찾는 방법부터 이혼, 상속 문제까지 일반인을 위한 사례중심의 생활법률 상식책 생활법률 상식사전 자세히 보기 >> https://www.flybook.kr/book/121389 신혼부부와 청춘들이 바로 적용 가능한 금융지식 최소 3년은 끼고 봐야 할 재테크 교과서 알아두면 정말 돈 되는 신혼부부 금융꿀팁 57 자세히 보기 >> https://www.flybook.kr/book/109558 내가 알고 있는 상식이 과연 진짜일까? 99%가 모르는 상식의 놀라운 반전들 알아두면 쓸데 있는 유쾌한 상식사전 1 자세히 보기 >> https://www.flybook.kr/book/118967 책 증정 받으러 가기 >> https://goo.gl/HpqS2W
넷플릭스에서 제공될 지브리 애니메이션, 전체 리스트 확인하기
2월 1일부터 서비스된다 넷플릭스가 스튜디오 지브리(Studio Ghibli)와 독점으로 파트너십을 맺고 콘텐츠를 공급한다. 이로써 전 세계 지브리 팬들에게 미야자키 하야오(Hayao Miyazaki)의 명작을 선보일 예정. 총 28개 자막과 20개 언어 더빙을 통해 제공될 영화는 <천공의 성 라퓨타>, <이웃집 토토로>, <마녀배달부 키키>, <센과 치히로의 행방물명> 등 총 21개로 오는 2월부터 4월까지 순차적으로 업로드 된다. HBO MAX가 지브리 애니메이션의 스트리밍 권한을 체결한 미국과 캐나다, 일본을 제외한 다른 국가에서만 서비스될 작품. 이번 결정에 대해 지브리의 스즈키 도시오는 '지금 시대에는 영화가 관객에게 다가갈 수 있는 다양한 방법이 있어, 우리의 작품들을 스트리밍하기로 결정했다'라고 밝혔다. 앞서 아래에서 향후 공개될 일정을 체크해보자. 2월 1일 <천공의 성 라퓨타>, <이웃집 토토로>, <마녀 배달부 키키>, <추억은 방울방울>, <붉은 돼지>, <바다가 들린다>, <게도 전기> 3월 1일 <바람계곡의 나우시카>, <원령공주>, <이웃집 야마다군>, <센과 치히로의 행방불명>, <고양이의 보은>, <마루 밑 아리에티>, <카구야 공주 이야기> 4월 1일 <폼포코 너구리 대작전>, <귀를 기울이면>, <하울의 움직이는 성>, <벼랑위의 포뇨>, <코쿠리코 언덕에서>, <바람이 분다>, <추억의 마니> 더 자세한 내용은 <아이즈매거진> 링크에서
#DID 의 #ID 는 어떻게 생겼을까요?
#DID 의 #ID 는 어케 생겼을까요? 아래 그림에서 3k9d,,,,,라고 나오는 부분이 ID라고 할 수 있는데 이건 사용자가 만들고 기억하는 일반 ID가 아닙니다. 기억할 수 없을 뿐더러 입력하는 UI가 있지도 않습니다. 기억할 필요가 없으니 좋을것 같지만,,,과연 그럴까요? DID는 근본적으로 PKI기술에 의존합니다. 즉 공인인증서를 연상하면 대충 이해가 될 텐데요 공인인증서의 아이디를 기억하시나요? 아니 공인인증서는 아이디를 생각하지 않고 사용했던 것입니다. 공인인증서에는 공개키와 전자서명을 만드는 개인키가 있습니다. 그러나 공개키, 개인키가 아이디와 같은 것은 또 아닙니다. DID도 공개키, 개인키를 사용하지만 역시나 이것이 아이디는 아닙니다. 그럼 저 이상한 문자열 3k9d,,,는 우찌해야하나요? 그냥 월렛이 알아서 해줍니다. 몰라도 된다는 것입니다. 그럼 어떻게 관리를하냐구요? 월렛을 열면 공인인증서 사용할 때처럼 비슷한 화면에서 시키는 대로 하면 됩니다. 그럼 만약 월렛이 삭제되면? 디바이스를 분실하거나 변경하면? 이때 공인인증서는 재발급 받아서 사용하면 됩니다. 그럼 DID는 재발급 받으면 어떻게 될까요? 