KR20190116838A - 암호화폐 보안 방법 및 시스템 - Google Patents

암호화폐 보안 방법 및 시스템 Download PDF

Info

Publication number
KR20190116838A
KR20190116838A KR1020180039913A KR20180039913A KR20190116838A KR 20190116838 A KR20190116838 A KR 20190116838A KR 1020180039913 A KR1020180039913 A KR 1020180039913A KR 20180039913 A KR20180039913 A KR 20180039913A KR 20190116838 A KR20190116838 A KR 20190116838A
Authority
KR
South Korea
Prior art keywords
key
private key
subscriber
cryptocurrency
management server
Prior art date
Application number
KR1020180039913A
Other languages
English (en)
Other versions
KR102475434B1 (ko
Inventor
박종은
김기현
김종철
서윤환
전유인
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020180039913A priority Critical patent/KR102475434B1/ko
Publication of KR20190116838A publication Critical patent/KR20190116838A/ko
Application granted granted Critical
Publication of KR102475434B1 publication Critical patent/KR102475434B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 개인키의 유출을 방지하여 암호화폐가 탈취되는 것을 봉쇄하는 암호화폐 보안 방법 및 시스템에 관한 것이다. 거래소 서버 및 키 저장소를 포함하는 암호화폐 거래 시스템과 연동하여 가입자 개인키의 보안을 향상시키는 암호화폐 보안 시스템은, 보유중인 비밀키를 이용하여 가입자 개인키를 암호화하거나 복호화하는 하드웨어 보안 모듈; 및 상기 하드웨어 보안 모듈에서 암호화한 가입자 개인키를 상기 키 저장소에 보관하고, 암호화폐 거래에 대한 전자 서명을 상기 거래소 서버로부터 요청받으면, 상기 키 저장소에 보관된 암호화된 가입자 개인키를 상기 하드웨어 보안 모듈로 제공하고, 복호화된 상기 가입자 개인키로 전자 서명된 거래 정보를 상기 하드웨어 보안 모듈로부터 수신하여 상기 수신한 상기 전자 서명된 거래 정보를 상기 거래소 서버로 제공하는 키 관리 서버를 포함한다.

Description

암호화폐 보안 방법 및 시스템{Security method and system for crypto currency}
본 발명은 암호화폐를 보안을 향상시키는 기술에 관한 것으로서, 더욱 상세하게는 개인키의 유출을 방지하여 암호화폐가 탈취되는 것을 봉쇄하는 암호화폐 보안 방법 및 시스템에 관한 것이다.
비트코인으로 대표되는 암호화폐는, 국경이 없는 화폐로서 인정되고 있으며, 더불어 사용 가능한 장소(예컨대, 오프라인 매장, 온라인 매장 등)도 늘어가고 있다. 상기 암호화폐는 실제 화폐와 교환되며, 그 가치가 수시로 변동되기도 한다. 이에 따라, 투자자들은 암호화폐를 거래할 수 있는 거래소 서버에 접속하여, 암호화폐를 매매하기도 한다.
거래소 서버는 고객에 대한 암호화폐 매매 서비스를 제공하기 위하여, 고객의 암호화폐 입금 주소, 잔고 등이 저장된 데이터베이스를 관리한다. 또한, 거래소 서버는 고객의 개인키와 암호화폐 주소를 매핑시켜 거래소가 직접 관리하는 키 보관소에 보관하기도 한다.
거래소 서버는 사용자 간에 암호화폐를 거래하는 경우, 거래를 생성하기 위하여, 개인키로 거래 정보를 전자 서명한 전자 서명 값과 공개키가 포함된 거래 정보를 블록체인 네트워크로 전파한다. 블록체인 네트워크에 전파된 거래정보는 이웃 노드에서 검증하는 작업이 수행되고, 검증에 성공한 경우 블록체인 장부에 기록되어 저장된다.
그런데 거래소 서버의 키 저장소에서 개인키가 탈취된 경우, 암호화폐의 소유권이 타인에게 변경될 수 있다. 물론, 블록체인에는 암호화폐의 소유권이 타인에게 변경되었음을 나타내는 거래 정보가 남아 있게 되나, 익명성이 보장되는 암호화폐 거래에서 암호화폐를 탈취한 실제 범죄자를 특정하기가 매우 어려운 문제점이 있다. 즉, 거래소 서버의 키 저장소에서 개인키가 탈취되어 암호화폐의 소유권이 타인에게 양도되면, 소유권 이전에 따른 거래 정보가 블록체인에 기록될 뿐 상기 암호화폐를 소유하는 실제 사용자를 현실 세계에서는 특정할 수 없는 문제점이 있다.
