저성능 금융단말기를 위한 PCI PTS 요구사항을 충족하는 PIN Encryption Key 주입 방안

Abstract

금융 시스템에 대한 보안은 지속적으로 향상되어 가고 있다. 금융 시스템의 보안을 위해서는, 카드 보안 강화 함께 POS(Point of Sale) 나 ATM(Automated Teller’s Machine) 등의 금융기기에 대한 보안도 강화 되어야 한다. 본 논문에서는 주요 카드사들이 제안하고 사용하는 금융기기에 대한 보안 표준의 하나인 PCI PTS(Payment Card Industry Payment Transaction Security) 요구사항을 충족하는 PEK(PIN Encryption Key)을 금융기기에 주입하는 방법을 제시한다. PIN 패드 나 POS 단말기 같은 저가 저성능 금융기기에 일반적인 키 분배 방법으로PCI요구사항을 구현하기는 어렵다. 비대칭키를 사용할 경우 보다 높은 하드웨어 성능을 더 요구하게 되어 저가로 구현되어야 하는 저성능 금융기기에 적용하기 힘들다는 문제점이 있고, 대칭키 방식을 사용할 경우 PCI요구사항의 대칭키의 유일성, 이원화된 제어, 정보의 분리와 같은 특수한 요구사항을 수용하기 위해 키 관리가 어려워진다는 문제점이 있다. 본 논문에서는 이 두 가지 단점을 보완 할 수 있도록 대칭키 방식을 사용하면서 금융기기의 고유번호와 운용사가 생성한 유도 키를 통해 키 주입에 사용되는 대칭키를 자동으로 생성하는 방법으로 키 관리의 절차를 개선한 키 주입 방법을 제시한다.