인터넷서비스에서의 ID 관리기술동향 [ 인증기술을中心으로 ] 2009. 10. 26 진승헌 (jinsh@etri.re.kr) 인증기술연구팀지식정보보안연구부 1 Proprietary
목차 1. 들어가면서 2. 기술개요 3. 기술동향및주요이슈들 4. 기술개발사례소개 5. 질의및응답 소개 ( 전자ID 지갑 ) 2 Proprietary
들어가면서 3 Proprietary
현황 관리되지않은많은 ID 들과신원도용피해증가 대통령, 국무총리주민번호도용 [ 06.9] 공공기관홈페이지개인정보유출 100점만점에 44점 [ 07.12] 인터넷주민번호대체수단 i-pin 본격도입 [ 06.10][ 공공사이트주민번호입력안해도된다 (G-PIN)..[ 08.3] 옥션개인정보유출 2차피해 일파만파 [ 08.4] 4 Proprietary
보도자료를통해서본 ID 관련이슈들 EU, 인터넷 ` 표적광고 ` 감시착수입력 : 2009-03-30 14:01 유럽연합 (EU) 이온라인광고업체들의소비자프로파일링 ( 효과적광고를위해구매자대상집단에대한정보를수집하는것 ) 에대한조사에착수할예정이라고영국일간파이낸셜타임스 (FT) 가 30 일보도했다. 이는최근인터넷광고업체들이 " 투명성, 관리, 위험성등의측면에서의기본적인인권 " 을침해하고있다는 EU 고위관계자들의목소리가커지는가운데나온것이다. EU 관계자들은소비자들과관련업계로부터상업적인인터넷업체들의정보수집과수집된정보가어떻게사용되는지등에대한증거를확보하는비공식협의체를발족시킬것이라고전했다. EU 관계자들은소비자들의사이트방문기록을열람할수있도록돕는쿠키의사용을제한된이후에도소비자들의사이트방문이력을추적할수있게끔하는자세한패킷조사 (DPI) 의사용증가에대해특히우려하고있다. 메글레나쿠네바 EU 소비자보호담당집행위원은이번주한연설을통해소비자들이상업적사이트에접근하기위해동의해야하는 ` 약관 ` 이개인정보보호기준을침해하는경우가많다고주장할예정이다. 그는 " 소비자들은서비스이용대가로자신들의개인정보를제공하고광고에노출되는것 " 이라며 " 이는새로운상업적거래에해당한다 " 고주장한다. EU 관계자들은사이트이용자들이자신들에대해어떤정보들이수집되고있는지와이런정보가어떻게사용되는지를모르는경우가많고설령이런영향에서벗어나려해도사실상불가능하다며문제를제기했다. [ 저작권자 c 연합뉴스무단전재 - 재배포금지 ] " 경제위기속 CRM 은중요생존도구 " 황주현 = 의미있는고객정보를확보하는것이현실적으로쉽지않다. 건강과관련된정보를국민건강보험공단과공유하는것은프라이버시문제때문에안되고있다. 문제는불순한가입자때문에다수의선량한가입자가불필요한부담을지는문제를해결해야한다. 불순한가입자 1 명이선량한가입자 300 명에게피해를입힌다고한다. 세상이더스마트하고인텔리전트해지기위해서는최소한의정보공유가필요하다고본다. 건강정보는어렵더라도주소정보는가능하지않을까라는생각을갖고있다. 윤문석 = 고객데이터를모두클린징해야하는데, 돈이너무많이들어어렵다. 예전에만난한그룹사회장은한국전력이민영화되면꼭사고싶다고말했다. 한전의전력사업도탐이나지만한전이전국민의정확한정보를갖고있기때문이라는것이다. 데이터를클린징하는데막대한비용이든다. 개인프라이버시가중요하지만, 프라이버시를보호하는것과데이터를악용하는것은다른차원이다. 잘못사용하는것때문에아예활용할수있는길을막아놓는것은문제가있다고본다. 이영수 = 프라이버시문제는민감한부분이어서반감을살수있다는점이문제이다. 각기업이정보를획득할수있는고유의프로세스가있기때문에이를잘활용해서자체적으로풀어가는것이좋다고본다. 사회 = 마지막으로 CRM 을활성화하기위한방안을말해달라. 김찬성상근부회장 =CRM 은비즈니스솔루션이다. 불황에는고객과의관계를어떻게할것이냐를많이생각해야한다. 한국 CRM 협의회가 CRM 의성공사례를널리전파하기위해노력할것이다. 업계선두에있는기업들도성공사례를공유할수있도록배려하는것이필요하다고본다. 정보유통과관련해서는정보를악용했을경우에대한처벌을강화하고선량한목적으로사용할수있는길을열어줘사회적비용줄일수있는방안을건의할필요가있다고본다. [ 디지털타임즈 2009.3.18] 5 Proprietary
개인정보보호딜레마 정보인권보호 경제활성화 개인정보유출로인한프라이버시침해 유해 유익 개인정보공유를통한맞춤형서비스 Digital Identity Management 고객정보보호를위한법적규제가강화되면서국내 CRM 의발전이저해되었을뿐아니라오히려고객정보에대한暗시장형성과무차별스팸발송등의문제를발생하고있음 - 외부고객정보를활용하고자하는기업들의욕구는높은반면, 강력한정보유통이차단되면서불법적인정보유통및무차별스팸만범람. 국내오배송우편물로인한연간손실액 1 조원이상으로추정 고객의프라이버시강화 와 기업의 CRM 활동효율화 를동시에만족시킬수있는방법을모색 출처 : 한국기업의 CRM 성공전략, 삼성경제연구소, 2008 6 Proprietary
국가정보화추진전략과 ID 관리 정보가흐르되, 관리되어서흐르도록하는것이필요함 출처 : 국가정보화기본계획, 2008.12 정보화추진위원회 7 Proprietary
미국정부의 IT 우선과제 Source : Information Week Analytics Government IT Priorities Survey of 309 government technology professionals(2009.4) 오바마정부의안전한사이버공간을위한정책 (Cyberspace Policy Review, 2009.5) 에서 인증과 ID 관리의강화없이는사이버보안강화가어렵다 라고 ID 관리체계수립의필요성을언급함 8 Proprietary
기술개요 9 Proprietary