이러한 이유로 거래소에서는 개인키가 외부 공격자에 의해서 탈취되지 않도록 보안을 강화하여야 하고, 내부 직원들에 의해서 외부로 유출되거나 무단으로 사용되지 않도록 관리하여야 한다.
본 발명은 이러한 종래의 문제점을 해결하기 위하여 제안된 것으로, 암호화폐 거래에 있어서 고객의 불편함을 유발하지 않고 개인키 유출을 예방할 수 있는 암호화폐 보안 방법 및 시스템을 제공하는데 그 목적이 있다.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
상기 목적을 달성하기 위한 본 발명의 제1측면에 따른, 거래소 서버 및 키 저장소를 포함하는 암호화폐 거래 시스템과 연동하여 가입자 개인키의 보안을 향상시키는 암호화폐 보안 시스템은, 보유중인 비밀키를 이용하여 가입자 개인키를 암호화하거나 복호화하는 하드웨어 보안 모듈; 및 상기 하드웨어 보안 모듈에서 암호화한 가입자 개인키를 상기 키 저장소에 보관하고, 암호화폐 거래에 대한 전자 서명을 상기 거래소 서버로부터 요청받으면, 상기 키 저장소에 보관된 암호화된 가입자 개인키를 상기 하드웨어 보안 모듈로 제공하고, 복호화된 상기 가입자 개인키로 전자 서명된 거래 정보를 상기 하드웨어 보안 모듈로부터 수신하여 상기 수신한 상기 전자 서명된 거래 정보를 상기 거래소 서버로 제공하는 키 관리 서버를 포함한다.
상기 하드웨어 보안 모듈은, 상기 비밀키로 암호화된 가입자 개인키를 상기 키 관리 서버로부터 수신하면, 상기 비밀키로 암호화된 가입자 개인키를 상기 비밀키를 이용하여 복호화하고, 상기 복호화한 가입자 개인키로 상기 거래 정보를 전자 서명할 수 있다.
상기 하드웨어 보안 모듈은, 자신의 공개키로 암호화된 거래 정보를 상기 키 관리 서버로부터 수신하고, 상기 공개키로 암호화된 거래 정보를 자신의 개인키를 이용하여 복호화하여, 상기 복호화한 거래 정보를 상기 복호화한 가입자 개인키로 전자 서명할 수 있다.
한편, 상기 키 관리 서버는, 암호화폐 거래를 수행하는 가입자의 단말로 거래 승인 여부를 문의하는 메시지를 전송하고, 이 메시지에 대한 긍정 응답이 수신되면, 상기 하드웨어 보안 모듈과 연동하여 상기 가입자 개인키로 전자 서명된 거래 정보를 수신하여 상기 거래소 서버로 제공할 수 있다.
상기 키 관리 서버는, 상기 거래소 서버로부터 상기 가입자 개인키의 암호화를 요청받으면, 상기 하드웨어 보안 모듈과 연동하여 상기 비밀키로 암호화된 가입자 개인키를 획득하고, 상기 키 저장소에 저장된 기존의 가입자 개인키를 상기 비밀키로 암호화된 가입자 개인키로 대체하여 상기 키 저장소에 보관한다.
상기 키 관리 서버는, 거래가 되는 암호화폐의 유형을 상기 거래소 서버로부터 수신하고, 상기 암호화폐의 유형에 대응하는 전자 서명을 알고리즘을 확인하여, 상기 하드웨어 보안 모듈로 제공할 수 있다.
상기 목적을 달성하기 위한 본 발명의 제1측면에 따른 암호화폐 보안 시스템에서, 가입자 개인키의 탈취를 방지하여 암호화폐 보안을 향상시키는 방법은, 키 관리 서버가, 하드웨어 보안 모듈과 연동하여, 상기 하드웨어 보안 모듈에서 암호화된 가입자 개인키를 키 저장소에 보관하는 단계; 상기 키 관리 서버가, 암호화폐 거래에 대한 전자 서명을 거래소 서버로부터 요청받으면, 상기 암호화된 가입자 개인키를 상기 하드웨어 보안 모듈로 제공하여, 복호화된 가입자 개인키로 전자 서명된 거래 정보를 상기 하드웨어 보안 모듈로부터 수신하는 단계; 및 상기 키 관리 서버가, 상기 수신한 상기 전자 서명된 거래 정보를 상기 거래소 서버로 제공하는 단계를 포함한다.
본 발명은 암호화폐의 거래에 있어서, 개인키 유출을 원천적으로 봉쇄하여 고객의 암호화폐가 탈취되는 것을 예방할 수 있는 장점이 있다.
또한, 본 발명은 거래소에 암호화된 개인키를 저장시킴으로써, 거래소 시스템이 해킹되어도 개인키를 사용할 수가 없어, 암호화폐가 탈취되는 상황을 미연에 방지할 수 있다.
