안전한 디지털 신분증을 위한 안내서
[Digital Identity Report] Chapter 6
'Digital Identity Report' 여섯 번째 챕터로 디지털 신분증 리스크와 이를 극복하기 위한 권장 사항에 대한 내용입니다.
유럽의 사이버 보안 연합기구(European Union Agency for Cybersecurity, ENISA)의 공식 보고서를 통해 소개된 모바일 신분 관리시스템의 예상 리스크(도용, 감시, 개인정보 수집, 이용자 부주의, 외부 영향 등) 및 리스크를 해결하기 위해 제시된 방안을 살펴봅니다. 2010년 초반에 발행된 보고서이지만 내용의 방향성과 권장사항은 디지털 신분증과 인증 서비스가 본격적으로 시작된 한국에서도 참고할만한 내용으로 평가됩니다. 이번 글에서는 관련된 주요 내용을 정리하였습니다.
# 주요 리스크 사항
• 신분 도용(Identity theft)
휴대폰에는 다양한 개인정보 (신용정보와 생체/암호화 정보)가 저장되어 있으며, 이는 신분 도용 범죄자들에게는 매우 중요한 목표입니다. 가장 높은 위험성은 기기 자체가 도난당할 때이며, 이 때문에 휴대폰 이용자를 위해 더욱 견고한 인증 메커니즘의 중요성이 강조됩니다.
• 도청 및 스파이웨어(Eavesdropping and spyware)
GSM과 802.11x 암호화의 약점들은 이와 같은 위협에 더 취약합니다. GSM의 경우 무선 통신에만 암호화가 적용되므로 베이스 스테이션에서 게이트웨이까지의 문자들은 단순한 텍스트로 전송합니다. 적외선이나 블루투스를 이용한 정보 전송을 이용하는 앱은 오래된 인증 및 접속 통제 메커니즘을 제공하며, 무선으로 받은 모든 콘텐츠를 무조건적으로 신뢰하며 블루투스 페어링이 도청에 취약하다는 연구결과가 있습니다.
• 감시(Surveillance)
교통정보 혹은 로컬라이징 된 EMEI(International Mobile Equipment Identity, 단말기 고유번호)는 허가받지 않은 감시에 사용될 여지가 있으며, 이러한 공격, 또는 의도치 않은 정보공개는 이후 다량의 개인정보 공개로 이어지며 불특정 이용자의 자세한 인적사항을 제공할 여지 존재합니다. 이용자는 네트워크 모니터링뿐만 아니라 물리적인 주변의 여러 센서들을 통해 감시당할 수 있으며, 이러한 물리적 센서의 네트워크들은 향후 수천만 개의 휴대 기기들의 움직임, 위치를 감시할 수 있습니다(RFID 네트워크 I/F).
• 피싱(Phishing)
유저 인터페이스에 적은 용량을 차지하는 모바일 신분 관리 시스템의 특성상 피싱 공격에 취약하며, 이로 인해 커뮤니케이션 상대방의 인증이 더욱 어렵습니다.
• 목적을 넘어선 개인정보 수집 및 저장(Collection and storage of private information beyond the stated purpose)
서비스 제공자는 종종 서비스 운영에 필요한 것 이상의 개인정보를 취득하며 주로 향후에 요구될 수 있는 개인정보들을 대량으로 수집합니다.
• 배경 파악 실패(Failure to recognize context)
이용자들은 서비스에 따라 각기 다른 신분 인증을 요구받으며(온라인 서비스의 고객, 소셜 네트워크의 일원, 게임 플레이어), 그에 따라 이용자들은 디지털 세상에서 여러 가지의 신분을 소유합니다. 서비스 제공자가 많은 수의 신원을 관리하고 다른 서비스 제공자들끼리 공유할 신원 정보를 정하는 것이 중요합니다. 부적절한 이용자를 찾아내기 위해 이용자를 방해하지 않고, 이용자의 의도를 인식하고 특성화하는 것이 중요합니다.
• 부족한 기기 역량(Inadequate device resources)
셀룰러와 IEEE 802.11 네트워크에서 사용되는 인증 알고리즘은 파훼된 적이 있으며, 몇몇 보안 취약성에 대한 우려는 정보 전송 시 암호화 강화를 통해 일부 해결되었습니다. 그러나 암호화 강화를 요구하는 강력한 알고리즘은 필연적으로 더 높은 프로세서의 성능을 요구하며 이는 한정된 성능의 모바일 기기에서 기술적으로 한계가 존재합니다. 개인정보 보안 메커니즘은 서비스 공급자의 자격을 인증할 수 있는 제3자의 존재를 가정합니다. 이를 위해 신뢰할 수 있는 제3자에 대한 연결 또는 공개키 인프라도 필요합니다.
• 선형적 인증(Intrusive Authentication)
비선형적 방식으로 이용자를 인증하는 것은 여전히 연구가 필요합니다. 한 가지 방법은 생리학적 혹은 해부 조직적, 혹은 특정 행동과도 같은 생체 정보를 이용해 개인의 독특한 생물학적 특징을 확인하는 것이며, 이를 통해 개인이 이전에 제출한 생체 인식 데이터와 대조하는 것이나, 이는 원격 인증에 항상 효과적이지 않거나 혹은 실행되지 않을 위험성 존재합니다. 생체 인증의 발전은 상대적으로 새로운 연구분야인 만큼 개인별 생체 모델 구축 필요합니다
• 이용자의 부주의(Lack of user awareness)
이용자들은 서비스 제공자에게 어느 정도의 개인 정보를 공개할 것인지 항상 유념해야 합니다. 그러나 동시에 이용자들이 자신의 ID를 처리하고 작업을 수행할 수 있는 직관적인 개인정보 통제 메커니즘을 제공(이용자 친화적인 GUIs를 통해)하는 것은 매우 어렵습니다.
