유비쿼터스 컴퓨팅 보안 (Ubiquitous Computing Security) 유비쿼터스

유비쿼터스유비쿼터스 컴퓨팅컴퓨팅 보안보안(Ubiquitous Computing Security)(Ubiquitous Computing Security)

유비쿼터스유비쿼터스 컴퓨팅컴퓨팅 보안보안(Ubiquitous Computing Security)(Ubiquitous Computing Security)

2011

박 종 혁[email protected]

02-970-6702

© 유비쿼터스 컴퓨팅 비전의 태동:

Mark Weiser(1952-1999)가 주창

▶ XEROX - Palo Alto Research Center

: “쉬운 컴퓨터 연구”에서 Ubiquitous

Computing 용어를 착상(1988년)

아마추어 연주자들은 음악을 연주하는 동안 악보와 악기의 포로가 된다. 반면, 프로 연주자들은 단지 음악의 완성도에만 몰두한다.최상의 도구란 사용자로 하여금 그 도구를 이용하고 있음을 자각하지 못하고수행하는 일에 집중하게 하여 업무의 생산성을 높인다.

▶ 수많은 컴퓨터가 결코 사용자를 귀찮게 하거나

불편하지 않게, 조용히 자신을 이용해 주기를 기다

리는 이상적인 컴퓨팅 환경을 ‘Ubiquitous

Computing’으로 상정

▶ Invisible computer + Calm & Silent technology(21세기 컴퓨터의 기본방향이자 사상)

8/268/26

유비쿼터스유비쿼터스 IT IT 혁명혁명유비쿼터스유비쿼터스 IT IT 혁명혁명

© 유비퀴터스 컴퓨팅 이미지: Mark Weiser 의 만화

Virtual Reality

(현실공간을 가상공간에 심기)

Embodied Reality(ubiquitous computing)

(가상공간을 현실공간에 심기)

Real Environment

Virtual Environment

9/269/26


RealReal WorldWorld CyberCyber WorldWorld

헌 법 상법 민 법 형 법

도시계획법 건축법

도로

에너지

상하수

통신

법률제도

기본인프라

공공인프라

산업인프라

문화환경

경찰관공서

은행 학교택지

공단부지

판매법인물류센터

연구소대기업공장

중소기업무역업체

백화점

아파트

스포츠레져극장

종교

병원 음식점

국제법 전자망법 지적재산권법

전자거래기본법 전자서명법

예약Agent

전자지불

보 안

전자인증

초고속통신망

가상교육전자정부

사이버 S1

가상은행

영업NW전자조달연구NW

가상기업생산NW

공급NW

사이버쇼핑

네티즌

사이버파크 엔터테인먼트사이버선교

원격진료

사이버보험

전자중계

B-to-C

B-to-B

B-to-G

기초 인프라

사회규범

시민 InternetInternet

11/2611/26


© 컴퓨터 진화의 3단계 물결을 타고 컴퓨터는 진화‧발전하고 있다

<메인프레임의 시대> <PC의 시대> <유비쿼터스 사회>

제2의 물결제2의 물결 제3의 물결제3의 물결제1의 물결제1의 물결

컴퓨터 > 인간 컴퓨터 = 인간 컴퓨터 < 인간

거대하고 고가인 컴퓨터한대를 복수의 사람들이공동으로 사용했다.

PC가 보급돼 1인 1대씩컴퓨터를 사용할 수 있게됐다.

여러 장소에 숨어 있는 컴퓨터를사람들이 컴퓨터를 사용하고 있다는

자각이 없는 상태로 이용한다.

