Ȩ > Ç¥ÁØÈ Âü¿© > TTA°£Ç๰ > ICT Standard Weekly
[Á¤º¸º¸È£] ITU-T ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝ °¡À̵å¶óÀΠǥÁØÈ ½ÃÀÛ
ITU-T SG17 WP2 ¿¬±¸°úÁ¦ 9¿¡¼´Â ¸ð¹ÙÀÏ º¸¾È, Ȩ³×Æ®¿öÅ© º¸¾È, ¾ÈÀüÇÑ ÀÀ¿ë ¼ºñ½º, ±×¸®°í À¥ ¼ºñ½º º¸¾È¿¡ ´ëÇÑ Ç¥ÁØÀ» ÃßÁøÇÏ°í ÀÖ°í, ¿¬±¸°úÁ¦ 5¿¡¼´Â º¸¾È ±¸Á¶ ¹× ÇÁ·¹ÀÓ¿öÅ©¿¡ ´ëÇÑ Ç¥ÁØÀ» ¼öÇàÇÏ°í ÀÖ´Ù. ¾ÈÀüÇÑ Æнº¿öµå ÇÁ·ÎÅäÄÝ¿¡ ´ëÇÑ Ç¥ÁØÈ´Â µÎ °¡Áö ÇüÅ·ΠITU-T SG17¿¡¼ ÃßÁøµÇ°í ÀÖ´Ù. Çϳª´Â ITU-T SG17 ¿¬±¸°úÁ¦ 9¿¡¼ ÃßÁøµÇ°í ÀÖ´Â ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝ(SPAK: Secure Password-based Authentication Protocol with Key exchange) °¡À̵å¶óÀÎÀÌ°í, ´Ù¸¥ Çϳª´Â ¿¬±¸°úÁ¦ 5¿¡¼ ÃßÁøÇÏ°í ÀÖ´Â SPAK ÇÁ·ÎÅäÄÝ ÁßÀÇ ÇϳªÀÎ PAK(Password-Authenticated Key Exchange)¿¡ ´ëÇÑ Ç¥ÁØÈÀÌ´Ù. ÀüÀÚÀÇ °æ¿ì, 2005³â 10¿ù Á¦³×¹Ù ȸÀÇ¿¡¼ Á¦¾ÈµÈ ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝ °¡À̵å¶óÀο¡ ´ëÇÑ ±â°í¼°¡ Çѱ¹¿¡¼ Á¦¾ÈµÇ¾î ±Ç°í¾È È帷ΠäÅõǾú°í, À̹ø 1¿ù Á¦³×¹Ù ȸÀÇ¿¡¼ ÀÌ¿¡ ´ëÇÑ ÁøÀüµÈ ±â°í¼°¡ ´Ù½Ã ¹ßÇ¥µÇ¾î Ç¥ÁØÈ ÀÛ¾÷À» ¼öÇàÇÏ°í ÀÖ´Ù. ¶ÇÇÑ ÈÄÀÚÀÇ °æ¿ì, ¿¬±¸°úÁ¦ 5¿¡¼ ¹Ì±¹ ·ç½¼Æ®¿¡¼ PAK¿¡ ´ëÇÑ ±â°í¼°¡ ¿ÃÇØ 1¿ù SG17 WP2 ÀÎÅ͸² ȸÀÇ¿¡ Á¦ÃâµÇ¾î Ç¥ÁØÈ Ç׸ñÀ¸·Î äÅõǾú°í, ÇâÈÄ ÀÌ¿¡ ´ëÇÑ Ç¥ÁØȸ¦ ÁøÇàÇÒ ¿¹Á¤ÀÌ´Ù.
