Embed Size (px)
Citation preview
인터넷서비스에서의인터넷서비스에서의 ID ID 관리관리 기술기술 동향동향
[[인증기술을인증기술을 中心中心 으로으로]]
인터넷서비스에서의인터넷서비스에서의 ID ID 관리관리 기술기술 동향동향
[[인증기술을인증기술을 中心中心 으로으로]]
11 Proprietary
2009. 10. 262009. 10. 26
진승헌진승헌(([email protected]@etri.re.kr))
인증기술연구팀인증기술연구팀지식정보보안연구부지식정보보안연구부
목목 차차목목 차차
22. . 기술기술 개요개요
1. 1. 들어가면서들어가면서
22 Proprietary
22. . 기술기술 개요개요
3. 3. 기술기술 동향동향 및및 주요주요 이슈들이슈들
5. 5. 질의질의 및및 응답응답
4. 4. 기술기술 개발개발 사례사례 소개소개 ((전자전자IDID지갑지갑))
들어가면서
33 Proprietary
들어가면서
대통령,국무총리 주민번호 도용…[’06.9]공공기관 홈페이지 개인정보 유출…”100점 만점에 44점”[’07.12]
인터넷 주민번호 대체수단 i-PIN 본격 도입…[‘06.10]
현황현황
� 관리되지 않은 많은 ID들과 신원도용 피해 증가
44 Proprietary
인터넷 주민번호 대체수단 i-PIN 본격 도입…[‘06.10]공공사이트 주민번호 입력 안해도 된다(G-PIN)..[’08.3]옥션 개인정보 유출 2차 피해 ‘일파만파’…[’08.4]
△황주현=의미있는고객정보를 확보하는 것이 현실적으로 쉽지 않다. 건강과 관련된 정보를 국민건강보험공단과공유하는 것은 프라이버시 문제 때문에 안되고있다. 문제는 불순한 가입자 때문에 다수의 선량한 가입자가 불필요한 부담을 지는 문제를 해결해야 한다. 불순한 가입자 1명이 선량한 가입자 300명에게 피해를 입힌다고 한다. 세상이 더 스마트하고 인텔리전트 해지기 위해서는 최소한의정보 공유가 필요하다고 본다. 건강정보는 어렵더라도 주소정보는 가능하지 않을까라는 생각을 갖고 있다.
△윤문석=고객데이터를 모두 클린징해야 하는데, 돈이 너무 많이 들어 어렵다.
예전에 만난 한 그룹사 회장은 한국전력이 민영화되면 꼭 사고 싶다고 말했다.
한전의 전력사업도 탐이 나지만 한전이 전 국민의 정확한 정보를 갖고 있기 때문이라는 것이다.
"경제 위기속 CRM은 중요 생존 도구"EU, 인터넷 `표적광고` 감시 착수입력: 2009-03-30 14:01유럽연합(EU)이 온라인 광고업체들의 소비자 프로파일링(효과적 광고를 위해 구매자 대상 집단에 대한 정보를 수집하는 것)에 대한 조사에 착수할 예정이라고 영국 일간 파이낸셜타임스(FT)가 30일 보도했다.
이는 최근 인터넷 광고업체들이 "투명성, 관리, 위험성 등의 측면에서의 기본적인인권"을 침해하고 있다는 EU 고위 관계자들의 목소리가 커지는 가운데 나온 것이다.
EU 관계자들은 소비자들과 관련 업계로부터 상업적인 인터넷 업체들의 정보수집과 수집된 정보가 어떻게 사용되는지 등에 대한 증거를 확보하는 비공식 협의체를 발족시킬 것이라고 전했다.
보도자료를 통해서 본 ID관련 이슈들보도자료를 통해서 본 ID관련 이슈들
55 Proprietary
이라는 것이다.
데이터를 클린징 하는데 막대한 비용이 든다. 개인 프라이버시가 중요하지만, 프라이버시를 보호하는 것과 데이터를 악용하는 것은 다른 차원이다. 잘못 사용하는 것 때문에 아예 활용할 수 있는 길을 막아놓는 것은 문제가 있다고 본다.
△이영수=프라이버시문제는 민감한 부분이어서 반감을 살 수 있다는 점이 문제이다. 각 기업이 정보를 획득할 수 있는 고유의 프로세스가 있기 때문에 이를 잘활용해서 자체적으로 풀어가는 것이 좋다고 본다.