화분자판기

디지털TV

침대

커튼

화장실

건물

10/2610/26


© 차세대 IT Paradigm

유비쿼터스네트워크

사회

IPv6

(광섬유)

게임기, 휴대전화, PDA

정보가전, 센서, RFID 등

100억대/연

PC + 인터넷

PC + 전용선

메인

프레임

IPv4

(CATV, ISDN 등)

1960년

1985년

1995년

수억대 / 연

1억대 / 연

1만대 / 연

중간점(향후)

* 자료 : 노무라 총합연구소

12/2612/26


© 유비쿼터스를 실현하는 기본구도는 크게 두가지 이다

어디에든 컴퓨터를 설치해 둔다= 임베디드형 유비쿼터스

어디에든 컴퓨터를 설치해 둔다= 임베디드형 유비쿼터스

어디에서든 컴퓨터를 가지고 다닌다= 휴대‧착용형의 유비쿼터스

어디에서든 컴퓨터를 가지고 다닌다= 휴대‧착용형의 유비쿼터스

정보가전

터널

의자 다리

굴뚝

자판기건물건물

컴퓨터컴퓨터

컴퓨터

컴퓨터 컴퓨터

컴퓨터 컴퓨터

13/2613/26


© 유비쿼터스 시대는 컴퓨터가 “도구”에서 “환경”이 된다

컴퓨터 = 도구

컴퓨터

컴퓨터

컴퓨터

컴퓨터

컴퓨터

XXX

u-의복

u-뱃지

u-목걸이

u-신발

14/2614/26


˜ 단 한마디로 표현하면:

Computing access will be everywhere.

˜ Ubiquitous computing의 기본개념

— 컴퓨팅 객체가 실생활 공간의 사물과 환경 속으로 스며들어 상호 연결되어

인간‧사물‧정보간의 자율적 컴퓨팅 환경이 제공되는 것

※ Physical World(Everyday Life) + People + Information + Computer

(Small computing chip + Sensor + Network + Wireless +

Mobile + Short Range RF Interface>)

˜ Ubiquitous computing 개념의 확장

— 차세대 IT 혁명으로서의 사회‧경제적 변혁의 총체

¢ 결론적으로결론적으로, , 유비쿼터스유비쿼터스 컴퓨팅은컴퓨팅은....

16/2616/26


유비쿼터스 환경에서의 정보보호 필요성

유비쿼터스유비쿼터스 컴퓨팅컴퓨팅 환경환경 내내 정보정보 보호보호유비쿼터스유비쿼터스 컴퓨팅컴퓨팅 환경환경 내내 정보정보 보호보호

유비쿼터스유비쿼터스 컴퓨팅컴퓨팅 환경환경 내내 정보정보 보호보호--예예1)1)유비쿼터스유비쿼터스 컴퓨팅컴퓨팅 환경환경 내내 정보정보 보호보호--예예1)1)

유비쿼터스유비쿼터스 컴퓨팅컴퓨팅 환경환경 내내 정보정보 보호보호--예예2)2)유비쿼터스유비쿼터스 컴퓨팅컴퓨팅 환경환경 내내 정보정보 보호보호--예예2)2)

유비쿼터스유비쿼터스 컴퓨팅컴퓨팅 환경환경 내내 정보정보 보호보호 메커니즘메커니즘유비쿼터스유비쿼터스 컴퓨팅컴퓨팅 환경환경 내내 정보정보 보호보호 메커니즘메커니즘

r 인증¦비밀성

¦무결성

¦가용성

¦권한관리

¦무선망 환경에서의 안전한 핸드오프

§ 유비쿼터스 컴퓨팅 환경에서 무선 공중망을 이용하여 서비스를 제공할 경우 안전한 핸드오프 기술이 고려되어야 한다. 안전한 핸드오프는 사용자인증, 키관리 정책, 암호화 알고리즘 협상을 고려하여 구현

개인정보개인정보 보호보호개인정보개인정보 보호보호

개인정보개인정보 보호보호 개념개념개인정보개인정보 보호보호 개념개념

rr 개인정보개인정보¦¦ 생존하는생존하는 개인에개인에 관한관한 정보로서정보로서 성명성명··주민등록번호주민등록번호 등에등에 의하여의하여 당해당해

개인을개인을 알아볼알아볼 수수 있는있는 부호부호··문자문자··음성음성··음향음향 및및 영상영상 등의등의 정보정보

¦¦당해당해 정보만으로는정보만으로는 특정특정 개인을개인을 알아볼알아볼 수수 없는없는 경우에도경우에도 다른다른 정보와정보와용이하게용이하게 결합하여결합하여 알아볼알아볼 수수 있는있는 것을것을 포함포함