Ç¥ÁØ ±â¼úÀÇ Á¤ÀÇ, ³»¿ë °³¿ä
ÀÎÁõÀº ÀϹÝÀûÀ¸·Î °¡Áö°í ÀÖ´Â °Í(ÅäÅ« µî), ¾Ë°í ÀÖ´Â »ç½Ç(Æнº¿öµå µî), ±× »ç¹°À̳ª »ç¶÷ÀÌ °¡Áö°í Àִ Ư¼ºÀ» ÀÌ¿ë ÇÏ´Â ¹æ½Ä(¹ÙÀÌ¿À ÀÎ½Ä µî)À» ÀÌ¿ëÇÏ¿© »ç¶÷À̳ª »ç¹°À» ½Äº°ÇÑ´Ù. ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀº ÀϹÝÀûÀ¸·Î ¾Ë°í ÀÖ´Â »ç½ÇÀ» ±â¹ÝÀ¸·Î Çϸç, »ç¶÷ÀÌ ±â¾ïÇÒ ¼ö ÀÖ´Â Æнº¿öµå¸¦ ÀÌ¿ëÇÑ´Ù. ÀϹÝÀûÀ¸·Î Æò¹®ÀÇ ¾ÆÀ̵ð¿Í Æнº¿öµå¸¦ ÀÌ¿ëÇÏ´Â ÀÎÁõ¹æ½ÄÀº Åë½Å·ÎÀÇ Áß°£¿¡ ÀÖ´Â °ø°ÝÀÚ°¡ Æнº¿öµå¸¦ ȹµæÇÏ°í, ȹµæµÈ Æнº¿öµå¸¦ ÀÌ¿ëÇÏ¿© ÃßÈÄ¿¡ ±× »ç¿ëÀÚ¸¦ °¡ÀåÇÒ ¼ö ÀÖ´Â Áß°£ÀÚ °ø°Ý¿¡ Ãë¾àÇÑ ´ÜÁ¡ÀÌ ÀÖ´Ù. ±×·¯³ª ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀº Áß°£ÀÚ °ø°ÝÀ¸·ÎºÎÅÍ ¾ÈÀüÇÏ°í, »ç¶÷ÀÌ ±â¾ïÇϱ⠽¬¿î Æнº¿öµå¸¦ ÀÌ¿ëÇϸç, ½±°Ô ±¸Çö°¡´ÉÇÏ°í, »ç¿ëÀÌ ¿ëÀÌÇÑ Æ¯Â¡ÀÌ ÀÖ´Ù. ¶ÇÇÑ ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀº ´ëÇ¥ÀûÀÎ Å° °øÀ¯ ÇÁ·ÎÅäÄÝÀÎ DH(Diffie-Hellman) ÇÁ·ÎÅäÄÝÀ» ÀÌ¿ëÇϸç, ÇÁ·ÎÅäÄÝÀÇ ¼öÇà °á°ú·Î, Åë½Å »ó´ë¿¡ ´ëÇÑ »óÈ£ ÀÎÁõÀÌ °¡´ÉÇÏ°í µ¿½Ã¿¡ ÃßÈÄ ¼¼¼Ç¿¡¼ »ç¿ëµÉ °øÅëÀÇ ¼¼¼ÇÅ°°¡ °øÀ¯µÉ ¼ö ÀÖ´Ù´Â ÀåÁ¡ÀÌ ÀÖ´Ù. µû¶ó¼ ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀº Å°·Î¹Ö ¼ºñ½º, ÀÎÅÍ³Ý ¹ðÅ· ¼ºñ½º, ¸Á°ü¸® ¼ºñ½º µî¿¡¼ ÀÎÁõ ¹× Å°ºÐ¹è ¹æ½ÄÀ¸·Î È°¿ë µÉ ¼ö ÀÖÀ» °ÍÀ¸·Î ±â´ëµÈ´Ù.
¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀº Æò¹®ÀÇ Æнº¿öµå¸¦ Á÷Á¢ÀûÀ¸·Î ±³È¯ÇÏÁö ¾Ê°í »óÈ£ ÀÎÁõÀ» ¼öÇàÇÒ ¼ö ÀÖ¾î¼, °á°úÀûÀ¸·Î Áß°£ÀÚ °ø°ÝÀ» ¸·À» ¼ö ÀÖ°í, °ø°ÝÀÚ°¡ Æнº¿öµå¸¦ µ¥ÀÌÅͺ£À̽º¿¡ ¹Ì¸® ÀúÀåÇÏ¿© µÎ¾ú´Ù°¡ ºñ±³ÇÔÀ¸·Î½á »çÀü °ø°Ý(dictionary attack)À» ¸·À» ¼ö ÀÖ°í, ÇϳªÀÇ ¼¼¼Ç¿¡¼ ±³È¯µÈ Á¤º¸¸¦ ÈÄ¿¡ ´Ù¸¥ ¼¼¼Ç¿¡¼ Àç»ç¿ëÇÏ¿© »ó´ë¹æÀ¸·ÎºÎÅÍ °ø°ÝÀÚ°¡ ÀÎÁõ ¹ÞÀ» ¼ö ÀÖ°Ô µÇ´Â Àç»ý °ø°Ý¿¡ Ãë¾àÇÏÁö ¾ÊÀ¸¸ç, »óÈ£ ÀÎÁõÀ» ÀÌ¿ëÇÑ Å¬¶óÀ̾ðÆ®¿¡ ÀÇÇÑ ¼¹ö ÀÎÁõÀ» ¼öÇàÇÔÀ¸·Î½á ÇǽÌ(Phishing) °ø°ÝÀ» ¸·À» ¼ö ÀÖ¾î Ŭ¶óÀ̾ðÆ® Ãø¿¡ Æнº¿öµå¸¦ ÀúÀå ÇÒ ÇÊ¿ä°¡ ¾ø´Â ÀåÁ¡ÀÌ ÀÖ´Ù. ¶ÇÇÑ Å¬¶óÀ̾ðÆ®¿Í ¼¹ö Ãø¿¡ ³·Àº ºÎÇÏ·Î ±¸ÇöµÉ ¼ö ÀÖ¾î¼ °è»ê·®°ú ¸Þ¸ð¸®¿¡ Á¦ÇÑÀ» °®´Â À̵¿ Àüȱ⸦ Æ÷ÇÔÇÑ PDA, ±×¸®°í PC µî¿¡ È¿À²ÀûÀ¸·Î ¼³Ä¡µÉ ¼ö ÀÖÀ¸¸ç, ´õÇÏ¿© ¾ÏÈ£ ÅäÅ«À̳ª PKI °°Àº ¿ÜºÎ ÀÎÇÁ¶óÀÇ µµ¿òÀÌ ÇÊ¿ä°¡ ¾ø¾î¼ ±ÝÀ¶ º¸¾È°ú °í°´ ÀÀ¿ëÀ» À§ÇÏ¿© ¸Å¿ì È¿°úÀûÀ̶ó°í ÇÒ ¼ö ÀÖ´Ù.
¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀÇ µ¿ÀÛ ÀýÂ÷´Â <±×¸² 1>°ú °°´Ù. ¸ÕÀú »ç¿ëÀڴ Ŭ¶óÀ̾ðÆ® Ãø¿¡¼ Æнº¿öµå¸¦ ÀÔ·ÂÇÑ´Ù. ±×·± ÈÄ ¼¹ö¿Í Ŭ¶óÀ̾ðÆ®´Â Á¤ÇØÁø ±æÀÌÀÇ °ø°³ Á¤º¸¸¦ ¼·Î ¸î ¶ó¿îµå¿¡ °ÉÃļ ±³È¯ÇÑ´Ù. ¼Â°, ¼¹ö¿Í Ŭ¶óÀ̾ðÆ®´Â ¼·Î¸¦ »óÈ£ ÀÎÁõÇÑ´Ù. ³Ý°, ÀÎÁõ °úÁ¤ÀÇ ºÎ»ê¹°·Î ¼¹ö¿Í Ŭ¶óÀ̾ðÆ®´Â ÃßÈÄ ¼¼¼Ç¿¡¼ »ç¿ëµÉ ¼¼¼ÇÅ°¸¦ À¯µµÇÑ´Ù.
ÇöÀç±îÁö ¾Ë·ÁÁø ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀº ¾ÈÀüÇÑ ¿ø°Ý Æнº¿öµå ÇÁ·ÎÅäÄÝÀ» Æ÷ÇÔÇÏ¿© Å©°Ô 6°¡Áö Á¤µµ°¡ ´ëÇ¥ÀûÀ̸ç, À̵鿡 ´ëÇÑ Æ¯¼º ºÐ¼®°ú ƯÁ¤ ÀÀ¿ë¿¡ ÇÑÁ¤µÈ ¿ä±¸¸¦ ¸¸Á·ÇÏ´Â ¼±Åà ±âÁØÀÇ °³¹ßÀÌ ÇÊ¿äÇÑ ½ÃÁ¡ÀÌ´Ù. ¶ÇÇÑ ÇöÀç ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀº IEEE, ISO/IEC, ±×¸®°í IETF¿¡¼ Ç¥ÁØȸ¦ ÁøÇàÇÏ°í ÀÖ´Ù.
