2005. 06. 27.
진 승 헌([email protected])
디지털ID보안연구팀
정보보호연구단
인터넷인터넷 ID ID 관리관리 서비스서비스[Internet Identity Management Service)
KRnet 20052
들어가기 전에…(1/2)
50년 전에 예상한 2004년도 컴퓨터
Rand사의컴퓨터과학자들이 50년전에예상한 2004년도 가정용컴퓨터모습이라예상한 그림
출처 : <http://www.seri.org/fr/fPdsV.html>
KRnet 20053
Too many digital ID’s들어가기 전에…(2/2)
Work ID’sOnline Banking
Accounts
HotmailAccount
401kAccounts
eBayAccount
AmazonAccount
PaypalAccount
VPNAccesswork
PartnerExtranets
intranets
InternetAccess
Accounts
AccountSelf-Service
Instant Messaging
WirelessAccountsextranets
UnitedMileage
Plus
MSN
YahooAccount
ExpediaAccount
TravelocityAccount
Blog
HomepageHostingAccount
None of these accounts work together.
•우리나라 네티즌들
•
•우리나라 네티즌들 평균
27개 사이트에 가입, 7.5개
의 ID 보유
•[전자신문,05.2.23]
KRnet 20056
인터넷 사용자의 불편함과 신분 도용
► 수많은 사이트에 자신의 ID 및 개인정보 등록 및 서비스를 위하여 매번 인증하는 불편 증가
► 개인정보 변경에 따른 분산된 사이트의 개인정보 변경 부담 증가
► 인증 수단이 미비한 ID (주민번호)의 노출로 인한 신분 도용 피해 사례 급증
-> 한번의 사이트 등록과 한번의 인증만으로 인터넷을 사용할 수 있는 기술 필요
인터넷 ID 관리 기술 필요
금융 게임포털 쇼핑
개별 등록및 인증
인터넷 ID 관리 기술
금융 게임포털 쇼핑
ID Management
현황 및 필요성 (1/4)
KRnet 20057
사이트 1 사이트 2
사이트 A
사이트 3
개인정보등록
사이트 1 사이트 2
사이트 A
사이트 3
개인정보등록
제공
개인정보공유제어
- 개인정보 자기통제권
개인정보의 불법적인 접근 및 유통으로 인한 피해
► 개인정보 수집과 유통에 대한 개인정보 자기통제권 부재
► 개인정보의 안전하고 편리한 유통 프레임워크 부재
개인정보 관리 기술 필요
개인정보 관리 기술
-> 사용자의 개인정보를 안전하게 유통할 수 있는 프레임워크와 개인정보 공유 제어기술 필요
현황 및 필요성 (2/4)
KRnet 20058
“세계 최고 전자정부 'PPSS'가 열어준다 “, “전자민원서비스 확대 본격화…, 2007년 완료 “
… 참여정부의 전자정부 비전인 ‘세계 최고 수준의 열린 전자정부 구현’을 위해서는 수요자 중심의 패러다임 전환과 함께고객관리(CRM)를기반으로개별프리미엄전자정부서비스(PPSS : Public Premium Smart Services)에 대한 지속적인 개발 및 확대가 필요 …, 정부기관, 서비스매체간유기적인융합(convergence)을통해범정부 업무 프로세스를 연계하고 ,…또한 전자정부 사이트에한번만등록하면관련정보간상호연계를통해민원인정보가자동으로갱신되고 ,…,… 이와함께 국민이 행정기관간 개인정보 공동활용에서 자신의 정보를 통제하고
자 할 경우 이를 수용할 수 있도록자기정보통제서비스도도입할계획이다. …[전자신문, 2004.6.1], [inews24, 2004.5.31]
관련 보도 자료
KRnet 20059
현황 및 필요성 (3/4)
협업형 서비스► 부처간 민간/공공영역간 경계없는 협업/연계/복합서비스► 서비스간 Identity 연계의 필요성: 동일인에게 서비스를 제공하기 위해서
예) 원스톱 복합민원 서비스, 국가통합검색시스템, 온라인 신문고
차세대 컴퓨팅 환경을 위한 필요
경찰청
행자부
병무청
주민등록정보
병적정보
차적정보
정보전입신고
