공인인증서를 사용하는 사이트에만 부여되는 마크이다.
(4) 인증서란
: 공개키에 대한 인증기관의 전자서명을 포함한 변조를 불가능하게 한 개체의 데이터이다.
(5) 공인인증과 사설인증의 차이점
공인인증기관으로 지정된 기관에서 발급되는 인증서는 사설인증의 인증서와 다르다.
공인인증기관에서 발급받은 인증서는 대한민국의 전자서명법에 의거하여 완벽한 법적인 효력을 가짐으로 모든 전자거래상에서의 실질적인 거래를 완벽하게 증명해줄 수 있기 때문이다. 하지만 사실상의 공인인증과 사설인증의 차이는 크게 차이가 없다고 볼 수 있다. 사용자가 인증서의 관리를 소홀히 한 책임은 사용자 본인에게 있다. 인증서는 PC나 다른 저장매체(디스켓, 스마트가드, USB키 등)에 저장해 두었다가 이를 사용하기 위해서는 비밀번호를 알아야 한다. 이 모두를 제3자가 습득하여 인증서를 도용한 경우 사용자 본인의 책임이 되므로, 각별한 주의가 요구된다. 사설기관인증서에서는 이와 같은 경우 인증기관에 비해 사용자의 책임이 다소 작을 수 있으나, 공인인증기관에서는 피해발생의 경우는 거의 없다고 볼 수 있으므로 피해가 발생하였다 하더라고 사용자의 부주의로 처리하는 경우가 많다. 하지만 만약 공인인증기관에서 피해가 발생하였다면 사설인증의 피해의 경우보다 많은 보상을 받는 것은 당연하다
3. 인증 보안의 취약성
(1) 국내 공인 인증의 보안 취약성
1) 보안요소
◆전자 서명 개인키: 전자서명을 위해 사용되는 개인키
◆전자서명 비밀번호: 전자서명 개인키 보호를 위하여 암호화시켜 저장해야 할 경우에 사용되는 비밀번호
◆저장매체: 전자서명 개인키 저장을 위해 사용되는 매체
(보안매체: 인증절차 없이 저장매체 내의 정보에 접근할 수 없도록 보호체계를 갖춘 매체)
◆PIN: 보안매체의 인증을 위해 사용되는 비밀번호
2) 전자서명은 개인키의 소유자에 의해 서명되는가?
: 전자서명 자체가 아닌 행위의 정당성에 대한 물음이다.
◆ 이것이 일치하지 않은 경우, 전자서명은 그 의미를 상실하게 된다.
3) 보안 취약성
: 전자서명 개인키가 얼마나 안전하게 관리되고 사용될 수 있는지에 대한 문제이다.
◆전자서명 개인키를 타인에게 양도
: 개인키 암호화에 이용된 전자서명 비밀번호도 노출된다.
전자서명 개인키 소유자와 전자서명 행위자가 일치하지 않는다.
양도받은 사람의 전자서명 개인키 행사에 대한 관리가 불가하다.
◆전자서명 개인키의 도난/누출
: 전자서명 비밀번호 또는 보안매체의 경우 PIN 누출 가능성이 있다.
4)보안 취약성의 원인
◆전자서명 개인키를 보호하기 위해 사용되는 정보가 문자를 기반으로 한다.
: 보안강도가 개인별로 차이가 크다(기억력, 조합방식에 근거).
Dictionary Attack에 취약할 수 있다.
- 조합가능한 경우의 수가 제한되어 있다.
- 입력의 번거로움을 피하기 위해 최대한 짧게 설정한다.
키보드 입력방식에 의한 원인
- 해킹에 의한 타인의 정보획득 가능성
- 타인의 의도하지 않은 정보획득 가능성
<출 처>
www.signkorea.com
www.rootca.or.kr