¦¦본인의본인의 의사에의사에 반하거나반하거나 본인이본인이 알지알지 못하는못하는 상태에서상태에서 이용될이용될경우경우 정보주체정보주체 ((혹은혹은 당사자당사자))의의 안녕과안녕과 이해관계에이해관계에 영향을영향을 미칠미칠 수수있는있는 모든모든 정보정보


유형 구분 개인정보의 종류

일반 정보 이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 성별

가족 정보 가족구성원들의 이름, 출생지, 생년월일, 직업, 전화번호

교육 정보 학적사항, 기술자격증 및 전문면허, 상벌사항

병역 정보 군번 및 계급, 제대유형, 주특기, 근무부대

부동산 정보 소유주택, 토지, 자동차, 기타소유차량, 상점 및 건물 등

동산 정보 보유현금, 저축현황, 현금카드, 주식, 채권, 예술품, 보석

소득 정보 현재 봉급, 봉급경력, 보너스 및 수수료, 이자소득, 사업소득

기타수익 정보 보험(건강, 생명 등), 가입현황, 회사의 판공비, 퇴직프로그램

신용 정보 대부잔액 및 지불상황, 저당, 신용카드, 압류 통보 기록

법적 정보 전과기록, 자동차교통위반기록, 구속기록, 이혼기록, 납세

의료 정보 가족병력기록, 과거의료기록, 정신질환기록, 각종 의료정보

신체 정보 지문, 홍채, DNA, 신장, 가슴둘레 등


구분 2003년 2004년 1월～6월

피해구제신청 845 767

• ‘03년 및 ’04년 개인정보 민원 접수현황

구분

1월

2월

3월

4월

5월

6월

7월

8월

9월

10월

11월

12월

계

‘03년

100

57 93 35 32 37 70 60 46 89 46180

845

‘04년

116

163

190

114

67117

767

• 월별 개인정보 피해구제신청 접수현황


유 형‘03년 ‘04년 1～6월

건수 비율(%) 건수 비율(%)

이용자의 동의없는 개인정보 수집 19 2.3 16 2.1

개인정보 수집시 고지 또는 명시 의무 불이행 2 0.2 1 0.1

과도한 개인정보 수집 2 0.3

고지․명시한 범위를 초과한 목적외 이용 또는 제3자 제공 39 4.6 73 9.5

개인정보 취급자에 의한 훼손․침해 또는 누설 28 3.4 45 5.9

개인정보 처리 위탁시 고지의무 불이행 2 0.2

영업의 양수 등의 통지의무 불이행

개인정보관리책임자 미지정 1 0.1

개인정보보호 기술적․관리적 조치 미비 12 1.4 10 1.3

수집 또는 제공받은 목적 달성 후 개인정보 미파기 81 9.6 2 0.3

동의철회․열람 또는 정정 요구 등 불응 52 6.2 52 6.8

동의철회, 열람․정정을 수집방법보다 쉽게 해야할 조치미이행

1 0.1 1 0.1

법정대리인의 동의없는 아동의 개인정보 수집 561 66.4 348 45.3

영리목적의 광고성 정보전송 9 1.2

타인 정보의 훼손․침해․도용 39 4.6 142 18.5

기타 8 0.9 66 8.6

합 계 845 100 767 100

개인정보개인정보 표준화표준화 동향동향개인정보개인정보 표준화표준화 동향동향

rr OECD OECD 개인정보보호개인정보보호 88대대 원칙원칙¦¦ OECD(Organization for Economic Co-operation and Development)

에서 제시하는 “프라이버시 보호 및 국제적 유통에 관한 가이드라인(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)” 부분

¦OECD 기준은 주로 정보주체의 동의 절차에 대한 명시가 중요한 내용으로 포함되어 있다. 즉 개인정보에 대한 관리가 정보주체의 동의절차와수집경로 그리고 이용목적에 대한 고지가 어떻게 이루어지는 지에 대하여 명시

¦이에 대한 기준으로는 아래와 같은 8가지(수집 제한, 정확성 확보, 목적명시, 이용제한, 안전성, 공개, 개인참여, 책임) 원칙이 중요시

개인정보개인정보 표준화표준화 동향동향개인정보개인정보 표준화표준화 동향동향원칙 내용

수 집 제 한 의원칙

개인데이터의 수집에는 제한을 두어야 한다. 어떠한 개인 데이터도 합법적이고 공정한 절차에 의하고 가능한 경우에는 데이터주체에게 알리거나 동의를 얻은 연후에 수집하여야 한다.

