Digital Identity Management for Privacy Protection 2008. 6. 25 진승헌 (jinsh@etri.re.kr) 디지털 ID 보안연구팀정보보호연구본부
개인정보침해현황 2 KRnet 2008
현황 : 너무나많은관리되지않는 ID 들 리니지명의도용 [ 06.3], 대통령, 국무총리주민번호도용 [ 06.9] 공공기관홈페이지개인정보유출 100 점만점에 44 점 [ 07.12] 인터넷주민번호대체수단 i-pin 본격도입 [ 06.10] 공공사이트주민번호입력안해도된다 (G-PIN)..[ 08.3] 옥션개인정보유출 2 차피해 일파만파 [ 08.4] 민변, 옥션발해킹피문.. 아이핀 대안이될수없다. [ 08.4] 3 KRnet 2008
배경 4 KRnet 2008
개인정보침해현황및사례 인터넷상에주민번호사용 개인정보해킹 ID 도용 주민번호노출 개인정보침해사고현황 인터넷상에서주민등록번호의유출로인한각종사회문제야기 - 06.2월주민번호도용리니지계정대량생산 (1,200 만명 ) - 06.6월대통령, 국무총리주민번호인터넷상노출 - 07.9월 SKT 주민번호등개인정보대량유출 - 08.2월옥션개인정보 ( 주민번호, 아이디, 계좌번호 ) 해킹 (1,081 만명 ) 공공기관홈페이지를통한개인정보유출에대한사회적관심증가 개인정보침해문제점분석 홈페이지가입시과도한개인정보요구및사후관리미흡으로불법유출사례발생 유출된개인정보는명의도용, 보이스피싱등과같은 2 차후속피해로이어질가능성이높음 5 KRnet 2008
문제점및대처방안 인터넷상의주민번호사용의문제점및대처방안 문제점 주민번호가개인의기본정보를포함하고있음 적절한인증수단없이사용되고있음 하나의주민번호로모든온 / 오프라인에서이용하여단일식별성문제있음 한번발급되면문제가생겨도변경하기어려움 중요한단일식별자가널리사용되고있는상황에서광범위하게노출되어있고, 인증수단이없어도용이빈번히발생하는상황 대처방안 인터넷을통하여개인정보가누출되는등기존의개인정보관리방식에대한문제가심각함 개인정보의적절한활용이제약됨으로써이용자의불편이초래되고관련산업이위축될수있음 정보보호와이용활성화는상충관계이기때문에둘다만족시키기위해서는혁신적인접근방법이요구됨 6 KRnet 2008
Digital Identity Management Digital Identity 의생성, 이용, 폐기를위한생명주기관리및인증, 인가, 감사를위한기반구조 *. Digital Identity : 사이버스페이스상에서개인식별을가능하게함으로써개인의안녕과이해관계에영향을미치는정보로서식별자를포함하는속성들로구성됨예 ) identifier, SSN, e-mail address, Bank Account, Credit Card Number, etc 정보인권보호 유해 경제활성화 유익 Architecture Template for IDM 출처 : Burton Group 2006 개인정보유출로인한프라이버시침해 개인정보공유를통한맞춤형서비스 Digital Identity Management 7 KRnet 2008
인터넷상의주민번호대체수단 [i-pin & G-PIN] 참조 : i-pin( 정통부 / 방통위, KISA), G-PIN( 행자부 / 행안부 ) 사업설명회및공청회자료 8 KRnet 2008
i-pin 이란? i-pin (Internet Personal Identification Number) 인터넷상에서본인임을확인하는개인식별번호 이용자 : 자신의본인확인정보를신뢰할수있는기관에제공하고확인받음 본인확인기관 : 이용자가제공한본인확인정보를토대로인터넷웹사이트에본인확인서비스제공 인터넷웹사이트 : 본인확인기관으로부터 i-pin 서비스를제공받아이용자의신뢰할수있는정보를받아웹서비스를제공 웹사이트 이용자 본인확인기관 9 KRnet 2008
i-pin 구성 i-pin(internet-personal Identification Number) 개인정보를포함하고있지않은온라인상에서의개인식별정보 i-pin은이용자의개인정보포함하지않음 i-pin이노출되었을때는언제든지폐기하고재발급가능 13 자리 9 2 1 3 4 6 5 0 3 0 5 6 0 1 2 3 4 5 6 7 8 9 10 11 12 13 2 자리서울신용평가정보 (Siren24아이핀) : 13 본인확인기관식별정보한국전자인증 ( 그린버튼 ) : 14 한국신용정보 ( 나이스아이핀 ) : 15 한국신용평가정보 ( 가상주민번호 ) : 16 한국정보인증 (OnePass) : 17 본인확인기관명 이용자이름 본인확인정보 중복가입정보 이용자성별 이용자나이이용자국적이용자생일 10 54 KRnet 2008