△사회=마지막으로 CRM을 활성화하기 위한 방안을 말해달라.
△김찬성 상근부회장=CRM은비즈니스 솔루션이다. 불황에는 고객과의 관계를어떻게 할 것이냐를 많이 생각해야 한다. 한국CRM협의회가 CRM의 성공사례를널리 전파하기 위해 노력할 것이다. 업계 선두에 있는 기업들도 성공사례를 공유할 수 있도록 배려하는 것이 필요하다고 본다. 정보 유통과 관련해서는 정보를악용했을 경우에 대한 처벌을 강화하고 선량한 목적으로 사용할 수 있는 길을 열어 줘 사회적 비용 줄일 수 있는 방안을 건의할 필요가 있다고 본다.
[디지털타임즈 2009.3.18]
를 발족시킬 것이라고 전했다.
EU 관계자들은 소비자들의 사이트 방문 기록을 열람할 수 있도록 돕는 쿠키의 사용을 제한된 이후에도 소비자들의 사이트 방문 이력을 추적할 수 있게끔 하는 자세한 패킷조사(DPI)의 사용증가에 대해 특히 우려하고 있다.
메글레나 쿠네바 EU 소비자보호 담당 집행위원은 이번주 한 연설을 통해 소비자들이 상업적 사이트에 접근하기 위해 동의해야 하는 `약관`이 개인정보보호 기준을 침해하는 경우가 많다고 주장할 예정이다.
그는 "소비자들은 서비스 이용 대가로 자신들의 개인 정보를 제공하고 광고에 노출되는 것"이라며 "이는 새로운 상업적 거래에 해당한다"고 주장한다.
EU 관계자들은 사이트 이용자들이 자신들에 대해 어떤 정보들이 수집되고 있는지와 이런 정보가 어떻게 사용되는지를 모르는 경우가 많고 설령 이런 영향에서벗어나려해도 사실상 불가능하다며 문제를 제기했다.
[저작권자 ⓒ연합뉴스 무단 전재-재배포 금지]
유해 유익개인정보 공유를 통한
맞춤형 서비스
개인정보 유출로 인한프라이버시 침해
정보인권정보인권 보호보호정보인권정보인권 보호보호 경제경제 활성화활성화경제경제 활성화활성화
개인정보보호 딜레마개인정보보호 딜레마
66 Proprietary
고객 정보 보호를 위한 법적 규제가 강화되면서 국내 CRM의 발전이 저해되었을 뿐 아니라오히려 고객정보에 대한 暗시장 형성과 무차별 스팸 발송 등의 문제를 발생하고 있음
-외부고객 정보를 활용하고자 하는 기업들의 욕구는 높은 반면, 강력한 정보 유통이 차단되면서불법적인 정보 유통 및 무차별 스팸만 범람
. 국내 오배송 우편물로 인한 연간 손실액 1조원 이상으로 추정
고객의 프라이버시 강화’와 ‘기업의 CRM 활동 효율화’를 동시에 만족시킬 수 있는 방법을 모색
맞춤형 서비스프라이버시 침해
Digital Identity Management
출처 : 한국기업의 CRM 성공전략, 삼성경제연구소, 2008
국가정보화 추진 전략과 ID관리국가정보화 추진 전략과 ID관리
77 Proprietary
출처 : 국가정보화 기본계획, 2008.12 정보화추진위원회
정보가정보가 흐르되흐르되, , 관리되어서관리되어서흐르도록흐르도록 하는하는 것이것이 필요함필요함정보가정보가 흐르되흐르되, , 관리되어서관리되어서흐르도록흐르도록 하는하는 것이것이 필요함필요함
미국 정부의 IT 우선 과제미국 정부의 IT 우선 과제
Source : Information Week Analytics Government IT Priorities Survey of 309 government technology professionals(2009.4)
88 Proprietary
오바마오바마 정부의정부의 안전한안전한 사이버사이버 공간을공간을 위한위한 정정책책(Cyberspace Policy Review, 2009.5)(Cyberspace Policy Review, 2009.5)에서에서 ““인증과인증과 IDID관리의관리의 강화강화 없이는없이는 사이버사이버보안보안 강화가강화가 어렵다어렵다”라고”라고 IDID관리관리 체계체계 수립수립
의의 필요성을필요성을 언급함언급함
오바마오바마 정부의정부의 안전한안전한 사이버사이버 공간을공간을 위한위한 정정책책(Cyberspace Policy Review, 2009.5)(Cyberspace Policy Review, 2009.5)에서에서 ““인증과인증과 IDID관리의관리의 강화강화 없이는없이는 사이버사이버보안보안 강화가강화가 어렵다어렵다”라고”라고 IDID관리관리 체계체계 수립수립
의의 필요성을필요성을 언급함언급함
기술 개요
99 Proprietary
기술 개요
IdentityIdentity
� 엔터티(Entity)가 묘사되거나 인지되거나 또는 알게되는 속성들 (ITU-T)
� 특정한 콘텍스트 내에서 객체를 유일하게 식별할 수 있는 속성 값들의 전체 리스트(ISO/IEC)
� 누군가를 특정할 수 있는 주장(Claims)
Identity 개념Identity 개념
identity