이전 꺼와는 아무관계 없이 깡통DID가 됩니다. 3k9d,,,라고 되어 있던 이전의 나의 DID를 사용할 수 있는 개인 키 공개 키도 모두 사라졌기 때문에 연결할 수가 없기 때문입니다. 아니 내 DID가 3k9d,,,인지조차 생각해본적도 없지요 3k9d,,,가 나의 DID라고 증명할 방법이 없어집니다. 이렇게 되면 매우 곤란하겠지요? 이전과 같은 공개 키와 개인 키는 생성이 불가능합니다. 왜냐하면 이를 생성할 수 있는 로직이 존재하게되면 그 자체가 치명적인 해킹 포인트가 되기 때문입니다. 딱 하나 방법이 있습니다. 암호화폐 월렛 만들 때 보신 니모닉이라는 것입니다. 다시말해 최소 12개의 단어를 어딘가에 잘 적어서 보관해 두었다가 비상사태에 찾아서 12개 단어를 입력하면 같은 키를 만들어 복구할 수 있습니다. 그러나 일반인들이 정말 이런 수고와 어려움을 극복할 수 있을까요? 불가능하다고 봅니다. 지금의 공인인증서도 퇴출하라고 난리잖아요 어쨌거나 니모닉 없이 백업과 복구기능이 필수적으로 필요합니다. 이 문제를 해결하려면 DID의 발급 및 운영을 이전의 공인인증서 처럼하는 수 밖에 없습니다. 그래서 프라이빗 체인으로 DID를 만들고 있는 것이지요,,, 그나마도 이를 안전하고 편리하게 하려면 인증기술이 뒷 받침 되어야합니다. #DID
내 몸은 공인인증서
몸에 입력된 생체 정보를 도입 중인 분야는 금융권 보안과 편의, 어느 것도 놓칠 수 없어 은행은 당신의 손바닥을 원한다 털 길이는 1cm정도 였을까? 가수 박유천이 자신의 인생까지 걸며 부정했던 마약 투약 혐의는 그 한 다리털로 들통났다. 박 씨는 정밀 검사를 앞두고 다수 염색을 했고 전신 왁싱으로 털을 모두 제거했다. 하지만 양성 반응을 피하지 못했다. 우리 신체는 그 자체로 데이터 저장소이자, ‘내’가 ‘나’임을 알려주는 마지막 보루임을 보여준 극명한 사건이다. 나를 증명하는 최종 수단은 나의 몸 몸에 입력된 생체 정보를 가장 적극적으로 도입 중인 분야는 금융권이다. 지난 2015년 5월 정부가 비대면 실명확인 방식을 허용한 이래, 금융권은 공인인증서·OTP·보안카드 등으로 인증 방식을 변화시켜왔다. 보안과 편의의 사이에서 딜레마 사이에서 발전해오다가 생체 정보까지 온 것. 생체 정보는 별도 보관 혹은 분실 우려가 없고, 도용할 수 없다는 점에서 개인정보 중심의 금융 인증 체계에 가장 확실한 대안이라 볼 수 있다. 본인거부율과 타인수락률을 낮추는 게 핵심 관건은 생체 정보를 인식하는 기술력. 지금 금융권은 ‘손바닥 정맥’으로 사람을 인식하는 수준까지 이르렀다. 손바닥 정맥 인증(vascular technology)은 말 그대로, 손바닥의 혈관에서 심장 방향으로 흐르는 정맥을 통해 신원을 확인하는 것을 말한다. 특히 손바닥 정맥은 복잡하고 특이한 패턴을 가져 본인거부율(False Rejection Rate, FRR)과 타인수락률(False Acceptance Rate, FAR)이 낮다. 본인 거부율이 높으면 본인을 타인으로 오해하고, 타인수락율이 높으면 금융 사고가 초래되기 때문에 두 수치는 생체 식별 기술력 판단의 핵심이다. 또 손바닥 인증은 생체 인증의 4가지 조건인 보편성, 유일성, 불변성, 편의성 등의 기본요건을 가장 만족한다는 점에 주목받는다. 타 생체 정보를 살펴보면 ‘지문'은 피부 훼손 시 인증이 어렵고, ‘홍채'는 인식 센서의 소형화와 고가 장비인 탓에 보편화되기 어렵다. 스마트폰 카메라 기술 발전으로 페이스 아이디 등 ‘얼굴’ 또한 생체 인증 수단으로 떠오르고 있지만, 주변 조명 등 외부 환경을 영향을 받고 노화나 미용을 얼굴 특징이 변화될 수 있어 불변성이 떨어진다. 