i-pin 서비스 (1/3) i-pin 도입전 / 후비교 [ 노출시변경불가 ] [ 노출시폐기 / 재발급가능 ] 11 KRnet 2008
i-pin 서비스 (2/3) i-pin 발급절차 Website(SP) 1 회원가입신청 User <Verification methods> 2 i-pin 요청 3 i-pin 발급신청 5 사용자정보전송 < 5 TTPs > 4 i-pin 발급절차 - 실명확인 - i-pin 사용에필요한 ID 및 PW 등등록 Trusted Third Parties (IDSP) *. 본인확인기관 : 한국신용평가정보, 한국신용정보, 서울신용평가정보, 한국정보인증, 한국전자인증 12 KRnet 2008
i-pin 서비스 (3/3) i-pin 이용절차 13 KRnet 2008
i-pin 도입및발급현황 도입배경 출처 : 인터넷상개인정보침해방지대책, 방송통신위원회, 08.4.24 08 년 2 월현재, 99 개기관 ( 민간부문 15 개사이트와공공부문 84 개사이트 ) 에도입되었으며전체 114,112 여건 i-pin 발급 i-pin 발급건수 구분 06 년 07 년 08 년비고 사이트수 ( 누적 ) 23 개 85 개 99 개 발급건수 ( 누적 ) 17,193 건 98,791 건 114,112 ㅇ민간부문 :15 개ㅇ공공부문 :84 개 i-pin 도입기관예 14 KRnet 2008
개요 ETRI & 대전광역시공공기관통합 ID 관리시스템 ETRI 에서개발한인터넷 ID 관리서비스시스템인 e-idms 를적용 (2005 ~ 2006 년 ) 시스템구성 서비스및기술 제공서비스 적용표준기술 ID Federation 및 Web SSO 서비스 SAML v2.0 ID 정보제공및 변경알림서비스 SAML v2.0 ID-WSF v2.0 개인정보보호 ( 관리 ) 서비스 ID-WSF v2.0 XACML v1.1 주민번호대체활용서비스 SAMLv2.0 ID-WSF v2.0 15 KRnet 2008
ID Federation (SAMLv2.0) IDP.com 4. 인증확인서전달 ( 연결정보 :hbn93kjfayp8if) SP.com Id : kimcs 이름 : 김철수 주민번호 : 730302-1234567 연결정보 : hbn93kjfayp8if 2.TTP 로 redirect 한뒤 TTP id 인 kimcs 로로그인 Id : cskim 연결정보 : hbn93kjfayp8if 3. 연결정보생성 0. 신원확인후사용자등록 1. 가입 (Local id 등록 ) 5.Cskim 에연결정보저장 ( 연계완료 ) 사용자 16 KRnet 2008
G-PIN 이란? G-PIN (Government Personal Identification Number) 인터넷상에신원확인을위해사용되는주민등록번호를유연한개인식별번호로대체하여본인확인서비스제공 이용자는 G-PIN 선터에본인확인정보를등록하고공공기관홈페이지에서주민등록번호및실명확인없이이용가능 17 KRnet 2008
G-PIN 이용절차 가입자 이용기관홈페이지 1 이용기관회원가입 신규회원가입회원약관 동의함 동의안함 2 G-PIN 본인확인요청 이용기관 ID G-PIN 센터 3 G-PIN 센터로그인 아이디 비밀번호 6 이름, 개인식별번호전달 확인 신규가입아이디찾기 PW 찾기 4 회원가입여부확인 5 개인식별번호생성및저장 18 KRnet 2008
G-PIN 서비스방식의특징 구분 G PIN 기대효과및영향 주제 행정자치부 공인인증서 ( 범용, 제한, GPKI) 안정성확보 (G-PIN 센터만주민등록번호관리 ) 본인확인수단 주민등록시스템확인 읍면동행정기관방문신청 * 신뢰성높은본인확인수단사용 * 주민등록번호대체본인확인서비스 현행화 인증방식 I-PIN 서비스연계 정기적인주민등록정보변경사항현행화 아이디 / 비밀번호 서비스의안정성및신뢰도향상 * 자기정보노출시서비스통제 * 자신의개인정보제공에대한관리 서비스행정 공공부문무료 19 KRnet 2008