게다가, 본 발명은 하드웨어 보안 모듈에서 거래가 발생할 때마다 암호화된 개인키를 복호화하여, 이 개인키로 거래 정보에 대한 전자 서명을 수행하기 때문에, 외부의 공격으로부터 더욱 안전하게 개인키를 보호할 수 있는 장점이 있다.
또한, 본 발명은 하드웨어 보안 모듈을 이용하여, 필요할 때마다 거래 정보에 대한 전자 서명이 수행되게 함으로써, 기존의 거래소 시스템과 비교하여, 가상화폐 매매에 있어서의 편의성을 훼손시키지 않은 이점이 있다.
게다가, 본 발명은, 전자 서명이 필요할 경우, 사용자의 이메일, 모바일 전화번호 등을 이용하여, 승인 인증을 수행하기 때문에, 암호화폐 매매에 대한 보안성을 더욱 강화시키는 효과가 있다.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시예를 예시하는 것이며, 발명을 실시하기 위한 구체적인 내용과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니 된다.
도 1은 본 발명의 일 실시예에 따른, 암호화폐 보안 시스템을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른, 암호화폐 보안 시스템에서 키 저장소에 저장된 가입자 개인키를 암호화된 가입자 개인키로 대체하는 방법을 설명하는 흐름도이다.
도 3은 본 발명의 일 실시예에 따른, 암호화폐 보안 시스템에서 전자 서명된 거래정보를 배포하는 방법을 설명하는 흐름도이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른, 암호화폐 보안 시스템을 나타내는 도면이다.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 암호화폐 보안 시스템은 하드웨어 보안 모듈(Hardware Security Module, 이하 'HSM'으로 지칭함)(100), 키 관리 서버(200), 거래소 서버(300), 키 저장소(400) 및 블록 체인 네트워크(500)를 포함하며, 이러한 구성요소들은 공용 네트워크를 통해서 서로 통신하거나 전용선을 통해서 서로 통신할 수 있다.
HSM(100)은 하드웨어 보안 모듈로서, 하드웨어적으로 키를 생성하고, 데이터를 암호화하거나 복호화한다. 상기 HSM(100)은 독립적인 하나의 장치로서 구현될 수도 있고, 다른 서버 또는 장치에 탑재될 수 있다. 특히, HSM(100)은 공개키(이하, 'HSM 공개키'로 지칭함)와 개인키(이하, 'HSM 개인키'로 지칭함)를 생성하고, 상기 HSM 개인키를 공유하지 않고 보유하나, 상기 HSM 공개키를 타 장치로 배포하여 공유한다. 또한, HSM(100)은 대칭키인 비밀키를 저장하고 있으며, 이 비밀키를 타 서버 또는 장치와 공유하지 않고 자신만이 보유한다. 상기 HSM(100)은 키 관리 서버(200)로부터 가입자의 개인키(이하, '가입자 개인키'로 지칭함)에 대한 암호화를 요청받으면, 상기 가입자 개인키를 비밀키로 암호화하여 키 관리 서버(200)로 전송한다. 이때, HSM(100)은 상기 가입자 개인키가 HSM 공개키로 암호화되어 있으면, 상기 가입자 개인키를 HSM 개인키로 복호화한 후에, 복호화된 가입자 개인키를 상기 비밀키를 이용하여 암호화한다.
또한, HSM(100)은 키 관리 서버(200)로부터 전자 서명을 요청받으면, 키 관리 서버(200)로부터 수신한 암호화된 거래 정보를 HSM 개인키를 이용하여 복호화하고, 더불어 키 관리 서버(200)로부터 수신한 암호화된 가입자 개인키를 비밀키로 복호화한다. 게다가, HSM(100)은 상기 복호화한 가입자 개인키와 복호화된 거래 정보를 이용하여, 거래 정보를 상기 가입자 개인키를 이용하여 전자 서명한 후, 전자 서명한 거래정보를 키 관리 서버(200)로 전송한다.
키 저장소(400)는 데이터베이스, 디스크 장치와 같은 저장수단으로서, 가입자별 개인키를 저장한다. 특히, 키 저장소(400)는 암호화되지 않은 가입자 개인키를 삭제하고, 상기 삭제된 가입자 개인키 대신에 HSM 비밀키로 암호화된 가입자 개인키를 저장한다.