# 권장 방안
• 이용자 경험(User-experience)
모바일 신분 관리시스템은 침입 혹은 방해를 최소화하는 방향에 대해 이용자 스스로 결정할 수 있도록 적절한 정보를 제공해야 합니다. 모바일 신원 관리 메커니즘은 이용자의 배경을 효율적으로 식별함으로써 지연, 허위 식별 결과, 사용자 훼방 등을 최소화해야 합니다. 이용자가 사용하는 기기가 오래되었거나 거짓으로 사용되는 장치들과 연결될 때, 기기와 응용프로그램은 데이터에 접근할 수 없게 되고 문제가 생깁니다. 이용자들은 수많은 개인 보호 정책과 그 구성에 대한 의미를 모두 이해하지는 않기 때문에 시스템은 개인 보호 정책을 간결히 설명해야 합니다. 이용자를 위한 설명에는 네트워킹과 시스템에서 이용자들이 어떤 상황 정보를 보고 있는지, 어떻게 추론하는지, 그래프는 어떻게 표현되는지 등에 대한 연구가 포함됩니다.
• 접근 및 허가(Access and authorisation)
모바일 신원 관리 시스템은 각 ID 및 특정 서비스와 관련된 접근 권한을 투명하게 처리해야 합니다. 이용자는 비밀번호 또는 프로필 관리를 통해 비밀번호를 쉽게 변경하거나 잊어버린 비밀번호를 처리할 수 있어야 합니다. 모바일 신원 관리를 효율적으로 하기 위해서는 이용자가 강력한 비밀번호를 생성하는데 도움이 되어야 합니다. 또한 이용자는 자신의 ID를 처리하고 정보 취소와 같은 작업을 수행할 수 있는 직관적인 제어 기능을 모바일 신원 관리 시스템으로부터 제공받을 수 있어야 합니다. 화면 크기가 제한되고 입력이 어려운 모바일 장치는 이용자들이 통제 수단을 확인하기 힘드므로, 통제 수단은 가시성이 있어야 하며 이용자들이 그 결과를 확인할 수 있어야 합니다.
• 확장성(Scalability)
모바일 신원 관리 시스템은 운영자 혹은 서비스 제공 업체뿐만 아니라 이용자 관점에서도 효율적인 비용과 확장성을 가져야 합니다. 이용자들은 다양한 시스템에 접근하기 위해 여러 암호를 기억해야 하며, 이용자가 사용하는 서비스 수에 따라 이용자 경험에 미치는 영향이 달라집니다. 따라서 이용자 친화적이고, 유연하며, 표현력이 있게 서비스를 제공하며, 접근 권한, 제어, 비밀번호를 효율적으로 관리하는 것이 중요합니다.
• 탄력적인 연결(Resilient connectivity)
모바일 신원 시스템에 대한 공격은 네트워크의 나머지 부분에서 중요한 정보를 효과적으로 가져가는 형태입니다. 이러한 공격은 보다 탄력적인 네트워크와 함께 안정적인 연결을 제공하고 강력한 암호화 메커니즘을 지원함으로써 방지할 수 있습니다.
• 멀웨어 방어(Malware defences)
악성 소프트웨어에 의한 손상을 방지하기 위한 보안 메커니즘을 구현해야 하는데 여기에는 바이러스 백신과 주기적인 패치가 포함됩니다. 신뢰할 수 있고 인증된 소프트웨어만 장치에서 실행되도록 허용해야 하며, 신원 관리 프로토콜의 일부인 통신의 기밀성과 무결성을 보호하기 위한 적절한 암호화가 필요합니다.
• 프라이버시 설정 제어(Control over privacy settings)
이용자는 서비스 이용을 위해 개인 정보를 제공해야 하는 경우가 발생합니다. 서비스의 맞춤화 및 개인화를 위해 이용자가 조정 가능한 개인정보보호 메커니즘 및 도구 제공이 중요합니다.
• 위임(Delegation)
개인정보를 위임하는 메커니즘에는 식별 데이터의 비공개, 거래 간 연결의 제한, 최소 권한, 자격 증명의 오용 방지, 자격 증명 재위임 제한, 자격 증명 취소 등이 고려되어야 합니다.
• 신원 선택과 구성(Identity selection and composition)
모바일 신원과 수집 메커니즘을 구성할 속성(데이터 필드)을 결정하는 것이 중요합니다. 신원 수집 메커니즘은 모바일 사용자 외에 어떤 관계자들이 참여하고 있는지 표기해야 합니다(e.g. 네트워크 운영자, 관공서, 전문 조직, 고용주, 법 집행 기관 및 프로필 제공 업체 등).
• 소비자 신뢰(Consumer trust)
모바일 신원의 사용자에 대해서는 미시적인 수준에서의 개별 사용자와 기기에 대한 것은 물론, 모바일 신원이 사용되는 환경에 대한 거시적인 수준에서도 다루어져야 합니다. 모바일 비즈니스에서는 소비자와 서비스 공급 업체 간의 신뢰 관계를 구축하는 것이 중요합니다.
Kakao Insight Report: Digital Identity
Chapter 1. 신분증 제도의 시작과 국내외 관련 역사
Chapter 3. 국가별 모바일 신분증명 정책 및 사례
Chapter 5. 기존 신분증의 한계: 디지털 환경으로의 전환
Chapter 6. 안전한 디지털 신분증을 위한 안내서
Chapter 8. 카카오 디지털 신분증: 인증, 증명, 서명
[Reference]
[1] https://www.enisa.europa.eu/publications/Mobile%20IDM