이 때문에 금융권은 차세대 인증 수단으로 손바닥 정맥을 앞다퉈 도입 중이다. 지난 14일 KB국민은행은 손바닥 정맥 인증을 활용, 별도의 통장이나 도장, 비밀번호 없이도 예금을 지급하는 '손으로 출금 서비스'를 출시했다. 기존 신용 정보에 추가하면 되기 때문에 인증 등록도 쉽고, 인식 과정도 인식기에 손바닥을 대기만 해도 인증이 되기 때문에 거래 시간도 단축된다. 현재 KB국민은행 외에도 신한은행, 우리은행, 케이뱅크, 대구은행, 수협은행, IBK 기업은행 등이 손바닥 정맥 인증 기술을 도입하고 있다. 향후 손바닥 정맥 인증 기술은 ATM과 결합해 보편화될 전망이다. 보안과 편의, 어느 것도 놓칠 수 없어 게다가 금융 당국도 적극적으로 손바닥 정맥 인증을 지원하는 모양새다. 생체 인증의 경우, 금융기관과 당국 간 생체 정보 교환이 핵심이기 때문에 금융 당국의 의지가 필수적이다. 금융 소비자가 자신의 손바닥 정맥 정보를 등록하면 절반은 금융결제원이, 다른 절반은 금융기관이 보유해 인증을 신뢰한다.
코딩과 아두이노의 찰떡궁합 Ep-27
안녕하세요?^^ 에듀아이 입니다^^ 오랜만에 다시 뵙게되네요...바쁜일로인해 한동안 뜸했네요^^;; 오늘은 아두이노와 블루투스 모듈을 연결해 스마트폰과 통신하는 방법을 알아보도록 하겠니다. 아두이노 보드와 블루투스를 지원하는 모듈만 있으면 스마트폰과 연결해 통신하는 기능을 구현할 수 있으며, 더 나아가 블루투스로 제어하는 전등, 블루투스 RC카 등을 만들 수 있습니다. 아두이노에 연결하는 블루투스 모듈은 여러가지가 있지만 대표적으로 아래의 모듈이 많이 사용됩니다. 블루투스는 2.0 버전을 지원하는 모듈과 블루투스 4.0을 지원하는 버전으로 구분됩니다. 블루투스 2.0과 4.0의 가장 큰 차이는 통신 거리와 전력 소모량에 있습니다. 블루투스 2.0 버전은 상대적으로 전송 거리가 짧고 전력 소모량이 많습니다. 이에 반해 블루투스 4.0은 전송거리가 더 길고 전력 소모량도 적은 편입니다. 블루투스 4.0 모듈은 블루투스 2.0 모듈에 비해 가격이 조금더 비싸기 때문에 아두이노 프로젝트에서는 대부분 HC-06을 많이 사용합니다. 하지만 HC-06은 아이폰을 지원하지 않아 아이폰을 사용하시는 분들은 AT-09나 HM-10을 이용하셔야 합니다. 이제 프로젝트에 필요한 부품을 알아보겠습니다. 아두이노 우노(Uno) 보드가 필요하구요~ 블루투스 통신에 사용할 모듈은 가장 많이 사용하고 저렴한 HC-06을 이용하겠습니다. 아두이노 보드와 블루투스 모듈(HC-06)은 아래와 같이 연결해주시면 됩니다. 연결이 완료되면 아두이노 IDE를 실행해 아래 코드를 입력합니다.  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ #include <SoftwareSerial.h> SoftwareSerial BTSerial(2, 3); void setup() { Serial.begin(9600); Serial.println("Hello!"); BTSerial.begin(9600); void loop() { if (BTSerial.available()) { Serial.write(BTSerial.read()); } if (Serial.available()) { BTSerial.write(Serial.read()); }  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 위 코드에 대해 설명드리겠습니다. #include <SoftwareSerial.h> SoftwareSerial.h 파일을 로드하는 명령입니다. 소프트웨어 시리얼을 사용하는 경우에 이 파일을 로드해야 합니다. 