거래소 서버(300)는 가입자간 암호화폐 거래를 지원하는 시스템으로서, 가입자의 이메일 주소, 가입자 아이디, 가입자 모바일 전화번호, 가입자 성명, 주소, 생년월일 등과 같은 가입자 정보를 저장하고 관리한다. 상기 거래소 서버(300)는 각 가입자 개인키의 저장 환경을 가입자별로 구분하여 저장하고 관리한다. 특히, 거래소 서버(300)는 키 저장소(400)에서 오리지널 가입자 개인키(즉, 암호화되지 않은 가입자 개인키)가 암호화된 가입자 개인키로 대체된 경우, 상기 암호화된 가입자 개인키의 저장환경을 갱신한다. 상기 거래소 서버(300)는 키 관리 서버(200)와 연동하여, HSM 비밀키로 암호화된 가입자 개인키를 획득할 수도 있다. 또한, 거래소 서버(300)는 암호화폐의 거래가 진행되면, 블록 체인 네트워크(500)로 블록체인 기반의 거래 정보를 배포한다. 또한, 거래소 서버(300)는 키 관리 서버(200)와 연동하여, 전자 서명된 거래 정보를 키 관리 서버(200)로부터 수신한다.
블록 체인 네트워크(500)는 복수의 노드들이 연결된 것으로서, 거래 정보에 대한 거래 검증이 이루어진다. 또한, 블록 체인 네트워크(500)에 속하는 노드들은 거래 장부(즉, 거래 정보)가 기록되며 블록 간에 연결 구조를 가지는 블록 체인을 서로 공유한다.
키 관리 서버(200)는 HSM(100) 및 거래소 서버(300)와 연동하여, 키 저장소(400)에 저장된 가입자의 오리지널 가입자 개인키를 폐기하고, 상기 오리지널 가입자 개인키 대신에 HSM(100)에서 암호화한 가입자 개인키를 상기 키 저장소(400)에 보관시킨다. 또한, 키 관리 서버(200)는 거래소 서버(300)로부터 전자 서명을 요청받으면, 전자 서명된 거래정보를 HSM(100)으로부터 수신하여, 이 전자 서명된 거래 정보를 거래소 서버(300)로 제공한다. 키 관리 서버(200)는 암호화폐 유형별로 상이한 전자 서명 알고리즘을 저장하고 있으며, 거래 대상이 되는 암화화폐의 유형을 확인하고, 이 유형에 대응하는 전자 서명 알고리즘을 HSM(100)으로 제공할 수 있다. 상기 키 관리 서버(200)는 가입자에게 거래 승인에 대한 응답을 요구하는 메시지를 발송한 후에, 이 메시지에 대한 응답이 긍정인 경우에 전자 서명된 거래정보를 거래소 서버(300)로 선택적으로 전송할 수 있다.
도 2는 본 발명의 일 실시예에 따른, 암호화폐 보안 시스템에서 키 저장소에 저장된 가입자 개인키를 암호화된 가입자 개인키로 대체하는 방법을 설명하는 흐름도이다.
도 2를 참조하면, 거래소 서버(300)는 본 발명에 따른 암호화폐 보안 서비스에 청약한 가입자의 식별정보를 확인하고, 이 식별정보와 매핑된 가입자 개인키의 저장환경(즉, 파일명 및 저장 경로명)을 확인한다. 그리고 거래소 서버(300)는 상기 저장환경을 토대로 키 저장소(400)에 접근하여 가입자 개인키를 획득한다(S201). 이어서, 거래소 서버(300)는 상기 가입자의 개인키와 매핑된 가입자 정보를 확인한다(S203). 상기 가입자 정보에는 거래승인 인증을 수행하기 위한 가입자의 이메일 주소, 모바일 전화번호, 가입자 아이디 등이 포함된다.
다음으로, 거래소 서버(300)는 HSM의 공개키로, 상기 가입자의 개인키를 암호화한다(S205). 이때, 거래소 서버(300)는 가입자의 개인키가 암호화되면, 키 저장소(400)에서 획득한 오리지널 가입자 개인키(즉, 암호화되지 않은 가입자 개인키)를 메모리, 디스크 장치 등의 저장수단에서 폐기하여, 상기 오리지널 가입자 개인키에 대한 흔적을 거래소 서버(300)에서 완전히 제거한다. 그리고 거래소 서버(300)는 가입자 개인키에 대한 암호화를 키 관리 서버(200)로 요청한다(S209). 이때, 거래소 서버(300)는 HSM 공개키로 암호화된 가입자 개인키 뿐만 아니라, 상기 가입자 개인키의 저장 환경정보 및 상기 가입자 정보를 키 관리 서버(200)로 전송한다. 그러면, 키 관리 서버(200)는 암호화된 가입자 개인키, 가입자 개인키 저장 환경 정보 및 가입자 정보를 임시적으로 저장하고, HSM 공개키로 암호화된 가입자 개인키를 HSM(100)으로 전송하여 상기 가입자 개인키의 암호화를 요청한다(S209).