Identities consists of an ensemble
of four possible identity “elements”
with a binding to an Entity (or
Entities), instantiated or asserted at
some specific time
Entity
1010 Proprietary
� 누군가를 특정할 수 있는 주장(Claims)들의 집합(Microsoft)
� “개인정보”란 생존하는 개인에 관한정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)[정보통신망이용촉진및정보보호등에관한법률 제2조]
출처 : ITU-T Report on the Definition of the Term “Identity” 2008
Identity Identity ManagementManagement
Identity의 생성, 이용, 폐기를 위한 생명주기 관리 및 인증, 인가, 감사를 위한 기반구조
Identity Management 개념Identity Management 개념
Intelligence = audit + analytics
1111 Proprietary
출처 : Burton Group 2006
Architecture Template for IDM
출처 : Gartner, March 2009
Technology-Focused Core Topics
IdM(Identity Management)의 목적IdM(Identity Management)의 목적
� 인터넷 서비스 증가에 따른 개인 보유 ID 수의 증가 : 이용 불편 개선� 조직내 ID관리 요구 증가 및 비즈니스 관계 다변화 : 효율&생산성 증대� 개인정보보호 관련 법/제도 강화 : 법률 준수� 개인정보 기반의 맞춤형 서비스 요구 증가 : 신규 IT 서비스 창출 및 개인
정보보호 증대
1212 Proprietary
출처 : Business Drivers for and Benefits of IAM, Gartner 2007
Users NetworkOperators
GovernmentApplicationProviders
IdentityBridges
출처 : ITU-T “An Emerging Global Convergence
on Identity Management”, 2008
기술 동향 및 주요 이슈들
1313 Proprietary
기술 동향 및 주요 이슈들
환경 변화와 Identity Management 전망환경 변화와 Identity Management 전망
Transparent
Implicit
Biometrics
(Key strokes,
voice, face)
Presence
(Inference from video
cameras,
RFID sensors, etc.)
� user-centric and service-
centric ids
전자ID지갑
Level
Connected
Inside
u-IT 환경에서의 온오프라인 연계형 ID 관리 기반스마트지갑
1414 Proprietary
� Fine-grained and
gradual release of
attributes
SSO
Infocards
Proximity
(Badge, Key,
2nd Device)
Attribute MgmtExplicit
Biometrics
(Fingerprint)
Username/
Password
Federated Id
� Identity as a set of
attributes
� Sharing of service-
centric ids� Single user-centric id
paired with many service-
centric ids
� User-centric
centric ids
Microsoft
Cardspace
OpenID
Source : OASIS 자료 편집
Higgins
.Net PassportSilo
Time
Level
of In
tera
ctio
n
Individual
Connected온라인 본인확인 기반
Public Key Infrastructure
전자 상거래 기반
통합ID관리시스템
통합 사용자 인증 기반
2009년 현재
‘‘주민번호주민번호 유출유출 근절근절’ ’
정부가정부가 나섰다나섰다..
.. .. 특히특히 온라인온라인 주민번호주민번호 대대체수단인체수단인 아이핀과아이핀과 흡사한흡사한식별체계식별체계를를 오프라인으로오프라인으로확대하는확대하는 방안도방안도 연구연구할할 예예정이어서정이어서 가시적인가시적인 성과가성과가나오면나오면 현행현행 주민주민 등록체계등록체계
의의 일대일대 변화도변화도 예상예상....