Identity 개념 Identity 엔터티 (Entity) 가묘사되거나인지되거나또는알게되는속성들 (ITU-T) 특정한콘텍스트내에서객체를유일하게식별할수있는속성값들의전체리스트 (ISO/IEC) 누군가를특정할수있는주장 (Claims) 들의집합 (Microsoft) 개인정보 란생존하는개인에관한정보로서성명 주민등록번호등에의하여특정한개인을알아볼수있는부호 문자 음성 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 )[ 정보통신망이용촉진및정보보호등에관한법률제2조 ] Identities consists of an ensemble of four possible identity elements with a binding to an Entity (or Entities), instantiated or asserted at some specific time Entity identity 출처 : ITU-T Report on the Definition of the Term Identity 2008 10 Proprietary
Identity Management 개념 Identity Management Identity 의생성, 이용, 폐기를위한생명주기관리및인증, 인가, 감사를위한기반구조 Intelligence = audit + analytics Architecture Template for IDM 출처 : Burton Group 2006 Technology-Focused Core Topics 출처 : Gartner, March 2009 11 Proprietary
IdM(Identity Management) 의목적 인터넷서비스증가에따른개인보유 ID 수의증가 : 이용불편개선 조직내 ID 관리요구증가및비즈니스관계다변화 : 효율 & 생산성증대 개인정보보호관련법 / 제도강화 : 법률준수 개인정보기반의맞춤형서비스요구증가 : 신규 IT 서비스창출및개인정보보호증대 Users Identity Bridges Network Operators Application Providers Government 출처 : ITU-T An Emerging Global Convergence on Identity Management, 2008 출처 : Business Drivers for and Benefits of IAM, Gartner 2007 12 Proprietary
기술동향및주요이슈들 13 Proprietary
환경변화와 Identity Management 전망 Presence (Inference from video cameras, RFID sensors, etc.) Lev vel of Interaction Proximity (Badge, Key, 2 nd Device) Username/ Password Silo Individual SSO Single user-centric id paired with many servicecentric ids Explicit Biometrics (Fingerprint) Public Key Infrastructure 전자상거래기반.Net Passport Connected 통합 ID 관리시스템 통합사용자인증기반 Federated Id Identity as a set of attributes Sharing of servicecentric ids SAML OpenID Implicit Biometrics (Key strokes, voice, face) 전자 ID 지갑 Inside 스마트지갑 u-it 환경에서의온오프라인연계형 ID 관리기반 Infocards User-centric Microsoft Cardspace Source : OASIS 자료편집 온라인본인확인기반 Higgins Attribute Mgmt Fine-grained and gradual release of attributes i-pin Transparent user-centric and servicecentric ids 2009 년현재 주민번호유출근절 정부가나섰다... 특히온라인주민번호대체수단인아이핀과흡사한식별체계를오프라인으로확대하는방안도연구할예정이어서가시적인성과가나오면현행주민등록체계의일대변화도예상.. [ 전자신문 2009.5.6] Time 14 Proprietary
IAM(Identity & Access Management) 기술구성 15 Proprietary
Hype Cycle for IAM 16 Proprietary
Identity Management 관련주요이슈 인증강화기술 Mutual Authentication OTP(H/W, S/W) Mutual-factor Authentication Risk-based Authentication 온 / 오프라인연계기술 On/Off line ID Proofing CAC(Common Access Control) Mobile Identity Management 개인화서비스를위한프라이버시보호기술 관련법강화 동태적개인정보보호 VRM 17 Proprietary
본인신원상관성다양한인증수단들 PassPhrase PIN ID/PW 보안카드 PKI Certificate OTP 생체인증 전자서명 스마트카드 ID/PW 사용자편의성성Smart Card Bio-metrics 18 Proprietary
패스워드의종말 Password 종말선언 (RSA 2006 빌게이츠 ) Password 관리문제로인하여부가적인장치에대한관심증가 출처 : RSA Conference 2008 19 Proprietary