소프트웨어 시리얼은 디지털 0, 1번이 아닌 다른 핀에 블루투스 모듈을 연결하는 것을 말합니다. 디지털 0, 1번에 연결하면 하드웨어 시리얼로 통신을 하게되는데 문제는 컴퓨터에 연결된 상태에서는 USB 포트가 디지털 0, 1번을 통해 데이터를 주고 받기 때문에 사용할 수 없습니다. 그래서 아두이노에서는 2~13번 핀 중 원하는 핀에 연결하고 사용할 수 있도록 지원합니다. 이때는 SoftwareSerial.h 파일을 로드해야 합니다. SoftwareSerial BTSerial(2, 3); 소프트웨어 시리얼로 통신하기 위해 이름과 송신핀과 수신핀번호를 지정하는 명령입니다. Serial.begin(9600); BTSerial.begin(9600); 시리얼 모니터의 통신 속도와 블루투스 통신의 속도를 설정한 것입니다. 이 두가지의 속도는 같아야합니다. 다르면 정상적인 통신을 할 수 없게됩니다. if (BTSerial.available()) { Serial.write(BTSerial.read()); } 만약 블루투스로 아두이노에 전송된 데이터가 있다면 해당 데이터를 읽어 시리얼 모니터에 출력하는 명령입니다. 스마트폰에서 입력한 내용이 있다면 해당 내용을 아두이노의 시리얼 모니터에 나타내줍니다. if (Serial.available()) { BTSerial.write(Serial.read()); } 만약 시리얼 모니터의 입력이 있다면 해당 내용을 블루투스를 통해 전송하는 명령어입니다. 이정도로 코드 설명은 마무리하고 이제 코드를 업로드 합니다. 아두이노가 연결된 컴퓨터의 아두이노 IDE 프로그램 오른쪽 상단 [시리얼 모니터]를 클릭해 엽니다. 스마트폰에서 페어링을 진행해야 합니다. 스마트폰의 화면을 켠 후 [설정]에 들어가 [블루투스] 설정 화면으로 들어갑니다. 블루투스를 사용 모드로 스위치를 켜면 'HC-06'이라는 아두이노에 연결한 블루투스 모듈이 나타납니다. 해당 모듈을 터치합니다. 페어링을 위해 암호를 입력하는 화면이 나오면 '1234'를 입력합니다. 페어링이 완료되면 '등록된 디바이스' 항목에 'HC-06'이 나타납니다. 이제 스마트폰의 [Play 스토어]를 실행해 검색창에 [Arduino Bluetooth Controller]를 입력하고 검색합니다. 아래 그림과 같은 앱을 설치합니다. 앱 설치가 완료되면 앱을 실행합니다. 페어링된 기기 목록이 나타납니다. 'HC-06'을 터치합니다. 모드는 [Terminal Mode]를 터치합니다. 스마트폰과 아두이노에 연결된 블루투스 모듈이 정상적으로 연결이되면 HC-06 모듈의 붉은색 LED가 깜박임을 멈추고 계속 켜져있는 상태가 됩니다.(깜박거림=연결대기상태, 켜진상태=연결됨) 이제 스마트폰의 터미널 모드의 입력란에 아두이노에게 보낼 메시지를 입력합니다. 컴퓨터에 실행한 시리얼 모니터에 스마트폰에서 입력한 메시지가 나타납니다. 시리얼 모니터에서 입력한 내용도 스마트폰으로 보낼 수 있습니다. 시리얼 모니터 상단 입력란에 보내고싶은 메시지를 입력 후 [전송]을 클릭합니다. 스마트폰에 메시지가 전송된것을 확인할 수 있습니다. 이 방법을 조금만 응용하면 블루투스를 통해 LED를 켜고 끄거나 센서에서 측정된 값을 스마트폰으로 전송할 수 있게됩니다. 다음 시간에는 블루투스로 LED를 켜고 끄는 방법을 알아보겠습니다. 오늘은 여기까지 하도록 하겠습니다. 감사합니다. ▶상상을 현실로 만드는 아두이노(Arduino)      ■  박경진 지음 / 에듀아이 출판 ■   알라딘, Yes24, 교보문고, 영풍문고, 반디앤루니스, 인터파크에서 구입가능합니다.      ■  아두이노 초보자 책으로 추천합니다. [책에서 다루는 내용]     ■ 소프트웨어 코딩을 이해하고 아두이노에 업로드/테스트하는 방법          ■ 서서히 색상이 그라데이션 형태로 바뀌는 LED 무드등 만들기         ■ 리드 스위치 모듈로 창문이나 현관 문 열림 감지하기         ■ 토양 수분 센서로 화분의 수분 상태를 측정해 물 공급시기 체크하기         ■ 비접촉식 온도 센서로 비접촉 체온 측정기 만들기         ■ 이 세상 하나뿐인 우리집 미세 먼지 측정기 만들기         ■ 주변 밝기를 측정해 자동으로 켜지고 꺼지는 스마트 전등(가로등) 만들기        ■ 거리를 측정하는 초음파 센서를 이용해 자동차 후방 감지기 만들기         ■ 일정한 거리내의 사람을 인식해 자동으로 열리고 닫히는 스마트 휴지통 만들기         ■ 스마트폰 블루투스로 연결해 제어하는 RC 카 만들기         ■ 집밖에서 스마트폰으로 집안의 사물인터넷 기기 제어    [이 책의 대상 독자]     ■ 아두이노를 가장 쉽게 접근하고, 활용하고자 하는 독자        ■ 소프트웨어 교육 의무화로 소프트웨어 코딩을 배우고 싶은 학생         ■ 사물인터넷 제품을 만들어 스마트 홈을 구현하고 싶은 독자         ■ 어렸을 때 생각했거나 상상했던 제품을 직접 만들어보고 싶은 독자         ■ 소프트웨어와 하드웨어의 상관 관계를 이해하고 제어하고 싶은 독자         ■ 로봇, 드론 등의 제품 구현을 위한 기본 지식을 습득하고자 하는 독자    아두이노 초보자분들이 가장 쉽게 배울수 있는 책입니다. 추천합니다^^!! 끝까지 읽어주셔서 고맙습니다^^ 다음 에피소드에서 또 뵙겠습니다^^ #코딩추천책 #코딩책추천 #아두이노책 #아두이노강좌 #아두이노책추천 #아두이노추천도서 #코딩책 #사물인터넷 #사물인터넷책추천 #블루투스 #bluetooth #블루투스통신하기
공인인증서 대체 기술 블록체인도
공인인증서 완전퇴출 불가능 블록체인에는 서명(인증) 기능 부재...추후 기능 추가로 가능성 존재 그동안 국민들의 인터넷 이용시 불편·불만 사항으로 꾸준히 제기됐던 공인인증서를 블록체인 기술과 결합해 완전 대체한다는 계획이 금융권과 정부 관련 부처를 중심으로 발표되고 있다. 이같은 조치에도 불구하고 더이상 공인인증서를 사용하지 않아도 될 것이라는 국민들의 기대와 달리, 블록체인을 이용한 공인인증서 완전 대체는 불가능할 것으로 전망됐다. 다만 금융권에서는 블록체인과 공인인증서의 결합으로 완전 대체까지는 불가능하더라도 사용자 편의성이 향상돼 기존의 공인인증서로 인한 불만과 불편이 줄어들길 기대하는 눈치다. 기존 공인인증서는 1년에 한번씩 사용 유무와 별개로 갱신하는 과정이 필요하고, 금융사 별로 별도의 인증서를 받거나, 매번 재등록 해야하는 탓에 국민들의 불만이 끊이질 않았다. 문재인 대통령이 대선 공약으로 액티브X와 공인인증서 퇴출을 약속한 만큼 이번엔 공인인증서가 사라질 수 있을지 관심을 끄는 가운데, 과학기술정보통신부(장관 유영민)와 은행연합회, 금융위원회 등 관련 부처들이 4차산업혁명의 핵심 기술로 떠오른 블록체인 기술을 통해 공인인증서의 불편을 해소할 수 있는 방안을 마련 중이다. 블록체인, 공인인증서 대체 기술로 부상 비트코인, 이더리움 등 가상화폐의 기반 기술인 블록체인은 거래 참여자 모두와 거래 내역을 공유하는 분산원장(distributed ledger) 특징을 가진 만큼 이 부분을 공인인증서와 결합하는 방식으로 이뤄질 것으로 보인다. 