이어서, HSM(100)은 HSM 개인키로 암호화된 가입자 개인키를 복호화한다(S211). 그리고 HSM(100)은 자체 저장중이 비밀키를 이용하여 상기 가입자 개인키를 암호화한다(S213). 상기 HSM(100)은 상기 복호화한 가입자 개인키를 따로 보관하지 않고, 상기 가입자 개인키의 암호화가 완료되면 상기 가입자 개인키를 바로 폐기하여, 메모리 등의 저장수단에서 가입자 개인키의 흔적을 완전히 제거한다. 이어서, HSM(100)은 암호화한 가입자 개인키를 키 관리 서버(200)로 전송한다(S215).
다음으로, 키 관리 서버(200)는 가입자 정보와 비밀키로 암호화된 가입자 개인키를 매핑하여 저장한다(S217). 그리고 키 관리 서버(200)는 거래소 서버(300)로부터 수신한 HSM 공개키로 암호화된 가입자 개인키를 삭제한다. 이어서, 키 관리 서버(200)는 개인 저장 환경 정보를 키 저장소(400)로 제공하여, 키 저장소(400)에 저장된 가입자 개인키(즉, 암호화되지 않은 개인키)의 삭제를 처리를 요청하고, 키 저장소(400)는 상기 저장 환경 정보와 일치하는 가입자 개인키를 삭제한다(S219). 이어서, 거래소 서버(300)는 상기 HSM 비밀키로 암호화된 가입자 개인키를 키 저장소(400)에 저장한다(S221). 즉, 거래소 서버(300)는 키 저장소(400)에 저장된 오리지널 가입자 개인키(즉, 암호화되지 않은 가입자 개인키)를 삭제하고, 이 오리지널 가입자 개인키 대신에 HSM 비밀키로 암호화된 개인키를 상기 키 저장소(400)에 저장시킨다. 거래소 서버(300)는 상기 HSM 비밀키로 암호화된 가입자 개인키의 저장환경 정보(즉, 파일명 및 저장 경로명)을 확인하고, 상기 가입자 개인키의 저장환경 정보를 거래소 서버(300)로 전송할 수 있다. 그러면, 거래소 서버(300)는 기존에 저장된 가입자 개인키의 저장환경 정보를 키 관리 서버(200)로부터 수신한 저장환경 정보로 변경한다.
다른 실시형태로서, 네트워크 환경에서 키 관리 서버(200)가 키 저장소(400)에 접근하는 것이 불가능한 구조인 경우, 키 관리 서버(200)는 HSM 비밀키로 암호화된 가입자 개인키를 직접 키 저장소(400)에 저장하지 않고, 상기 HSM 비밀키로 암호화된 가입자 개인키를 거래소 서버(300)로 제공할 수 있다. 이 경우, 거래소 서버(300)는 키 저장소(400)에 저장된 오리지널 가입자 개인키(즉, 암호화되지 않은 가입자 개인키)를 삭제하고, 상기 HSM 비밀키로 암호화된 가입자 개인키를 키 저장소(400)에 저장한다. 그리고 거래소 서버(300)는 상기 HSM 비밀키로 암호화된 가입자 개인키에 대한 저장환경 정보를 확인하고, 기존에 저장된 가입자 개인키의 저장환경 정보를 상기 확인한 저장환경 정보로 갱신한다.
이러한 절차에 따라, 오리지널 가입자 개인키를 어디에서도 저장되지 않고, HSM 비밀키로 암호화된 가입자 개인키가 키 저장소(400)에 저장된다. 따라서, 키 저장소(400)에서 가입자 개인키가 탈취더라도, 암호화 처리된 가입자 개인키를 암호화폐 거래에서 이용될 수가 없다.
도 3은 본 발명의 일 실시예에 따른, 암호화폐 보안 시스템에서 전자 서명된 거래정보를 배포하는 방법을 설명하는 흐름도이다.
도 3을 참조하면, 거래소 서버(300)는 가입자로부터 특정 유형의 암호화폐에 대한 거래정보를 입력받는다. 예컨대, 거래소 서버(300)는 비트코인, 이더리움 등과 같은 암호화폐 유형을 가입자로부터 선택받고, 더불어 암호화폐의 거래량과 거래가 되는 상대방 정보가 포함된 거래 정보를 상기 가입자로부터 입력받을 수 있다. 그러면, 거래소 서버(300)는 암호화폐의 거래를 수행하기 위해, 상기 가입자의 식별정보와 매핑되는 가입자 개인키 저장환경을 확인하고, 이 개인키 저장환경을 토대로 키 저장소(400)에서 가입자의 개인키를 획득한다(S301). 여기서, 상기 가입자 개인키는 HSM 비밀키로 암호화되어 있다.
다음으로, 거래소 서버(300)는 HSM 공개키를 이용하여 상기 거래 정보를 암호화하고, 암호화된 거래 정보, 상기 가입자 개인키 및 암호화폐 유형이 포함된 전자 서명 요청 메시지를 키 관리 서버(200)로 전송한다(S303).