[[전자신문전자신문 2009.5.6]2009.5.6]
‘‘주민번호주민번호 유출유출 근절근절’ ’
정부가정부가 나섰다나섰다..
.. .. 특히특히 온라인온라인 주민번호주민번호 대대체수단인체수단인 아이핀과아이핀과 흡사한흡사한식별체계식별체계를를 오프라인으로오프라인으로확대하는확대하는 방안도방안도 연구연구할할 예예정이어서정이어서 가시적인가시적인 성과가성과가나오면나오면 현행현행 주민주민 등록체계등록체계
의의 일대일대 변화도변화도 예상예상....
[[전자신문전자신문 2009.5.6]2009.5.6]
SAML
i-PIN
IAM(Identity & Access Management) 기술 구성IAM(Identity & Access Management) 기술 구성
1515 Proprietary
Hype Cycle for IAMHype Cycle for IAM
1616 Proprietary
Identity Management 관련 주요 이슈Identity Management 관련 주요 이슈
� 인증 강화 기술� Mutual Authentication
� OTP(H/W, S/W)
� Mutual-factor Authentication
� Risk-based Authentication
� 온/오프라인 연계 기술� On/Off line ID Proofing
1717 Proprietary
� On/Off line ID Proofing
� CAC(Common Access Control)
� Mobile Identity Management
� 개인화서비스를 위한 프라이버시 보호 기술� 관련 법 강화
� 동태적 개인정보 보호
� VRM
ID/PW
보안카드
PIN
PassPhrase
본인본인
신원신원
상관성
상관성
생체인증
스마트카드
전자서명
다양한 인증 수단들다양한 인증 수단들
1818 Proprietary
PKI Certificate
OTP
Bio-metrics
Smart Card
사용자사용자 편의성편의성
상관성
상관성 ID/PW
패스워드의 종말패스워드의 종말
� Password 종말 선언(RSA 2006 빌게이츠)
� Password 관리 문제로 인하여 부가적인 장치에 대한 관심 증가
1919 Proprietary
출처 : RSA Conference 2008
다중 인증 (Multi-factor Authentication)다중 인증 (Multi-factor Authentication)
Authentication Factors: Something You _____
Know Have Are Do
Text PIN IP AddressScratch-off /
Bingo CardFingerprint
Keystroke
Dynamics
Visual PIN Browser TypePhone / PDA
w/OTPHand Geometry Voice Print
Text Password Cookie OTP TokenFace
RecognitionAccess Pattern
Authentication Tiers:
Likely combinations of factors
출처 : ITAA IdentEvent 2008
2020 Proprietary
Life Questions Certificate USB Device Iris Scan
Toolbar / AgentProximity /
Smart CardRetina Scan
of factors
Low end to high
#1: Enhanced Password
Password + Risk-Based Authen
#2: Soft Token + Password
Certs, password vault, etc.
#4: Hard Token + PIN
OTP devices, smart cards, etc.
#3: Soft Token + Biometric
Reader w/credential vault
#5: Hard Token + Biometric
Physical / logical access
Risk-Based AuthenticationRisk-Based Authentication
2121 Proprietary
� Balancing security with usability
� Authentication is No Longer a Binary Decision
출처 : ITAA IdentEvent 2008
열쇠
OTP출입증신용카드
Mobile CASH
1.한 곳에 모으면 좋은 점만 있을까?
2.잘 모으려면 어떻게 해야 할까?
3.모아 놓기만 하면 될까?
