[i-ONE PASS]간편 보안 인증 도입사례

조회수 1601



1. i-ONE PASS 도입 배경 및 목적


법이 개정되면서 회사는 의무적으로 직원들에게 급여 명세서를 송부하게 되었다. 뉴****사는 급여명세서를 클라우드에서 모바일 앱으로 송부하는 서비스를 제공하는 회사다. 급여 명세서 발급 특성 상 한달에 한번 앱에 접속하다 보니 사용자의 패스워드 분실이 잦아 패스워드 재설정 및 임시 패스워드 문자발송 비용이 증가하는 문제점이 생겼다. 또한 해당 기업은 모바일로 급여명세서 서비스를 포함해서 전자계약 서비스도 하고있어서 카카오 인증서로 기존 공인인증서를 대체해야 하는지 검토중이었다. 




2. i-ONE PASS 도입 시 고려 사항


뉴****사는 모바일 앱의 잦은 패스워드 분실로 인해 임시 패스워드 문자 발송에 대해 대체로 별도의 인증 수단이 필요했다. 또한, 카카오인증서를 사용하기 위해서는 카카오톡 설치가 필수인데 현재 뉴****사 모바일앱 사용자 중 30%가 카카오톡을 사용하지 않고 있어 해당 인원을 대상으로 하는 또 다른 인증 수단이 필요했다. 따라서 이를 동시에 해결할 수 있는 방법을 FIDO 기반의 생체인증으로 처리하고자 했다.




3. i-ONE PASS 도입 내용


우선 생체인증을 이용하여 모바일 앱 로그인 시 간편로그인으로 쉽게 로그인할 수 있도록 구현했다. i-ONE PASS에서 제공하는 SDK 라이브러리를 이용하여 현재 사용중인 앱에 In-App 작업을 진행했으며, 패스워드 분실에 따른 임시 패스워드 문자 비용을 줄일 수 있었다.


또한, 전자서명을 위해 많은 공동인증서 모듈을 연동하는 대신, 현재 사용중인 (구)공인인증서를 전자서명으로 그대로 사용했다. 단, 보안 강화를 위해 전자서명 전 생체인증으로 한번 더 본인인증을 처리함으로써 전자서명의 주체를 보다 명확히 하도록 구현했다. 


이데아텍의 i-ONE PASS 가 이와같은 구성이 가능한 이유는 다음과 같다.


첫쨰, FIDO Alliance 에서 권고하고 있는 국제 표준 규격인 FIDO UAF 1.1을 준수하고 있기 때문이다. 즉, 검증된 표준 규격을 준수하므로 Android iOS OS가 업데이트 되어도 동작 오류 없이 사용이 가능하다. 


둘째, FIDO 인증 구조는 로컬인증과 서버인증으로 구성되어 있어 Private Key는 로컬 (사용자의 스마트폰)에 저장되고 Public Key는 서버에 저장되어 필요 시 사용자의 서명값이 전달되어 인증하는 방법으로 정확히 본인을 인증할 수 있는 강력한 인증 구조다.


또한 아이원패스는 별도로 앱을 구성할 수 없는 고객을 대상으로 범용 인증 앱을 제공함으로써 고객의 선택을 넓힐 수 있는 유연성을 가지고 있다. 




4. i-ONE PASS 도입 효과


이데아텍은 금융권 앱에 보편화 된 간편로그인 기능을 에 사용함으로써 사용자에게 편의성을 제공했다. 이에따라 뉴****사는 간편로그인 기능으로 임시 패스워드 문자 발송 비용을 줄이는 효과를 얻었다. 또한 전자계약 전 본인인증을 강화함으로써 보안을 강화했으며 뉴****사에서 추진하고 있는 해외 비즈니스 사업에도 국제 표준 규격 제품으로 GS인증 1등급을 취득한 i-ONE PASS를 적용하기로 했다.








#FIDO #FIDO1.1 #FIDO2 #생체인증 #간편인증 #2단계인증 #2FA #MFA #OTP #공동인증서 

#ISMS #개인정보보호 #교육부 #교육부수준진단 #전자서명 #전자문서