G-PIN 연차별확산보급계획 1,500 개기관 행정기관에서운영하는모든인터넷서비스및게시판이용 ( 댓글포함 ) 에필요한본인확인서비스 2008 년 2007 년 연계신청기관 중앙행정기관및자치단체대표홈페이지를대상으로회원가입시본인확인서비스 전체공공기관 전체공공기관및행정기관에서본인확인서비스를할수있도록확대 15,000 개기관 2009 년 2010 년 초ㆍ중ㆍ고등학교등교육기관및전공공기관으로본인확인서비스를할수있도록이용기관및이용계층확대 -20-20 KRnet 2008
G-PIN vs. i-pin 구분 G-PIN 나이스아이핀 가상주민번호 i-pin 사이렌 24 아이핀 OnePass 그린버튼서비스 본인확인기관 행정자치부한국신용정보한국신용평가서울신용평가한국정보인증 이니텍 / 한국전자인증 주민등록확인 대면확인 대면확인 대면확인 공인인증서 공인인증서 신원확인방법 공인인증서 대면확인 i-pin확인 공인인증서 신용카드정보 휴대폰 SMS 공인인증서 신용카드정보 휴대폰 SMS 공인인증서 신용카드정보 휴대폰 SMS 신용카드정보 휴대폰 SMS (SMS 제외 ) 인증방식 ID / PW ID / PW 가상주민번호 ID / PW ID / PW 공인인증서 VID 전자메일주소비밀번호 서비스대상 공공기관 민간기관 21 KRnet 2008
PIN 서비스활성화를위한검토사항 이용자편의성 - 이용자의가입및이용절차가각발급기관마다상이하여이용이불편함 - i-pin & G-PING 의상호연계를통한공공및민간의단일 ID 사용고려필요 - 이용자가본인이어느기관에서발급받았는지기억하기어려움 서비스고도화 - 본인확인은서비스의시작이지끝이아님. 웹사이트가입후에받은 ID/PWD 는어떻게?. 피싱에대한대비는되어있는지?. 이용자가사용하고웹사이트가적용하고싶도록?. 서비스적용성및확장성은고려되었는가?.. 사이트연계, 온라인 & 오프라인연계서비스 홍보및법제화 - 인터넷이용자에대한인지도를높이는것이필요함. 제도적취지및이용절차등에대한이해를높이는것이필요 - 제도도입웹사이트에대한인센티브에대한검토가필요함 - 현재전자상거래시스템은주민번호체계를기본으로하고있어주민번호대체수단의제도적일관성을확보할필요함 *. 공급자중심이아닌수요자 / 서비스중심의검토가필요함 22 KRnet 2008
전자 ID 지갑소개 [PIN 서비스의이용자편의성제고및고도화측면중심으로 ] 23 KRnet 2008
배경 : 사용자는무엇을원하는지? 웹사이트가입시개인정보를매번입력하는것이귀찮아요. 특히, 주민번호를입력하는게걱정되요. 서비스이용시에로그인하는것이번거로운데, 휴대폰으로모바일인터넷을이용할때는더힘든것같아요. PC방과같이공용PC에서 ID/PWD 입력하는게걱정되요. 내가접속하고있는사이트가위장사이트일까걱정되요. 내가어느사이트에가입되어있는지기억하기힘들어요. 이사해서주소가바뀌었는데, 사이트마다변경하기가어려워요. A 사이트에저장된나의정보를 B 사이트에새로생긴서비스로가져가면좋겠는데, 그럴수없어요. 24 KRnet 2008
개념및정의 전자 ID 지갑 : 자신의개인정보와인증정보 (ID/PW, 인증서, ) 를안전하게관리하고있다가언제어디서나자신을인증하고개인정보를자신의통제하에선택하여이용할수있는시스템 연계서비스제공자 A Domain A 전자 ID 지갑시스템 Identity 웹서버S/W 건강관리 프라이버시보호서버 Identity 웹서버 Identity Web Server Link Contract 전자 ID 지갑 전자 ID 지갑클라이언트 S/W 모바일전자 ID 지갑클라이언트 S/W 프라이버시보호서버 S/W Domain 핵심기술 B 사이트가입 범용인증 ID 공유 ID 동기화 연계서비스제공자 B Domain C 기반기술 (SOAP, DSig, PKI, Etc) 25 KRnet 2008
전자 ID 지갑서비스 사이트가입서비스 피싱사이트확인 본인확인및인증서비스및인증 주민번호대체본인확인 클릭만으로사이트가입 다양한인증수단연동 가입된사이트목록관리 원클릭! 모바일인증 신용 포인트카드사용및조회 사이트간안전한정보공유 웹연동홈장치에서의인증 변경된개인정보자동동기화 사이버세계와의 ID 연계 그외응용서비스외 개인정보보호형맞춤형서비스 (Personalized Mesh-up Service) 공유및동기화서비스 26 KRnet 2008
전자 ID 지갑기반의인증연동기술 27 KRnet 2008
질의및응답 28 KRnet 2008