다만, 최근 떠도는 루머 중 하나인 블록체인이 공인인증서를 완전 대체한다는 것은 실질적으로 불가능한 만큼 과학기술정보통신부와 은행연합회 측은 불편함을 줄여 보다 편리한 이용이 가능하도록 하는 쪽으로 갈피를 잡은 상태다. 은행연합회에서 블록체인과 공인인증서를 담당하는 임영빈 IT부 부부장은 현재 나오고 있는 블록체인이 공인인증서를 완전히 대체한다는 것은 은행연합회 발표를 확대해석 한 것으로 보인다. 은행쪽에서 공인인증서를 폐지하고 블록체인으로 대체할 계획은 없는 상태다. 은행연합회의 설명에 따르면 애초에 공인인증서를 블록체인으로 대체한다는 소리는 현재로써는 불가능한 것으로 블록체인 기술을 공인인증서와 결합해 이용자의 편의성 증대 등 불편함 해소에 방점이 찍혀있다. 이는 한국인터넷진흥원이나 블록체인 업계, 은행연합회, 인증 관련 업체들의 공통된 의견으로 결론적으로 PKI 기반의 공인인증서를 서명 기능이 없는 블록체인으로 대체한다는 것은 어불성설이라는 주장이다. 다만, 블록체인을 공인인증서와 결합한다면 그전에 문제로 지목됐던 불편함은 다수 개선할 수 있다는 의견이다. 은행연합회에서 현재 진행 중인 블록체인사업의 경우 공인인증서를 블록체인으로 대체하고자 하는 것이 아니라, 기존 각 금융사 별로 발급했던 공인인증서의 불편함을 개선하고자 블록체인의 분산원장 기술을 활용한 공인인증서 시스템 구축을 하는 것이 주요 골자다. 임영빈 부부장은 블록체인을 활용해 기존의 공인인증서는 인증센터에서 발급을 하게 되는데, 이 과정에서 고비용이 발생하는 구조며, 각 은행들이 블록체인 시스템을 구축하면서 어느 곳에서 발급 받더라도 동일하게 공인인증서를 사용할 수 있게 된다. 현재 공인인증서 발급 구조를 살펴보면 은행에서 사용하는 일반적인 공인인증서는 '금융결제원', 주식 거래를 위한 인증서는 '코스콤'에서 발급하게 된다. 예컨대 A은행 ㄱ고객의 A은행에서 공인인증서를 발급 받았다고 하더라도 실제로는 금융결제원에서 발급 해주는 것을 A은행에서 전달해 주는 형태다. 또한 고객이 B은행에서 공인인증서를 발급한다고 하면 이 역시 금융결제원에서 접수를 받아 발급하게 된다. 곧 기존 공인인증서는 어느 은행에서 공인인증서 발급 신청을 했더라도 금융결제원을 통해서 발급했던 구조인데, 이 발급 정보가 금융사별로 공유가 이뤄지지 않았기 때문에 금융사별로 별도의 공인인증서를 발급 받는 비효율성과 불편이 발생했던 이유다. 블록체인의 분산원장을 활용하면 금융결제원을 거치지 않고, 고객의 공인인증서 발급 기록을 금융사들이 공유하게 돼 중복 발급을 피할 수 있다는 설명이다. 임영빈 부부장은 공인인증서의 기반 기술인 PKI가 현존하는 암호체계 중 가장 보안성이 높은 체계로 블록체인 기술이 아무리 도입된다 하더라도 완전 대체는 불가능하며, 다만, 은행연합회는 고객들이 공인인증서를 문제없이 편리하게 사용할 수 있도록 계속 노력할 계획이다. 그렇다면 은행연합회의 설명처럼 블록체인을 통한 공인인증서 대체는 불가능한 것이며, 절차의 간소화로 불편함을 최소화 하는 것이 최선일까? 블록체인으로 공인인증서 완전 대체 불가능...사용자 편의성 확보는 가능 한국인터넷진흥원(KISA)의 설명에 따르면 공인인증서는 국제표준방식인 PKI로 이뤄진 전자서명 기술로 전자서명 용도로 사용하기 위해서는 현재 공인인증서가 유일한 상태다. 특히 공인인증서는 개인키와 공개키를 사용하는 비대칭형 암호화 방식으로 전자서명이 본래 목적이며, 금융권에서 사용하는 본인확인 수단은 부차적인 기능 중 하나다. 