정확성확보의 원칙

개인데이터는 그 이용목적에 부합되는 것이어야 하며 이용 목적에 필요한 범위 안에서 정확하고 완전하며 최신의 것 이어야 한다.

목적명시의원칙

개인정보는 수집 시 그 수집목적이 명확히 제시되어야 하며, 그 후의 이용은 수집목적의 실현 또는 수집목적과 양립되어야 하고 목적이 변경될 때마다 명확화 될 수 있는 것으로 제한되어야 한다.

이용제한의원칙

개인정보는 목적명확화의 원칙에 의하여 확인된 목적 이외의 다른 목적을 위해 개시, 이용,그 밖의 사용에 제공되어서는 안 된다. 다만 정보주체의 동의가 있거나 법률의 규정에 의한경우에는 예외로 한다.

안 전 성 확 보의 원칙

개인데이터는 그 분실 또는 불법적인 액세스, 파괴, 사용,수정, 개시 등의 위험에 대하여 합리적인 안전조치를 함으로써 보호하여야 한다.

공개의원칙

개인데이터와 관련된 개발, 실시, 정책에 대하여는 일반적 인 공개정책을 취하여야 한다. 개인데이터의 존재, 성질 및 그 주요 이용 목적과 함께 데이터관리자의 식별, 주소를 명확하게하기 위한 수단은 용이하게 이용할 수 있어야 한다.

개인 참여의원칙

개인은 자기에 관한 정보의 소재를 확인할 권리를 가지며, 필요한 경우에는 자신에 관한 정보를 합리적인 기간 내에 합리적인 비용과 방법에 의해 알기 쉬운 형태로 통지 받을 권리를갖는다. 이러한 권리가 거부된 경우에 개인은 그 이유를 구하고 거부에 대하여 이의를 제기하거나 데이터의 폐기, 정정 및 보완을 청구할 권리를 갖는다.

책임의 원칙 데이터관리자는 위의 제 원칙을 실시하기 위한 조치에 따를 책임이 있다.

개인정보개인정보 보호보호 기술기술개인정보개인정보 보호보호 기술기술



rr P3P란?¦P3P는 W3C(the World Wide Web Consortium)에서 개발한

프라이버시보호 표준기술플랫폼으로써 웹사이트에서 이루어지는 데이터 처리에 관한 일련의 산업 표준을 제시

¦구체적인 목표는 웹 브라우저나 다른 사용자 도구로 하여금 자동적으로해당 웹사이트의 프라이버시에 관한 정보를 읽고 사용자가 이미 설정해놓은 정보공개 수준과 비교하여 정보를 선별적으로 제공

P3P P3P 구성도구성도P3P P3P 구성도구성도

해외해외 개인정보개인정보 관련관련 연구연구 개발개발 및및 동향동향해외해외 개인정보개인정보 관련관련 연구연구 개발개발 및및 동향동향

rPISA¦ 2001년에 시작된 PISA(Privacy Incorporated Software Agent)

프로젝트는 네트워크 환경에서 개인정보 유출 없이 사용자를 대신하여복잡한 업무를 수행하는 지능형 소프트웨어 에이전트 모델을 구축하는프로젝트

¦즉, 사이버 공간에서 찾고자 하는 데이터의 정확한 수집을 사용자 대신에 지능적으로 수행할 수 있는 에이전트인 지능형 소프트웨어 에이전트(Intelligent Software Agent: ISA)를 개발하는 것