다중인증 (Multi-factor Authentication) Authentication Factors: Something You 출처 : ITAA IdentEvent 2008 Know Have Are Do Text PIN IP Address Scratch-off / Bingo Card Fingerprint Keystroke Dynamics Visual PIN Browser Type Phone / PDA w/otp Text Password Cookie OTP Token Hand Geometry Face Recognition Life Questions Certificate USB Device Iris Scan Voice Print Access Pattern Authentication Tiers: Likely combinations of factors Low end to high Toolbar / Agent Proximity / Smart Card Retina Scan #1: Enhanced Password Password + Risk-Based Authen Reader w/credential vault #2: Soft Token + Password #4: Hard Token + PIN Certs, password vault, etc. #3: Soft Token + Biometric OTP devices, smart cards, etc. #5: Hard Token + Biometric Physical / logical access 20 Proprietary
Risk-Based Authentication Balancing security with usability Authentication is No Longer a Binary Decision 출처 : ITAA IdentEvent 2008 21 Proprietary
Mobile Identity Management 1. 한곳에모으면좋은점만있을까? 2. 잘모으려면어떻게해야할까? 신용카드 출입증 OTP 3. 모아놓기만하면될까? Mobile CASH 도코모의신전략 My Life, Assist Service 공기를읽을수있는휴대전화 멤버쉽카드 -유저의속성과현재의상태, 과거의행동패턴, 구매이력등에기초한유저의심리상태와이후의행동을종합적으로분석, 추측을통해사용자에게맞춤형광고를제공함 : Life Log를수익의축으로 [ 출처 : Outline of the Information Grand Voyage Project, 2008.3] 쿠폰 열쇠 ID/PWD 헬스정보 휴대폰이당신의미래지갑 이며 5년내미국인의필수소지품인휴대폰, 지갑, 열쇠를모바일지갑하나로통합하게될것이다. [CNN, 2009.6.16] 공인인증서 위치정보 구매정보친구정보 22 Proprietary
VRM(Vendor Relationship Management) CRM 도사용자중심으로 2005 : DIDW 에서 Drummond Reed 가 CoRM(Company RM) 제안 2007 : Harvard 대학 (The Berkman Center for Internet and Society) 에서 Project VRM 발족 Company A Company A Company B Company C Company B Company C 23 Proprietary
기술개발사례소개 [ 전자 ID 지갑 ] 24 Proprietary
배경 : 사용자는무엇을원하는지? 웹사이트가입시개인정보를매번입력하는것이귀찮아요. 특히, 주민번호를입력하는게걱정되요. 서비스이용시에로그인하는것이번거로운데, 휴대폰으로모바일인터넷을이용할때는더힘든것같아요. PC방과같이공용PC에서 ID/PWD 입력하는게걱정되요. 내가접속하고있는사이트가위장사이트일까걱정되요. 내가어느사이트에가입되어있는지기억하기힘들어요. 이사해서주소가바뀌었는데, 사이트마다변경하기가어려워요. A 사이트에저장된나의정보를 B 사이트에새로생긴서비스로가져가면좋겠는데, 그럴수없어요. 25 Proprietary
전자 ID 지갑개념및이점 전자 ID 지갑이란? 일상생황에서신용카드, 신분증등을넣고다니는 지갑 처럼, 디지털시대에각종전자인증정보및개인정보를언제어디서나저장, 이용할수있는사이버상의 디지털지갑 임 전자 ID 지갑으로여는안전한인터넷 전자 ID 지갑의이점은? 클릭만으로안전한로그인및인증정보, 개인정보, 지불정보등을손쉽게관리 사용자 DB 해킹, 피싱, 파밍등의공격으로부터 ID 도용및개인정보유출방지 사용자의정보를웹사이트간에안전하게공유함으로써개인화된맞춤형매쉬업서비스가능 공동연구 : ETRI, Microsoft, KISA [ 그림출처 : 디지털타임즈 ] 26 Proprietary
전자 ID 지갑이점 편리성향상 내아이디 / 비밀번호가뭐였더라? 가입시마다매번똑같은신상정보를입력해야하나? 변경된주소를쉽게갱신할수있는방법은없을까? 본인확인절차를간편하게할수있는방법은없나? - 클릭만으로안전하게 * 사이트로그인 * 신상정보제출및자동갱신 * 본인확인수행 27 Proprietary
전자 ID 지갑이점 피싱, 파밍피해방지 국내법원사칭한피싱사이트등장 보이스피싱등 2 차피해속출 악성소프트웨어공격증가 KISA "9 월스팸 피싱으로인한피해급증 " - 접근사이트인증 - 암호화된신상정보제공 - 핸드폰을통한강화인증 28 Proprietary
전자 ID 지갑이점 부가서비스제공 전자지불 - 사용자의카드정보입력불편 - 너무많은 ActiveX 설치문제 042-860-XXXX 042-860-XXXX 042-860-XXXX 042-860-XXXX 042-860-XXXX 개인정보공유 - 관리되지않는개인정보 - 신상정보갱신의불편 - 서비스간연계어려움 - 안전한지불서비스 - 새로운개인정보공유서비스 29 Proprietary
질의및응답 30 Proprietary