<±×¸² 1> ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝ µ¿ÀÛ °úÁ¤
¾ÈÀüÇÑ Æнº¿öµå ÇÁ·ÎÅäÄÝ °¡À̵å¶óÀÎÀÇ °æ¿ì, Ç¥ÁØÀÇ ¹üÀ§´Â ÀÏ¹Ý ¿ä±¸»çÇ×, ÇÁ·ÎÅäÄÝ ¿ä±¸»çÇ×, Ãë¾à¼º ºÐ¼®, ¼±Åà ±âÁØ, ±×¸®°í ¾ÈÀü¼º ºÐ¼® µîÀ¸·Î ±¸¼ºµÇ¾î ÀÖ´Ù. ÀϹÝÀûÀ¸·Î ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀÌ °¡Á®¾ß ÇÒ ¿ä±¸»çÇ×Àº ´ÙÀ½°ú °°´Ù. ù°, Àü¹æÇâ ¾ÈÀü¼ºÀ» Á¦°øÇØ¾ß ÇÑ´Ù. ´Ù½Ã ¸»ÇØ, Æнº¿öµå°¡ ¾Ë·ÁÁö´õ¶óµµ ±×¶§ ´ç½Ã¿¡ Åë½Å°úÁ¤¿¡ °³ÀÔµÇÁö ¾Ê¾Ò´Ù¸é ÀÌÀü¿¡ ¼¼¼ÇÅ°¸¦ º¹±¸ÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù. µÑ°, ¹Ì¸® ±â¾ïµÇ´Â Æнº¿öµå¸¦ ÀÌ¿ëÇÏ¿© »óÈ£ ÀÎÁõÀ» Á¦°øÇØ¾ß ÇÑ´Ù. ¼Â°, ÇÁ·ÎÅäÄÝÀÌ Àç»ý °ø°Ý¿¡ ¾ÈÀüÇØ¾ß ÇÑ´Ù. ³Ý°, ÇÁ·ÎÅäÄÝÀÌ ¼¹ö ŸÇù °ø°Ý¿¡ ¾ÈÀüÇØ¾ß ÇÑ´Ù. ´Ù½Ã ¸»ÇØ ¼¹ö¿¡ ÀúÀåµÇ¾î ÀÖ´Â Æнº¿öµå°¡ ´©¼³µÇ´õ¶óµµ À̸¦ ÀÌ¿ëÇÏ¿© ÀÌ ´©¼³µÈ Á¤º¸¸¦ ÀÌ¿ëÇÏ¿© »ç¿ëÀÚÀÎ °Íó·³ ´Ù¸¥ »ç¶÷¿¡°Ô ÀÎÁõ ¹ÞÀ» ¼ö ¾ø¾î¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù. ´Ù¼¸Â°, ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀº ´©¼³µÈ ¼¼¼ÇÅ°·ÎºÎÅÍ »ç¿ëÀÚ°¡ »ç¿ëÇÏ´Â Æнº¿öµå¸¦ º¹±¸ÇÒ ¼ö ¾ø¾î¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù. ¿©¼¸Â°, ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀº ´ëĪÇü ¾ÏÈ£ ¾Ë°í¸®Áò, Çؽ¬ ¾Ë°í¸®Áò, MAC ¾Ë°í¸®Áò µîÀÇ ´Ù¾çÇÑ ¾ÏÈ£ ¾Ë°í¸®ÁòÀ» Áö¿øÇØ¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù. ÇöÀç Ç¥ÁØÈ°¡ ÃßÁøµÇ°í ÀÖ´Â ÁÖ¿ä ³»¿ëÀº ÇÁ·¹ÀÓ¿öÅ© ¿ä±¸»çÇ×, ÇÁ·ÎÅäÄÝ ¿ä±¸»çÇ×, Ãë¾à¼º, ±×¸®°í ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀ» ¼±Á¤Çϱâ À§ÇÑ ¾ÈÀü¼º ±âÁØ µîÀ̸ç, ÀÌ¿¡ ´ëÇÑ ±¸Ã¼ÀûÀÎ ºñ±³ ºÐ¼® °á°ú°¡ °³¹ßµÉ ¿¹Á¤ÀÌ´Ù. ¶ÇÇÑ Æ¯Á¤ Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝÀ» ¼±Á¤Çϱâ À§ÇÑ ¾ÈÀü¼º ±âÁØÀº Åë½Å µ¥ÀÌÅÍÀÇ ¾ç, ¾ÏÈ£ÇÐÀû °è»ê ·®, ³¼öÀÇ »ý¼º ȸ¼ö, ÇÁ·ÎÅäÄÝ ¶ó¿îµå °³¼ö, ½Ã½ºÅÛ ÆĶó¸ÞÅÍÀÇ Å©±â, ¾ÈÀü¼º Ư¼º µîÀÌ µÉ °ÍÀÌ´Ù.