PISA 모델PISA 모델

해외해외 개인정보개인정보 관련관련 연구연구 개발개발 및및 동향동향해외해외 개인정보개인정보 관련관련 연구연구 개발개발 및및 동향동향

rNTTCom¦비밀정보 보관 서비스는 비밀정보 분산 기술에 의해 비밀성을 유지함으

로써안전한 개인 비밀정보의 저장이 가능

¦암호화, 전자서명의 약점을 극복하고 안전하게 장기간의 보관을 낮은비용으로 구현

¦ 주요 기능

§ 오퍼레이터도 내용을 모르는 은닉 저장으로 정보 누설을 방지

§ 장기간에 걸쳐 데이터의 원본성(무결성)을 확보하여 안전하게 저장

§ 데이터를 분산 보관함으로써 재난에 대한 복구 가능

§ 모든 접근이력을 감사 증적으로서 기록하고 있어 일련의 처리의 정당성을장기간에 걸쳐 검증 및 설명이 가능

§ 분산된 개인정보 3개의 데이터 가운데 2개를 결합하지 않으면 원래의 정보의 복원은 불가능.

NTTCom NTTCom 시스템시스템 구성도구성도NTTCom NTTCom 시스템시스템 구성도구성도

Radio Frequency IDentificationRadio Frequency IDentificationRadio Frequency IDentificationRadio Frequency IDentification

RFID RFID 시스템시스템 구성구성RFID RFID 시스템시스템 구성구성

rr RFID (Radio Frequency Identification) RFID (Radio Frequency Identification) ¦¦ ''무선무선 주파수주파수 인증인증''을을 의미의미

¦¦상업적으로상업적으로 상품을상품을 관리하는관리하는 기존의기존의 바코드시스템을바코드시스템을 대체하기대체하기 위해위해RFIDRFID기술이기술이 발전발전


rr ①①A transponder (A transponder (전자추적표전자추적표) )

rr ②②An antenna or coilAn antenna or coil

rr ③③A transceiver (with decoder)A transceiver (with decoder)

rr RFID RFID 시스템시스템 동작동작 과정과정¦¦ ①사물에①사물에 부착된부착된 ''전자추적표전자추적표''의의 정보를정보를 ②안테나를②안테나를 통하여통하여 정보를정보를 담은담은 전파를전파를 보내고보내고 ③컴③컴

퓨터로퓨터로 해석되어해석되어 정보가정보가 분석분석․․집적되는집적되는 것것

¦¦ ③특정③특정 전파를전파를 쏘면쏘면 ①태그는①태그는 ②② 자신의자신의 정보를정보를 담고담고 있는있는 전파전파 신호를신호를 방출하고방출하고 ③그③그 신호를신호를재수신하여재수신하여 분석하는분석하는 것것


rRFID Tag¦데이터를 저장하기 위한 하나의 마이크로 칩과 RF 통신으로 데이터를

전달하기 위한 coiled antenna와 같은 하나의 coupling element로 구성

¦태그에 있는 메모리는 read-only, write-once, read-many, fully rewritable일 수 있음

¦전력에 따른 분류

¦칩의 유무에 따른 분류

¦RFID 태그 식별 프로토콜


rRFID 리더¦전자태그에 호스트 컴퓨터에 연결된 리더가 신호를 전송

¦패스브 시스템에서 RFID 리더는 태그를 활성화 시키고 칩에 전력을 주는 에너지 필드를 전송하고 데이터를 전달하고 저장할 수 있게 함

§ 액티브 태그는 비콘(beacon)처럼 데이터가 분배되어 있는 다양한 리더들이캡쳐할 수 있도록 주기적으로 신호를 전송

¦리더는 휴대 가능한 터미널(portable handheld terminal)일 수 있으며요금징수소(toll booth)와 같은 입구에 설치 된 고정 디바이스가 있음

¦리더는 신호를 보내고 받기 위한 안테나가 있으며, 데이터를 디코드하기 위한 전송 장치부(transceiver)와 연산 장치부(processor)로 구성