[원스톱 복합민원 처리]ID Management 기술- Single Sign On (SSO)- 데이터의 연계- 개인정보보호
KRnet 200510
현황 및 필요성 (4/4)
개인화 서비스
► 어떤 환경, 어떤 단말에서도 동일한 느낌의 개인화된 맞춤형 서비스
► 일관된 identity 정보가 제공되어야 함
차세대 컴퓨팅 환경을 위한 필요
출처 : Minority Report
KRnet 200512
인터넷 ID 관리 서비스
안전하고 편리한 전자거래를 위하여 다양한 웹사이트에 산재된
사용자 ID와 개인정보를 안전하게 보호/관리하는 서비스
정의
사이버스페이스상에서 개인식별을 가능하게 함으로써 개인의 안녕과
이해 관계에 영향을 미치는 모든 정보
예) 각종 identifier+개인정보(주민번호,전자우편주소,계좌번호,신용카드번호 등)
Digital Identity ?
KRnet 200513
인터넷 ID 관리 서비스 모델 비교
Centralized Model Federated Model
모델
범위
구축방법
특장점
기업 내 그룹웨어
단일기업의 사용자 대상 사이트들
계열사의 사이트들
사용자 데이터베이스를 물리적으로통합
다양한 정책 수용 불가
정보관리의 자치권 확보 불가
소규모의 사설 SSO 가능
단순한 구조/프라이버시 문제
기업 사이트와 협력사 및 관계사
협업/연계 서비스 사이트들
다양한 부처를 포함한 전자정부사이트들
기존에 등록된 사용자 계정 연결(Pseudonym)
다양한 정책 수용 가능
정보관리의 자치권 확보 가능
인터넷 규모의 SSO 가능
사이트간 협력을 통한 신규 서비스창출 가능
VS
KRnet 200514
myLocation.com은Bob에게 정보 제공여부를 질의함
Bob은 자신의 위치정보를 weather.com에게알려주도록 허가함
Identity-based Web Service
Location Service
Provider (LSP) myLocation.com
Location Service
Provider (LSP) myLocation.com
SP (WSC) weather.com
SP (WSC) weather.com
Bob
DiscoveryService
DiscoveryService
Bob은특화된 (personalized) 날씨정보를받기위해서 weather.com에접속함
myLocation.com 은 Discovery Service에Bob의 위치 정보 제공자로 등록함(Liberty WSF 프로토콜 사용)
Weather.com 은 myLocation.com 이Bob의 위치 정보를 보유하는 것을 알게됨 (Liberty WSF 프로토콜 사용)
Query/Subscription
Response/Notification
Geo-Location-id-service다양한 방법으로 위치정보가 생성되고myLocation.com으로전달됨
디바이스
ID 웹서비스 프레임워크ID 웹서비스 프레임워크개인정보 기술개인정보 공유 제어 기술
KRnet 200516
Source : Gartner 2004
표준화 동향
By 2006, standards-based federated identity approaches will be used internally by more than 50 percent of Global 2000 enterprises(0.7 probability)
► Don’t implement proprietary cross-domain trust or federation approaches – standards-based federated identity approaches will become ubiquitous
KRnet 200517
시장 동향 – Radicati
ID 관리 분야가 예상보다 빠르게 증가하고 있음
► Radicati 그룹에 따르면 2003년에는 ID 관리 시장을 5억 5100만불(2004년)이고 2007년
에 50억불이 될 것으로 예상했지만, 최근에는
► 7억 3800만불(2004년)과 100억 2천만불(2008년)로 수정했음
KRnet 200518
관련 프로젝트 현황-국외
PRIME (PRivacy & Identity Management for Europe)