때문에 전자금융감독규정에서 공인인증서 의무 규정이 빠진 것은 본인확인 수단으로 더이상 공인인증서를 사용하지 않다는 것을 의미하며, 여전히 전자서명법을 통해 전자문서의 서명을 위해서는 공인인증서 사용을 명시하고 있는만큼 공인인증서 사용은 어쩔 수 없다는 입장이다. KISA 관계자는 블록체인은 거래 내역을 분산해서 저장하고, 분산된 정보를 바탕으로 개별 확인을 해야하는 것으로 블록체인으로 공인인증서를 완전 대체는 힘들어 보인다. 공인인증서가 현재 액티브X를 기반으로 이용되는 점을 봤을때 블록체인 기술과의 결합으로 사용 환경이 달라질 수 있다. 이같은 점을 봤을때 기존 공인인증서를 블록체인으로 완전히 대체한다고 말을 하기에는 아직 한계성이 있다. 이와 반대로 블록체인으로 공인인증서 대체한다는 것 자체가 마케팅 용어라는 의견도 나왔다. 최용관 블록체인OS 부사장은 현재 이야기 되고 있는 블록체인으로 공인인증서를 대체한다는 말은 각 금융사별로 공인인증서를 발급했던 과정을 하나의 중앙 서버를 두고 공인인증서를 발급하겠다는 것으로 결국 P2P 기술일뿐 진정한 블록체인 기술이 아니다. 블록체인 기술을 공인인증서와 결합 등을 이야기 하기 전에 해외의 사례처럼 전자서명 기능이 필요없는금융권 이용에 있어서는 공인인증서를 그냥 사용하지 않으면 된다. 해외 금융 사례를 살펴보면 보안 사고 책임을 사용자가 아닌 금융사가 지도록 된 까닭에 공인인증서와 같은 사용자 책임 보안 수단을 요구하지 않고, 금융사가 스스로 다양한 보안 시스템을 구축·운영하고 있다. 권용석 써트온 최고기술책임자(CTO)는 블록체인으로 공인인증서를 대신한다거나 블록체인으로 인증 기술을 개발했다는 것은 애초에 말이 안되는 마케팅 용어며, 공인인증서를 블록체인 노드에 올려서 사용하는 것이 정확한 표현이다. 예컨대 현재는 A은행에서 공인인증서를 발급 신청한다면 금융결제원에서 공인인증서를 발급해주지만 이 정보는 A은행의 데이터베이스(DB)에만 저장되고, B은행에서 공인인증서를 발급 신청하면 A은행의 DB와 연동이 되지 않는 관계로 동일한 과정을 거쳐야 한다. 그렇게 때문에 사용자는 공인인증서를 매번 개별 금융사 별로 발급받고, 등록하고, 갱신하는 불편함을 겪었던 것이다. 블록체인에는 인증 수단은 없지만 분산원장 기술이 있는 만큼 공인인증서를 블록체인의 노드에 올려서 공유한다면 은행별로 공인인증서를 발급하고 등록하는 절차가 필요 없어진다는 설명이다. 그렇다면 블록체인 노드에 공인인증서를 올려서 공유할 경우 개인정보 유출에 따른 문제는 없을까? 블록체인에 공인인증서 결합되더라도 보안 '이상 無' 결론적으로 현재의 공인인증서 구조를 살펴보면 공인인증서 공유에 따른 개인정보 유출 문제는 발생하지 않을 것으로 보인다. 공인인증서는 PKI를 기반으로 만들어진 것으로 구조적으로 공개키와 개인키로 나눠져 있다. 이 중 우리가 발급 받아서 PC나 스마트폰에 저장하는 것은 개인키를 의미한다. 공개키는 애초에 금융결제원을 통해 신청한 금융사 서버에 저장돼 있다. 결국 블록체인에 공인인증서가 결합된다고 하더라 도 블록체인 노드에 올라가는 것은 공개키가 대상으로 개인키가 유촐되지 않는한 보안 문제 발생하지 않는다. 권용석 CTO는 공인인증서는 공개키와 개인키가 분리된 상태로 존재하지만, 사설 인증서 중에는 편의성을 해결하고자 공개키와 개인키가 결합된 것도 존재한다. 인증서 유출로 피해를 본 경우는 대부분 사설 인증서 중 공개키와 개인키가 결합된 형태"라고 설명했다. 현재 이야기가 나오는 블록체인과 공인인증서 결합은 블록체인에 공인인증서의 공개키만을 올리는 형태가 될 것이며, 개인키가 없을 경우 공개키는 의미 있는 정보가 될 수 없는 만큼 이걸로 인한 보안 문제는 발생하지 않을 것이다.