공인인증서의 ‘보안 수준’?

2011년 12월에 미국 국립표준기술연구소(NIST)는 '전자적 본인확인기술 가이드라인'을 업데이트하여 출간했습니다: Electronic Authentication Guideline (SP800-63-1). 이 문서 51-52면을 보면, 공인인증서처럼 파일 형태로 저장되고 소트프웨어를 통하여 이용하는 인증서(MF Software Cryptographic Token)는 3등급에 불과하고, 잠금장치 있는 OTP생성기(MF OTP Device)는 그보다 우월한 4등급에 해당하는 인증기술이라고 평가하고 있습니다 (등급이 높을수록 보안 수준도 높습니다).

2011년 보고서 51-52면에 제시된 내용을 요약하자면(SF=Single-Factor, MF=Multi-Factor 를 뜻함),

  • SF One-Time Password Device (암호입력 필요없이 단추만 누르면 일회용 비밀번호6자리가 표시되는, 잠금장치 없는 OTP생성기) - Level 2
  • SF Cryptographic Device (암호입력 필요없이 스마트카드 리더기 등에 삽입하기만 하면 되는 장치) - Level 2
  • MF Software Cryptographic Token (소프트웨어를 통하여 사용되는 인증서로서, 인증서 사용시 암호입력이 요구되는 것: USB에 저장하건, PC, 스마트폰에 저장하건 공인인증서는 거의 대부분 여기에 해당) - Level 3
  • MF OTP Hardware Token (암호입력이 필요한, 잠금장치가 있는 OTP 생성기) - Level 4
  • MF Hardware Cryptographic Token (프로세서가 내장된 별도의 하드웨어. 별도 소트프웨어도 설치해야 하고 스마트폰 등에서는 사용 불가. USB 저장장치처럼 생겼지만, USB가 아닙니다, 혼동하지 마세요! 국내 보급율 0.7%미만. 스마트폰에 사용 불가하므로 보급율 늘어날 가능성 없음.) - Level 4

2011년 NIST 문서는 여기서 내려받으실 수 있습니다. http://www.nist.gov/manuscript-publication-search.cfm?pub_id=910006

이상 내용을 정리하여, 표로 만들어보았습니다.
1-NIST2011-summary

관련 글:

https://opennet.or.kr/2740 [보도자료] 이종걸, 최재천 의원 전자금융거래법, 전자서명법 개정법률안 발의

https://opennet.or.kr/1789 공인인증서 FAQ

https://opennet.or.kr/2864 공인인증서 진실게임

https://opennet.or.kr/2908 캘리포니아 주 전자서명 규정

Print Friendly, PDF & Email