► 정보사회에서 개인의 자치권을 유지하면서 사용자의 안전한 행동을보장하는 것을 비젼으로 추구함
► 법적,사회경제적,기술적 측면의 다양한 요구사항을 도출함
► 자신의 개인 공간을 제어하고 identity를 관리할 수 있는 기술 개발
► 프라이버시 강화형 Identity 관리 솔루션 구축 환경 제공
► 기간 : 2004.3 ~ 2008.2(4년)
KRnet 200519
관련 프로젝트 현황-국내
e-Identity 보호용 공통보안서비스 플랫폼 기술 개발(ETRI)
목 표 : 인터넷의 다양한 서비스를 한번의 로그인으로 사용할 수
있도록 하고, 안전한 개인정보 공유를 통해 프라이버시가 보장되면서
사용자 맞춤형 서비스가 가능하도록 하는 기술 개발
Circle Of TrustCircle Of Trust
Circle Of Trust인터넷 ID Server
ID FederationBridge Server
Service ProviderPrivacy Controller Discovery Server
Principal
인터넷 SSO 서비스단일 ID 관리 서비스
개인정보 보호서비스
Discovery서비스
정보 제공서비스
인증 대행서비스
ID 연동중개 서비스
ID 로밍
시스템 구성도
KRnet 200520
구축 현황(1/3)
미국 e-gov에서 추진하는 인증 프로젝트
► 민간에서 발행하는 인증서나 민간의 인증서버를 이용할 수 있도록 인증gateway를 두고 다음을 제공
• 가이드라인/기술 규격
• 신뢰할 수 있는 민간 인증서버 관리
Federated ID 모델
•Governments has applied to join the Liberty Alliance and seeks to drive open solutions • It’s not a system, but a pervasive infrastructure [e-Authentication Initiative]
e-Authentication
KRnet 200521
Promoting the distribution of educational content Employment of Liberty alliance phase 1 specifications
구축 현황(2/3)
EduMart(e-Japan)
KRnet 200522
구축 현황(3/3)
Nokia has a vision of the mobile phone a s a full participant in networked service-oriented architecture► Adding federated identity to the mobile Internet environment
► Enhancing architecture commonality between the fixed- and mobile-network environments
► Supporting LEC Proxy functionality with Nokia’s wireless application protocol (WAP) gateway
Nokia
A mobile, service-oriented world
출처 : Nokia Web Service Framework for Devices – a Service-oriented Architecture
KRnet 200524
ID연계기반의 주민번호 보호 서비스(1/8)
인터넷상의 주민번호 보호 서비스
현황
► 주민등록번호의 오남용이 심각한 사회문제로 대두되면서,
온라인 상에서 주민등록 번호 수집을 금하도록 요구하는 정책수요 급증
• 2004.10월 현재 개인정보침해신고센터에 신고,접수된 개인정보침해 사건 유형 중 주민번호 등 타인정보의 도용,유출 등이 약44%를 차지
► 그러나, 인터넷 상에서 본인확인 절차가 생략될 경우,
성인인증 및 14세 미만 여부 판단, 익명사용자의 사이버 범죄시 추적불가 문제 등이 제가 될 수 있어 이데 대한 대체 방안이 마련되어야 함
KRnet 200525
인터넷상의 주민번호 사용의 문제점
문제점
► 주민 번호가 개인의 기본 정보를 포함하고 있음
► 적절한 인증 수단 없이 사용되고 있음