이어서, 키 관리 서버(200)는 상기 암호화된 가입자 개인키와 매핑되는 가입자 정보를 확인하고, 이 가입자 정보에서 거래 승인 인증에 필요한 이메일 주소 또는 모바일 전화번호를 확인한다(S305). 이어서, 키 관리 서버(200)는 거래 승인에 대한 인증을 요청하는 메시지를 작성하고, 이 메시지의 착신번호를 상기 이메일 주소, 모바일 전화번호로 설정하여, 상기 메시지를 발송한다(S307). 예컨대, 키 관리 서버(200)는 "가상화폐에 대한 거래 승인을 요청합니다. 암호화폐의 거래를 진행하려면 '1' 그렇지 않으면 '0'을 입력하여 주세요"와 같은 메시지를 가입자에게 발송할 수 있다.
키 관리 서버(200)는 가입자의 단말로부터 상기 메시지에 대한 응답을 수신하고(S309), 상기 응답이 거래 불가 응답이면 거래소 서버(300)로 전자 서명을 수행할 수 없음을 알리고, 거래소 서버(300)는 요청된 거래를 중단한다.
반면에, 키 관리 서버(200)는 가입자의 단말로부터 상기 메시지에 대한 응답으로서 거래 승인 응답을 수신하면, 상기 암호화폐 유형에 대응하는 전자 서명 알고리즘을 확인한다(S311). 그리고 키 관리 서버(200)는 상기 확인한 전자 서명 알고리즘, 상기 암호화된 거래 정보 및 HSM 비밀키로 암호화된 가입자 개인키가 포함된 전자 서명 요청 메시지를 HSM(100)으로 전송한다(S313).
그러면, HSM(100)은 상기 전자 요청 메시지에서 전자 서명 알고리즘, 상기 암호화된 거래 정보 및 HSM 비밀키로 암호화된 가입자 개인키를 추출하고, HSM 비밀키를 이용하여 상기 암호화된 가입자 개인키를 복호화한다(S315). 또한, HSM(100)는 HSM 개인키를 이용하여, HSM 공개키로 암호화된 거래 정보를 복호화한다(S317). 이렇게 복호화가 완료되면, HSM(100)은 상기 복호화한 가입자 개인키와 복호화된 거래 정보를 이용하여, 거래 정보를 상기 가입자 개인키를 이용하여 전자 서명한 후, 전자 서명한 거래 정보를 키 관리 서버(200)로 전송한다(S319, S321). 이때, HSM(100)은 키 관리 서버(200)로부터 수신한 전자 서명 알고리즘을 이용하여 거래 정보에 대한 전자 서명을 수행한다. 또한, 상기 HSM(100)은 상기 복호화한 가입자 개인키를 따로 보관하지 않고, 전자 서명이 완료되면 바로 폐기하여, 메모리 등에서 가입자 개인키의 흔적을 제거한다.
다음으로, 키 관리 서버(200)는 상기 전자 서명된 거래정보를 상기 거래소 서버(300)로 전송한다(S323).
그러면, 거래소 서버(300)는 상기 전자 서명된 거래 정보를 포함하는 블록체인 기반의 거래 정보를 블록체인 네트워크로 전파한다(S325). 상기 전자 서명된 거래 정보는 블록 체인 네트워크(500) 내의 다른 노드들에 의해서 검증되고, 검증에 성공되면 상기 거래 정보를 포함하는 신규 블록이 기존의 블록과 연결(즉, 체이닝)되고, 블록 체인이 확장된다.
상술한 바와 같이, 본 발명에 따른 암호화폐 보안 시스템은, 암호화폐의 거래에 있어서, 개인키 유출을 원천적으로 봉쇄하여 고객의 암호화폐가 탈취되는 것을 예방한다. 또한, 본 발명에 따른 암호화폐 보안 시스템은, 거래소에 암호화된 개인키를 저장시킴으로써, 키 저장소(400)의 데이터가 해킹되어도 개인키 사용을 불가능하게 한다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
100 : HSM
200 : 키 관리 서버
300 : 거래소 서버
400 : 키 저장소
500 : 블록 체인 네트워크

Claims (9)

  1. 거래소 서버 및 키 저장소를 포함하는 암호화폐 거래 시스템과 연동하여 가입자 개인키의 보안을 향상시키는 암호화폐 보안 시스템으로서,
    보유중인 비밀키를 이용하여 가입자 개인키를 암호화하거나 복호화하는 하드웨어 보안 모듈; 및
    상기 하드웨어 보안 모듈에서 암호화한 가입자 개인키를 상기 키 저장소에 보관하고, 암호화폐 거래에 대한 전자 서명을 상기 거래소 서버로부터 요청받으면, 상기 키 저장소에 보관된 암호화된 가입자 개인키를 상기 하드웨어 보안 모듈로 제공하고, 복호화된 상기 가입자 개인키로 전자 서명된 거래 정보를 상기 하드웨어 보안 모듈로부터 수신하여 상기 수신한 상기 전자 서명된 거래 정보를 상기 거래소 서버로 제공하는 키 관리 서버;를 포함하는 암호화폐 보안 시스템.