Mobile Identity ManagementMobile Identity Management
2222 Proprietary
공인인증서
멤버쉽 카드
쿠폰
헬스 정보
위치 정보 친구 정보구매 정보
ID/PWD
도코모의 신전략 “My Life, Assist Service” – 공기를 읽을 수 있는 휴대전화-유저의 속성과 현재의 상태, 과거의 행동 패턴, 구매이력등에 기초한 유저의 심리상태와이후의 행동을 종합적으로 분석, 추측을 통해 사용자에게 맞춤형 광고를 제공함: Life Log를 수익의 축으로 [출처 : Outline of the Information Grand Voyage Project, 2008.3]
“휴대폰이 당신의 미래 지갑”이며 5년 내 미국인의필수 소지품인 휴대폰, 지갑, 열쇠를 모바일 지갑 하나로 통합하게 될 것이다.” [CNN, 2009.6.16]
• CRM도 사용자 중심으로• 2005 : DIDW에서 Drummond Reed가 CoRM(Company RM)제안
• 2007 : Harvard 대학(The Berkman Center for Internet and Society)에서 Project VRM 발족
Com-pany A
Com-pany A
VRM(Vendor Relationship Management)VRM(Vendor Relationship Management)
2323 Proprietary
Com-pany B
Com-pany C
Com-pany B
Com-pany C
기술 개발 사례 소개
2424 Proprietary
기술 개발 사례 소개
[전자ID지갑]
� 웹사이트 가입시 개인정보를 매번 입력하는 것이 귀찮아요.
� 특히, 주민번호를 입력하는게 걱정되요.
� 서비스 이용시에 로그인하는 것이 번거로운데, 휴대폰으로 모바일 인터넷
을 이용할 때는 더 힘든 것 같아요.
배경배경 : : 사용자는사용자는 무엇을무엇을 원하는지원하는지??배경배경 : : 사용자는사용자는 무엇을무엇을 원하는지원하는지??
2525 Proprietary
� PC방과 같이 공용PC에서 ID/PWD 입력하는게 걱정되요.
� 내가 접속하고 있는 사이트가 위장 사이트일까 걱정되요.
� 내가 어느 사이트에 가입되어 있는지 기억하기 힘들어요.
� 이사해서 주소가 바뀌었는데, 사이트마다 변경하기가 어려워요.
� A 사이트에 저장된 나의 정보를 B 사이트에 새로 생긴 서비스로 가져가면
좋겠는데, 그럴 수 없어요.
전자ID지갑 개념 및 이점전자ID지갑 개념 및 이점
전자ID지갑이란 ?
• 일상생황에서 신용카드, 신분증 등을 넣고 다니는 ‘지갑’처럼, 디지털시대에 각종 전자 인증정보 및 개인정보를 언제 어디서나 저장, 이용할수 있는 사이버상의 ‘디지털 지갑’임
전자ID지갑으로 여는안전한 인터넷
2626 Proprietary
전자ID지갑의 이점은?
•클릭만으로 안전한 로그인 및 인증정보, 개인정보, 지불정보 등을 손쉽게 관리
•사용자 DB 해킹, 피싱, 파밍등의 공격으로 부터ID 도용 및 개인정보 유출 방지
•사용자의 정보를 웹사이트간에 안전하게 공유함으로써 개인화된 맞춤형 매쉬업 서비스 가능
공동연구 : ETRI, Microsoft, KISA
[그림 출처 : 디지털타임즈]
전자ID지갑 이점 – 편리성 향상전자ID지갑 이점 – 편리성 향상
내 아이디/비밀번호가 뭐였더라?
2727 Proprietary
- 클릭만으로 안전하게 …* 사이트 로그인* 신상정보 제출 및 자동갱신* 본인확인 수행
본인확인 절차를 간편하게 할 수 있는 방법은 없나?
가입 시마다 매번 똑같은 신상정보를 입력해야 하나?변경된 주소를 쉽게 갱신할 수 있는 방법은 없을까?
전자ID지갑 이점 – 피싱, 파밍 피해 방지전자ID지갑 이점 – 피싱, 파밍 피해 방지
국내 법원 사칭한 피싱사이트 등장
보이스피싱 등 2차 피해 속출
2828 Proprietary
- 접근사이트 인증- 암호화된 신상정보 제공- 핸드폰을 통한 강화 인증
KISA "9월 스팸·피싱으로 인한 피해 급증"
악성 소프트웨어 공격 증가
전자ID지갑 이점 – 부가 서비스 제공전자ID지갑 이점 – 부가 서비스 제공
전자 지불- 사용자의 카드정보 입력 불편- 너무 많은 ActiveX 설치 문제
042-860-XXXX042-860-XXXX
2929 Proprietary
- 안전한 지불 서비스- 새로운 개인정보 공유 서비스
042-860-XXXX 042-860-XXXX
042-860-XXXX
개인정보 공유- 관리되지 않는 개인정보- 신상정보 갱신의 불편- 서비스 간 연계 어려움
질의 및 응답질의 및 응답
3030 Proprietary