► 하나의 주민번호로 모든 온/오프라인에서 이용하여 단일식별성 문제 있음
► 한번 발급되면 문제가 생겨도 변경하기 어려움
중요한 단일 식별자가 널리 사용되고 있는 상황에서 광범위하게 노출되어있고, 인증 수단이 없어 도용이 빈번히 발생하는 상황
ID연계기반의 주민번호 보호 서비스(2/8)
대처 방안
인터넷에서 새로운 식별번호 체계를 만드는 것이 아니라 인터넷상에서 주민번호가 노출/사용되지 않도록 하는 것이 필요함
KRnet 200527
ID연계기반의 주민번호 보호 서비스(4/8)
Circle Of Trust
Principal
1. Federation 요청
2. Federation 연결
인터넷 IDServer
TTP.netTrains.com
ServiceProvider
ID = Alice_BID = Alice_A
NID = Alice_XXX NID = Alice_YYY
•Alice A
•Federated : Yes
•Trains.com : Alice_YYY
•Alice B
•Federated : Yes
•TTP.net : Alice_XXX
3. NID 교환
ID 연계(ID Federation)
KRnet 200528
TTP(IDSP)
• Id : cskim
웹 사이트
가입자
0.신원확인 후 사용자 등록
1.가입(Local id 등록)
•연결정보: hbn93kjfayp8if
3.연결정보생성
4. 인증확인서 전달(연결정보:hbn93kjfayp8if)
2.TTP로 redirect 한뒤TTP id인 kimcs로
로그인
•연결정보: hbn93kjfayp8if
5.Cskim에 연결정보 저장
(연계완료)
• Id : kimcs•이름: 김철수•주민번호: 730302-1234567
ID연계기반의 주민번호 보호 서비스(5/8)
TTP의 실명 확인된 ID와 웹사이트의 Local ID 연계
TTP : 확인된 주민번호 보유
웹사이트 : local id를 TTP id와 연결 정보를 통해 연계
ID 연계 서비스를 통한 웹사이트 가입절차
KRnet 200529
성인 확인 절차
ID연계기반의 주민번호 보호 서비스(6/8)
TTP(IDSP) 웹 사이트
가입자
0.신원확인 후 사용자 등록
1.사이트 접속(성인인증서비스 요청)
3. 인증확인서( 성인여부 포함)
2.TTP로 redirect 한뒤TTP id로 로그인
•TTP ID•주민번호
KRnet 200530
ID 연계 서비스의 특징
ID연계기반의 주민번호 보호 서비스(7/8)
사용자 불편 최소화
► 기 보유한 id를 이용
• 새로운 무언가를 발급받을 필요가 없음
• 사용자가 새로운 식별자를 직접 입력할 필요 없음
사업자 도입/운영 비용 최소화
► Client side tool kit 필요 없음
• 유지보수 및 장애처리 비용 절감
• 무선용 시스템 구축 용이
강력한 프라이버시 제공
► 사이트마다 다른 연결정보를 사용해 단일식별성 해결
► 실명을 입력하지 않아 프라이버시 보호`
KRnet 200531
ID 연계 서비스의 특징
ID연계기반의 주민번호 보호 서비스(7/8)
국제 표준 기술 사용
► IBM, Sun, Nokia, AOL 등의 기업이 만든 Liberty 표준 준용
► 안정성, 보안성, 확장성 및 상호 호환성 보장
• 미국 E-Gov, 일본 Edumart, 프랑스 FT (6500만 가입자)에서도 채택
► 특정 기업 의존성 배제
ID연계를 통해 제공 가능한 서비스
► 개인정보 보호
► 인터넷 SSO
► 웹 서비스 기반의 복합/연계/개인화 서비스``
KRnet 200532
결론
안전하고 편리한 전자거래를 위해서는 Digital Identity Management 에 대한 다양한 측면의 접근과 관련 기술의 개발및 적용이 필수적임
► 특히, 향후 전개될 유비쿼터스 환경에서 안전하고 편리한 전자거래를 위해서는 Privacy-enhancing Identity Management 기술이 중요하게 부각될 것으로 예상됨
유해 유익
개인정보 유출 2000만명.. 당신은?
금융회사, 국가기관, 이동통신 회사 등에서개인정보 유출 사례 속출. 미디어다음, 2004.10
CRM 기반의 맞춤형 서비스