불법 복제불법 복제

RFID RFID 보안보안 및및 프라이버시프라이버시 위험위험 요인요인RFID RFID 보안보안 및및 프라이버시프라이버시 위험위험 요인요인

태그리더 태그태그정보

도청자


rr 정보누출

r 개인 신원 확인과 위치 추적

구분구분 설명설명

숨겨진숨겨진 태그태그 장소장소

RFIDRFID 태그들이태그들이 소유주인소유주인 개인들이개인들이 알지알지 못한못한 상황에서상황에서 사물들과사물들과 문서에문서에 내장되어질내장되어질 수수있음있음-- 무선전파는무선전파는 섬유섬유,, 플라스틱플라스틱,, 다른다른 물질들을물질들을 쉽게쉽게 조용하게조용하게 통과할통과할 수수 있기있기 때문에때문에 지갑지갑,,쇼핑쇼핑 백백,, 옷가방옷가방 등에등에 들어있는들어있는 사물사물 또는또는 옷에옷에 부착된부착된 RFIDRFID 태그들을태그들을 읽을읽을 수수 있음있음

전세계전세계 모든모든 사물들을사물들을위한위한 유일한유일한 식별자식별자

전자제품코드전자제품코드(EPC)(EPC)는는 지구상에지구상에 있는있는 모든모든 사물에사물에 유일한유일한 IDID를를 가지게가지게 할할 수수 있음있음-- 유일한유일한 IDID 번호의번호의 사용으로사용으로 개별개별 물리적인물리적인 사물이사물이 판매판매 또는또는 이전이전 시점에서시점에서 신원이신원이확인되고확인되고 구매자구매자 또는또는 소유자와소유자와 연결될연결될 수수 있는있는 전세계적인전세계적인 사물사물 등록등록 시스템의시스템의 창조가창조가가능가능

대규모대규모데이터데이터 통합통합

RFIDRFID 배치는배치는 유일한유일한 태그태그 데이터를데이터를 포함하고포함하고 있는있는 대량대량 데이터베이스의데이터베이스의 개발을개발을 요구요구-- 이들이들 기록들은기록들은,, 특히특히 컴퓨터컴퓨터 메모리와메모리와 프로세스프로세스 능력이능력이 확장되면서확장되면서 개인신원확인개인신원확인데이터와데이터와 연결될연결될 수수 있음있음

숨어있는숨어있는 리더리더

-- 인간인간 또는또는 사물이사물이 모여져모여져 있는있는 어떤어떤 환경에서도환경에서도 보이지보이지 않게않게 섞여질섞여질 수수 있는있는 리더들에리더들에의해의해 태그들은태그들은 시야의시야의 제한없이제한없이 멀리서멀리서 읽혀질읽혀질 수수 있음있음..-- RFIDRFID 리더들은리더들은 이미이미 실제로실제로 바닥바닥 타일들에타일들에 내재되어내재되어 소비자들이소비자들이 언제언제 또는또는 스캔스캔 되고되고있는지있는지 없는지에없는지에 대한대한 인식을인식을 불가능하게불가능하게 하고하고 있음있음

개인추적과개인추적과개인정보프로파일개인정보프로파일

-- 개인적인개인적인 신원이신원이 유일한유일한 RFIDRFID 태그태그 넘버와넘버와 연결되어연결되어 있다면있다면 개인들이개인들이 인식하지인식하지 못하는못하는사이에사이에 프로파일되고프로파일되고 추적당할추적당할 수수 있음있음



rr RFID의 보안 및 프라이버시 노출 위험에 대한 안전성 요구사항 및 국내동향 법규

r 정보통신부는 현재 RFID의 토대를 만들기 위하여 관련 주파수의 조정작업을 진행하고 있다.

r 2004년 7월, 물류 유통 등에 이용되는 RFID 시스템 주파수를 세계 공통의 주파수 대역인 860~960㎒내에서 908.5㎒~914㎒(5.5㎒)로 정하고하반기에 분배하기로 했다. 10월에는 433㎒대 컨테이너 관리용RFID/USN 주파수의 국제표준이 확정됨에 따라 이를 국내에 분배해 아마추어 무선국과 공동으로 사용

r 또한 2004년부터 2010년까지 시범사업으로 630억원의 예산을 투여하겠다는 계획을 갖고 있음.