  2. 제1항에 있어서,
    상기 하드웨어 보안 모듈은,
    상기 비밀키로 암호화된 가입자 개인키를 상기 키 관리 서버로부터 수신하면, 상기 비밀키로 암호화된 가입자 개인키를 상기 비밀키를 이용하여 복호화하고, 상기 복호화한 가입자 개인키로 상기 거래 정보를 전자 서명하는 것을 특징으로 하는 암호화폐 보안 시스템.
  3. 제2항에 있어서,
    상기 하드웨어 보안 모듈은,
    자신의 공개키로 암호화된 거래 정보를 상기 키 관리 서버로부터 수신하고, 상기 공개키로 암호화된 거래 정보를 자신의 개인키를 이용하여 복호화하여, 상기 복호화한 거래 정보를 상기 복호화한 가입자 개인키로 전자 서명하는 것을 특징으로 하는 암호화폐 보안 시스템.
  4. 제1항 있어서,
    상기 키 관리 서버는,
    암호화폐 거래를 수행하는 가입자의 단말로 거래 승인 여부를 문의하는 메시지를 전송하고, 이 메시지에 대한 긍정 응답이 수신되면, 상기 하드웨어 보안 모듈과 연동하여 상기 가입자 개인키로 전자 서명된 거래 정보를 수신하여 상기 거래소 서버로 제공하는 것을 특징으로 하는 암호화폐 보안 시스템.
  5. 제1항에 있어서,
    상기 키 관리 서버는,
    상기 거래소 서버로부터 상기 가입자 개인키의 암호화를 요청받으면, 상기 하드웨어 보안 모듈과 연동하여 상기 비밀키로 암호화된 가입자 개인키를 획득하고, 상기 키 저장소에 저장된 기존의 가입자 개인키를 상기 비밀키로 암호화된 가입자 개인키로 대체하여 상기 키 저장소에 보관하는 것을 특징으로 하는 암호화폐 보안 시스템.
  6. 제1항에 있어서
    상기 키 관리 서버는,
    거래가 되는 암호화폐의 유형을 상기 거래소 서버로부터 수신하고, 상기 암호화폐의 유형에 대응하는 전자 서명을 알고리즘을 확인하여, 상기 하드웨어 보안 모듈로 제공하는 것을 특징으로 하는 암호화폐 보안 시스템.
  7. 암호화폐 보안 시스템에서, 가입자 개인키의 탈취를 방지하여 암호화폐 보안을 향상시키는 방법에 있어서,
    키 관리 서버가, 하드웨어 보안 모듈과 연동하여, 상기 하드웨어 보안 모듈에서 암호화된 가입자 개인키를 키 저장소에 보관하는 단계;
    상기 키 관리 서버가, 암호화폐 거래에 대한 전자 서명을 거래소 서버로부터 요청받으면, 상기 암호화된 가입자 개인키를 상기 하드웨어 보안 모듈로 제공하여, 복호화된 가입자 개인키로 전자 서명된 거래 정보를 상기 하드웨어 보안 모듈로부터 수신하는 단계; 및
    상기 키 관리 서버가, 상기 수신한 상기 전자 서명된 거래 정보를 상기 거래소 서버로 제공하는 단계;를 포함하는 암호화폐 보안 방법.
  8. 제7항에 있어서,
    상기 하드웨어 보안 모듈로부터 수신하는 단계는,
    상기 키 관리 서버가, 거래를 수행하는 가입자의 단말로 거래 승인 여부를 문의하는 메시지를 전송하고, 이 메시지에 대한 긍정 응답이 수신되면, 상기 하드웨어 보안 모듈과 연동하여 상기 복호화된 가입자 개인키로 전자 서명된 거래 정보를 수신하여 상기 거래소 서버로 제공하는 것을 특징으로 하는 암호화폐 보안 방법.
  9. 제7항에 있어서,
    상기 가입자 개인키를 키 저장소에 보관하는 단계는,
    상기 키 관리 서버가, 상기 거래소 서버로부터 상기 가입자 개인키의 암호화를 요청받는 단계;
    상기 키 관리 서버가, 상기 하드웨어 보안 모듈과 연동하여 비밀키로 암호화된 가입자 개인키를 획득하는 단계; 및
    상기 키 관리 서버가, 상기 키 저장소에 저장된 기존의 가입자 개인키를 상기 비밀키로 암호화된 가입자 개인키로 교체시키는 단계;를 포함하는 것을 특징으로 하는 암호화폐 보안 방법.