¶ÇÇÑ PAKÀÇ °æ¿ì, ÇÁ·ÎÅäÄÝÀÇ ±¸Ã¼ÀûÀÎ µ¿ÀÛ °úÁ¤°ú ÀÌ ÇÁ·ÎÅäÄÝÀÌ °®´Â Ư¼ºÀ» ³»¿ëÀ¸·Î ÇÏ°í ÀÖ´Ù. ÀÌ ÇÁ·ÎÅäÄÝ ¿ª½Ã »óÈ£ ÀÎÁõ°ú ¼¼¼ÇÅ° °øÀ¯°¡ °¡´ÉÇÑ ÇÁ·ÎÅäÄÝÀ̸ç, Áß°£ÀÚ °ø°ÝÀ» ¸·À» ¼ö ÀÖ°í, Àç»ý °ø°ÝÀ» ¿¹¹æ ÇÒ ¼ö ÀÖÀ¸³ª, ¼¹ö ŸÇù °ø°ÝÀ» ¸·À» ¼ö ¾ø´Â ´ÜÁ¡ÀÌ ÀÖ´Ù. ±×·¯³ª ÀÌ Ç¥ÁØ ¿ª½Ã ´Ù¾çÇÑ º¸¾È ¼öÁØÀ» ¿ä±¸ÇÏ´Â ÀÀ¿ë¿¡ ÀÌ¿ëµÉ ¼ö ÀÖ´Ù.
Ç¥ÁØ ±â¼úÀÇ ³íÀÇ»óȲ, °áÁ¤»çÇ×, ÇâÈÄ ÃßÁø»çÇ×
2005³âµµ 10¿ù°ú 2006³âµµ 2¿ù ITU-T SG17 ȸÀÇ¿¡ ÀÌ·ç¾îÁø °áÁ¤»çÇ×Àº ´ÙÀ½°ú °°´Ù. ¾ÈÀüÇÑ Æнº¿öµå ÀÎÁõ °¡À̵å¶óÀÎÀÇ °æ¿ì, ÀÌ Ç¥ÁØÀÇ ¹üÀ§¿Í Çʿ伺¿¡ ´ëÇÑ ÇÕÀÇ°¡ ¿¬±¸°úÁ¦ 9¿¡¼ ÀÌ·ç¾îÁ³°í, ÇÁ·¹ÀÓ¿öÅ© ¿ä±¸»çÇ׿¡ ´ëÇÑ ³»¿ëÀ» Á¤±Ô ºÎ·ÏÀ¸·Î À̵¿ÇÏ°í, ³»¿ë ¼öÁ¤ µî¿¡ ´ëÇÑ ³íÀÇ°¡ ÁøÇàµÇ¾úÀ¸¸ç, ¿¬±¸°úÁ¦ 9ÀÇ °³¹ß Ç¥ÁؾÈÀ¸·Î ¼±Á¤µÇ¾úÀ¸¸ç, ¿¡µðÅÍ·Î ÀúÀÚ°¡ ÀÓ¸íµÇ¾ú´Ù. ±×¸®°í PAK¿¡ ´ëÇÑ Ç¥ÁØÈ¿¡ ´ëÇÑ ³íÀÇ´Â ÀÌ ±â°í¼°¡ óÀ½ À̹ø 2¿ù ȸÀÇ¿¡¼ Á¦ÃâµÇ¾î, ¿¬±¸°úÁ¦ 5¿¡¼ Ç¥ÁØÇ׸ñÀ¸·Î äÅõǾú°í, ¿¡µðÅÍ·Î Z.Zeltsan(¹Ì±¹ ·ç½¼Æ®)À» ÀÓ¸íÇßÀ¸¸ç, Ãß±âÀûÀÎ ±â°í¼¸¦ ÅëÇÏ¿© °è¼Ó Ç¥ÁØÈ ÀÛ¾÷À» ¼öÇàÇϱâ·Î °áÁ¤ÇÏ¿´´Ù.
ÀÌ µÎ ±Ç°í¾È ¸ðµÎ Åë½Å¸Á º¸¾È°ú ±ÝÀ¶¸Á º¸¾ÈÀ» À§ÇÑ ±â¹Ý Æнº¿öµå ÀÎÁõ ÇÁ·ÎÅäÄÝ·Î ÀÌ¿ëµÉ ¼ö ÀÖ¾î¼ Ç¥ÁØÀÇ È°¿ë¼ºÀÌ ³ôÀ» °ÍÀ¸·Î ¿¹ÃøµÈ´Ù. ¾ÕÀ¸·Î Áö¼ÓÀûÀΠǥÁØÈ ÀÛ¾÷À» ÅëÇÏ¿© ¿Ï¼ºµµ ³ôÀº Ç¥ÁØÀ¸·Î °³¹ßµÉ °ÍÀ¸·Î ¿¹ÃøµÈ´Ù.