RFIDRFID에서에서 보안보안 및및 프라이버시프라이버시 보호보호RFIDRFID에서에서 보안보안 및및 프라이버시프라이버시 보호보호

rr AutoID센터의 Kill Tag 기술¦ 8비트의 패스워드를 포함한 kill command를 전송해 사용자에게 태그가

주어지기 전에 태그의 기능을 정지시키는 기법

¦태그의 기능이 정지됨으로써 사용자의 프라이버시를 보호하는 방법이지만 kill command가 적용된 뒤에는 재사용이 안되기 때문에 이 방법은넓은 응용환경을 지원하지 못하는 단점

rr Faraday Cage 기술¦ 라디오 신호가 투과되지 않도록 하는 금속 혹은 망으로 만들어진 컨테

이너 (Faraday Cage)를 이용

RFIDRFID에서에서 보안보안 및및 프라이버시프라이버시 보호보호RFIDRFID에서에서 보안보안 및및 프라이버시프라이버시 보호보호

rr Active Jamming 기술¦근처에 있는 RFID 리더의 기능을 막거나 혹은 방해할 수 있는 라디오 신

호를 브로드캐스트 하는 디바이스를 이용

rMIT의 해쉬-락 기술¦MIT는 저렴한 비용의 태그에서 리소스 제한문제를 해결하면서 인가 받

은 리더에게만 태그 정보를 전소하기 위한 방법

¦낮은 비용의 태그의 리소스 제한을 해결하기 위해 태그에 하드웨어적으로 최적화되어 구현된 해쉬함수만을 가정

스마트스마트 카드카드스마트스마트 카드카드

스마트카드스마트카드 개요개요스마트카드스마트카드 개요개요

rr 스마트카드스마트카드(Smart Card)(Smart Card)¦¦마이크로프로세서마이크로프로세서, , 카드운영체제카드운영체제, , 보안보안 모듈모듈, , 메모리메모리 등을등을 갖춤으로써갖춤으로써

특정특정 업무를업무를 처리할처리할 수수 있는있는 능력을능력을 가진가진 집적회로집적회로 칩칩(IC Chip)(IC Chip)을을 내장내장한한 신용카드신용카드 크기의크기의 플라스틱플라스틱 카드카드

정의



r각각의 기능¦CPU : 각종 Program등을 구동할 수 있게 하고, 내부의 다양한

데이터들을 제어

¦ROM (Read Only Memory) : Program memory로 사용, 카드운영체제(COS)와 기본 구조를 setting한 영역

¦RAM (Random Access Memory) : 임시 데이터를 관리하고 중간계산 결과를 저장하기 위해 사용되는 영역으로 working register로 사

용

¦EEPROM (Electrically Erasable and Programmable ROM) : 각종 데이터와 옵션 프로그램을 저장하는 메모리로 사용되는 영역으로카드운영체제(COS)에 의해 데이터를 읽고, 쓰고, 지울 수 있으며, 기타 구조를 기록할 수 있음

스마트카드스마트카드 종류종류 및및 특징특징스마트카드스마트카드 종류종류 및및 특징특징

rr 인터페이스인터페이스 방식에방식에 따른따른 분류분류


rr 접촉식 카드(Contact Card)¦접촉식(Contact) 카드는 카드를 수용하는 인터페이스 장치

(IFD : Interface Device)에 삽입되었을 때 카드의 접점이 IFD의 접점에접촉됨으로써 카드가 활성화되는 형태

¦이러한 형태의 카드는 접점의 잦은 접촉으로 인하여 전기적 충격이나물리적 손상이 있을 우려가 있으나, 고도의 보안을 요하며, 카드 내의특정 암호화 알고리즘을 수행할 필요가 있는 분야에서 주로 사용


rr 비접촉식 카드(Contactless Card)¦비접촉식(Contactless) 카드는 정보처리 기능에 필요한 연산소자와 기

억소자는 접촉식 카드와 동일하지만 카드내의 칩을 구동하기 위한 전원공급이 카드 내의 코일의 전자결합을 통해 이루어지고 IFD와 통신을 위하여 전자 유도 방식을 이용하는 형태의 카드

¦ 높은 수준의 보안성이 요구되는 분야보다는 신속한 정보 처리가 요구되는 분야에서 많이 활용


rr 접촉식접촉식 vs vs 비접촉식비접촉식 카드카드

인터페이스 명칭 특징 Application 규 격

접촉식(Contact)

Smart보안성이 강함

전자화폐, 직불,신용, 신분증,인터넷 인증 등

ISO 7816MicroProcessor(CPU),Memory-COS 내장

Memory,Dummy

공중전화카드,은행카드, 신용카드

비접촉식(Contactless)

Smart ISO 1443-MemoryAntenna내장

Memory,Dummy

편의성, 신속성이 장점

교통, 출입통제등


rr 하이브리드 카드 (Hybrid Card)¦하이브리드 카드는 하나의 카드 내에 물리적으로 접촉식 카드와 비접촉

식 카드가 독립된 형태로 존재

¦하드웨어 자원과 소프트웨어 자원 활용에 있어서 콤비카드보다 효율성이 떨어짐.(각각의 칩에 별도로 충전, 카드 내의 칩 사이에 호환이 안됨


rr 콤비 카드 (Combi Card)¦콤비카드는 하나의 카드 내에서 접촉/비접촉식 카드가 공유할 수 있는

부분들을 상호 공유하는 화학적 결합 형태의 카드

¦내부 자원 공유를 통한 이질적 Application의 통합 효과

¦또한 기존의 단순 접촉/비접촉식 카드의 기능을 포함

¦다양한 응용분야에 적용


r 스마트카드 운영체제는 흔히 COS(Card Operating System)라불림

r 초기의 스마트카드 운영체제는 사용할 수 있는 하드웨어 자원이 제한

r 개방형 플랫폼은 카드가 발행된 후 주어진 카드에 추가될 새로운 애플리케이션 기능을 추가할 수 있도록 허용

r 표준 언어와 개방형 API(Application Programming Interface)를 사용하는 새로운 애플리케이션의 개발주기를 단축

r 개방형 스마트카드 플랫폼에는 MULTOS, Java API, Microsoft Smart Card Windows 등과 같은 세 가지의 솔루션이 있음

자바카드


rr [[폐쇄형폐쇄형 카드카드 vs vs 개방형개방형 카드카드]]


rr 자바 카드¦자바카드는 카드 애플릿 개발자들을 위한 도구로서, 하드웨어 플랫폼과

독립적인 하나의 언어로 지정되어 있고, 자바 API는 카드 애플리케이션코드를 지정


rr MULTOS¦ 1996년 Mondex사가 개발하고 MAOSCO산업 컨소시엄이 지원하는 다

기능 COS

¦MULTOS COS위에 MULTOS의 인터프리트 언어인 MEL(MULTOS Executable Language)로 설계된 MEL 가상머신을 탑재한 형태의 스마트카드 플랫폼

스마트카드스마트카드 응용응용 분야분야스마트카드스마트카드 응용응용 분야분야

스마트카드스마트카드 응용응용 분야분야스마트카드스마트카드 응용응용 분야분야

r 안전한 빌딩 및 시설물 접근: 접근 및 보안을 단계별로 구분하여 접근 정도를차별화

r 안전한 네트워크 및 데이터베이스로의 접근: 표준화된 공공인증키 및전자서명을 이용하여 원격지에서도 정부정보에 접근할 수 있도록 허용

r 안전한 인터넷 구매: 판매자와 구매자에 대한 인증, 데이터 신뢰성/완결 성 확보, 거래내용 부인 방지 등의 기능을 통해 안전한 인터넷 이용을 보증한다. 특히, 인터넷 거래에서 필요한 경우 정부와 산업체의 비즈니스 프로세스 메커니즘을 동일하게 함

r 안전한 전자우편 및 의사소통: 전자우편과 전자적 의사소통은 정부 비즈니스방식을 변화시키고 예산과 인력을 감소시켜 효율성을 증진 스마트카드에 기반한 공공인증키와 전자서명은 안전성을 확보하면 서 이상적인 프로세스 변화를 가져올 수 있음

r 안전한 서류 처리: 리엔지니어링은 문서작업흐름의 비효율성을 제거하고 업무처리, 서명, 자료 정리에 있어 스마트카드를 기반으로 한 공인 인증키와 전자서명은 전자적 문서처리와 정리기능의 이상적인 도구가 될 수 있음

Documents

유비쿼터스 컴퓨팅 보안 (Ubiquitous Computing Security) 유비쿼터스