KR1020180039913A 2018-04-05 2018-04-05 암호화폐 보안 방법 및 시스템 KR102475434B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180039913A KR102475434B1 (ko) 2018-04-05 2018-04-05 암호화폐 보안 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180039913A KR102475434B1 (ko) 2018-04-05 2018-04-05 암호화폐 보안 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20190116838A true KR20190116838A (ko) 2019-10-15
KR102475434B1 KR102475434B1 (ko) 2022-12-06

Family

ID=68209265

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180039913A KR102475434B1 (ko) 2018-04-05 2018-04-05 암호화폐 보안 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR102475434B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210374724A1 (en) * 2018-10-19 2021-12-02 Bell Identification B.V. Secure digital wallet processing system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070121618A (ko) * 2007-11-28 2007-12-27 사단법인 금융결제원 결제대행 서버
KR20150123575A (ko) * 2014-04-25 2015-11-04 모지도코화이어코리아 유한회사 생체 정보와 hce를 활용한 가상화폐 서비스 방법 및 이를 적용한 모바일 단말, 서버 및 시스템
KR20160024185A (ko) * 2014-08-25 2016-03-04 아이보 (주) SE(Secure element)를 이용한 암호화폐 관리 시스템 및 그 방법
KR20170087663A (ko) * 2016-01-21 2017-07-31 주식회사 한컴시큐어 클라이언트 단말을 위한 전자서명 대행 수행 장치 및 그 동작 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070121618A (ko) * 2007-11-28 2007-12-27 사단법인 금융결제원 결제대행 서버
KR20150123575A (ko) * 2014-04-25 2015-11-04 모지도코화이어코리아 유한회사 생체 정보와 hce를 활용한 가상화폐 서비스 방법 및 이를 적용한 모바일 단말, 서버 및 시스템
KR20160024185A (ko) * 2014-08-25 2016-03-04 아이보 (주) SE(Secure element)를 이용한 암호화폐 관리 시스템 및 그 방법
KR20170087663A (ko) * 2016-01-21 2017-07-31 주식회사 한컴시큐어 클라이언트 단말을 위한 전자서명 대행 수행 장치 및 그 동작 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210374724A1 (en) * 2018-10-19 2021-12-02 Bell Identification B.V. Secure digital wallet processing system

Also Published As

Publication number Publication date
KR102475434B1 (ko) 2022-12-06

Similar Documents

Publication Publication Date Title
CN108418680B (zh) 一种基于安全多方计算技术的区块链密钥恢复方法、介质
CN112989415B (zh) 一种基于区块链的隐私数据存储与访问控制方法及***
RU2726157C1 (ru) Восстановление зашифрованной информации транзакций в конфиденциальных транзакциях с цепочками блоков
CN107528688B (zh) 一种基于加密委托技术的区块链密钥保管及恢复方法、装置
CN110582793B (zh) 分布式交易共识网络上数字财产交易的匿名性和可追踪性
WO2017024934A1 (zh) 实现电子签章的方法、装置及签章服务器
US11943350B2 (en) Systems and methods for re-using cold storage keys
US20170185998A1 (en) Method and device for protecting access to wallets in which crypto currencies are stored
CA2808369C (en) System for protecting an encrypted information unit
CN111931250B (zh) 多方安全计算一体机
EP3395006A1 (en) Method for managing a trusted identity
KR101985179B1 (ko) 블록체인 기반의 ID as a Service
CN108876593A (zh) 一种在线交易方法和装置
JP2008501176A (ja) プライバシーを保護する情報配布システム
WO2020050390A1 (ja) 権利者端末、利用者端末、権利者プログラム、利用者プログラム、コンテンツ利用システムおよびコンテンツ利用方法
KR101923943B1 (ko) 보안이 강화된 암호화폐 송금 시스템 및 방법
CN108810017A (zh) 业务处理安全验证方法及装置
CN112966022B (zh) 一种数据交易平台的信息查询方法、装置及***
US11405188B2 (en) Method for secure transferring of information through a network between an origin virtual asset service provider and a destination virtual asset service provider
CN108737435A (zh) 一种账户初始化方法和装置
TWI734729B (zh) 實現電子簽章的方法、裝置及簽章伺服器
CN112000978B (zh) 隐私数据的输出方法、数据处理***及存储介质
US20210158444A1 (en) Method and Apparatus for a Blockchain-Agnostic Safe Multi-Signature Digital Asset Management
WO2020076234A1 (en) Apparatus and method for controlling data access
KR102475434B1 (ko) 암호화폐 보안 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant