금요일, 5월 04, 2012
지문인식기술활성화 기대
사용자 신원을 확인하는 방법에는 크게 3가지로 분류될 수 있습니다.
1. What you know: ID/PWD와 같이 자신이 알고 있는 것을 확인
2. What you have: 공인인증서, 보안토큰 등과 같이 자신이 소유하고 있는 것을 확인
3. What you are: 지문, 홍채 등 사용자의 신체적 특징을 확인
위 3가지 기술중 한가지만을 적용하게 되면, 해킹에 따른 2차 피해 위협에 대응하기 어려워 최근에는 상기 기술중 두가지 이상을 서로 조합하는 multi-factor 인증을 적용하기를 권장하고 있습니다. 최근에 개정된 법률[1]에는 사용자의 신원을 조회하거나 본인 확인을 위한 방법으로 주민번호를 사용하지 않고 "대체수단(즉, i-PIN, 공인인증서, SMS인증 등)"을 제공해야 한다고 규정하고 있습니다.
신체적인 특징을 이용하면 확실한 신원보장이 되기 때문에 사용자의 거부감이 적고 인식률도 뛰어난 지문인식을 통한 사용자 인증 방법이 많이 활성화 되고 있습니다. 기사화 되었듯이 조달청은 5월 15일 부터 새롭게 도입한 지문인식전자입찰방식을 사용하여 기존 공인인증서를 사용한 입찰방식에 있어서 문제시 되었던 인증서 양수, 양도를 통한 불법 입찰을 원천 방지 할 수 있을 것이다[2] 라고 기대하고 있습니다. 또한, 최근 스마트폰 이나 스마트 카드 분야에서 활성화 되고 있는 모바일 결재시장에서도 지문을 추가하여 사용자를 인증하는 방식을 채택하고 있습니다. 기사[3]에서도 언급하였듯이 우리나라의 경우에는 주민등록법에 의해 등록된 국민의 대다수는 지문을 확보하였기 때문에 다양한 분야에서 지문인식을 활용하여 신원을 확인할 수 있을 것으로 기대가 됩니다.
[1] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제23조의2(주민등록번호의 사용 제한)
[2] http://www.boan.com/news/articleView.html?idxno=2034
[3] 모바일카드 `지문인식` 수면위 부상
수요일, 5월 02, 2012
사용자 동의없는 개인정보 수집기술동향[NIPA주간기술동향 통권 1544호]
개인정보보호법 재정이후 동의없는 개인정보 수집은 처벌의 대상이 되고 있습니다. 그럼에도 단말, 플랫폼, NW단에서 사용자의 동의없는 개인정보 수집기술에 대해 아래 자료는 좋은 기술 요약 자료입니다..
결론적으로 기업의 경쟁이 가속화 됨에 따라, 축적된 개인정보를 동의없이 활용하는 사례가 많이 보고 되고 있으며, 개인정보 생애주기에 따른 위협이 광범위 하기 때문에, 사용자의 동의 없은 개인정보수집 기술을 근본적으로 제한하기 위해서는 개인에게 자기정보의 결정권을 더욱 강화하는 프레임을 구축하는 방법인 VRM(Vendor Relation Management)구성이 보다 효과적일 수 있을 것입니다.. 다만, 기업에서 이를 효과적으로 응용할 수 있는 구체화된 프레임워크나 가이드등이 아직은 부족하게 느껴집니다..
http://www.itfind.or.kr/itfind/getFile.htm?identifier=02-001-120430-000014
참고자료
[1]구글의 프라이버시 정책 변경과 개인화 검색의 함의
[2]VRM: 사용자 중심의 고객관계관리(CRM)
결론적으로 기업의 경쟁이 가속화 됨에 따라, 축적된 개인정보를 동의없이 활용하는 사례가 많이 보고 되고 있으며, 개인정보 생애주기에 따른 위협이 광범위 하기 때문에, 사용자의 동의 없은 개인정보수집 기술을 근본적으로 제한하기 위해서는 개인에게 자기정보의 결정권을 더욱 강화하는 프레임을 구축하는 방법인 VRM(Vendor Relation Management)구성이 보다 효과적일 수 있을 것입니다.. 다만, 기업에서 이를 효과적으로 응용할 수 있는 구체화된 프레임워크나 가이드등이 아직은 부족하게 느껴집니다..
http://www.itfind.or.kr/itfind/getFile.htm?identifier=02-001-120430-000014
참고자료
[1]
[2]VRM: 사용자 중심의 고객관계관리(CRM)
미국 주요 ISP, 새로운 사이버보안 대응방안 제시
개의 메이저를 포함한 미국의 주요 ISP들은 미국 연방통신위원회(FCC, Federal Communication Commission)의 자문위원회에 권고한 바에 따라 주요 사이버보안 위협에 대응하기 위한 방안을 마련하여 제시
http://mirian.kisti.re.kr/7t/7t_GT_v.jsp?record_no=229015&tech_cd=IC
토요일, 5월 05, 2007
균형 있는 Identity에 대한 생각
최근 블로그를 통해 알게된 국내외 CEO의 사임 소식을 접하면서 삶의 균형에 대해서 생각해 봅니다.
1. 에델만의 김호님
- 인생이란 마라톤의 후반을 준비하기 위해,
2. JanRain의 Scott Kveton
- 자신의 믿고 끊임 없이 지원해준 가족들을 위해,
아버지의 역할에 좀더 충실 하기 위해.
우리의 삶에는 항상 선택의 순간이 있으며, 순간의 결정을 위해 삶의 우선순위를 생각하게 됩니다. 우선 두분 삶의 선택을 존중 합니다. 약간은 부럽습니다.^^
글을 통해 본 중요한 사실은 삶의 균형이라는 것입니다. 얼마나 균형을 유지하면서 살아가는지는 사실 자신만이 알 수 있는 것이겠죠..
좀 황당한 생각이지만, 사용자의 균형잡힌 삶의 Identity를 관리해주는 시스템은 언제쯤에나 가능할까요?.. ^^
1. 에델만의 김호님
- 인생이란 마라톤의 후반을 준비하기 위해,
2. JanRain의 Scott Kveton
- 자신의 믿고 끊임 없이 지원해준 가족들을 위해,
아버지의 역할에 좀더 충실 하기 위해.
우리의 삶에는 항상 선택의 순간이 있으며, 순간의 결정을 위해 삶의 우선순위를 생각하게 됩니다. 우선 두분 삶의 선택을 존중 합니다. 약간은 부럽습니다.^^
글을 통해 본 중요한 사실은 삶의 균형이라는 것입니다. 얼마나 균형을 유지하면서 살아가는지는 사실 자신만이 알 수 있는 것이겠죠..
좀 황당한 생각이지만, 사용자의 균형잡힌 삶의 Identity를 관리해주는 시스템은 언제쯤에나 가능할까요?.. ^^
ETRI와 MS의 제휴
한국 ETRI 와 한국 MS가 5월 4일 전자 ID지갑 공동 개발을 위한 MOU를 체결했다.
ETRI 보도자료
MS는 닷넷 패스포트를 통해 사용자의 Traffic과 Transaction 획득을 시도 했으나 널리 사용되는데 실패를 한 경험을 통해, 자신의 개발 기술을 널리 알리고, 보급하는데 힘쓰고 있으며, Open 커뮤니티 활동등 그 범위를 계속 넓혀 나가고 있다.
MS의 Kim Cameron님은 2008년이 Identity기술이 널리 보급이 되는 원년으로 예상하였다. MS의 Cardspace는 여러 가지 자료를 통해서 그 기술의 가치를 증명해 보이고 있다.
ETRI에서는 SAML 2.0기반의 ID 관리 시스템에 대한 자체 기술을 확보 하고 있으며, 우리 나라의 ID Framework보급과 기술을 선도해 가고 있다.
구글은 자사의 계정관리 솔루션인 구글 어카운트를 통해 구글 체크아웃 서비스(결제 대행 서비스)를 시행하고 있다. 규모의 경제이기 때문에 약 1억 2천만개가 넘는 사용자의 계정을 통한 Transaction서비스는 그 파급효과가 상당할 것으로 생각된다.
MS는 현재의 상황에서 Cardspace를 통해 두번째 맞은 기회를 어떻게 활용할지 2008년이 기대가 되며, ETRI에서 개발 예정인 자기통제 기능이 강화된 전자 ID지갑 시스템의 개발 범위와 그 활용 사례등이 개인적으로 몹시 기대가 된다. 또한 그 결과물이 MS의 Cardspace 플랫폼을 통해 제공된다면 인터넷 익스플로러 및 MS 윈도우를 많이 사용하는 우리나라에서의 그 파급효과는 상당히 클 것으로 생각된다.
앞으로의 진행 방향이 자못 기대 되는 바이다.
ETRI 보도자료
MS는 닷넷 패스포트를 통해 사용자의 Traffic과 Transaction 획득을 시도 했으나 널리 사용되는데 실패를 한 경험을 통해, 자신의 개발 기술을 널리 알리고, 보급하는데 힘쓰고 있으며, Open 커뮤니티 활동등 그 범위를 계속 넓혀 나가고 있다.
MS의 Kim Cameron님은 2008년이 Identity기술이 널리 보급이 되는 원년으로 예상하였다. MS의 Cardspace는 여러 가지 자료를 통해서 그 기술의 가치를 증명해 보이고 있다.
ETRI에서는 SAML 2.0기반의 ID 관리 시스템에 대한 자체 기술을 확보 하고 있으며, 우리 나라의 ID Framework보급과 기술을 선도해 가고 있다.
구글은 자사의 계정관리 솔루션인 구글 어카운트를 통해 구글 체크아웃 서비스(결제 대행 서비스)를 시행하고 있다. 규모의 경제이기 때문에 약 1억 2천만개가 넘는 사용자의 계정을 통한 Transaction서비스는 그 파급효과가 상당할 것으로 생각된다.
MS는 현재의 상황에서 Cardspace를 통해 두번째 맞은 기회를 어떻게 활용할지 2008년이 기대가 되며, ETRI에서 개발 예정인 자기통제 기능이 강화된 전자 ID지갑 시스템의 개발 범위와 그 활용 사례등이 개인적으로 몹시 기대가 된다. 또한 그 결과물이 MS의 Cardspace 플랫폼을 통해 제공된다면 인터넷 익스플로러 및 MS 윈도우를 많이 사용하는 우리나라에서의 그 파급효과는 상당히 클 것으로 생각된다.
앞으로의 진행 방향이 자못 기대 되는 바이다.
월요일, 4월 09, 2007
Service Provision Markup Language
프로비전 개념
- 서비스 등록, 변경, 삭제등 라이프 사이클을 관리
- 서비스 대상 Device가 Online 되기 까지의 일련의 절차.
Service Provider는 사용자에게 서비스를 제공하기 위해 Provisioning을 수행해야 합니다.
Excel 파일 또는 EDI에 의해서 프로비젼이 되었던 것이 빠른 서비스 제공 또는 서로간 연계된 서비스 제공을 위해 OASIS를 중심으로 SPML표준화가 진행되었습니다.
2003년 초 SPML(Service Provision Markup Language) 1.0이 처음 세상에 나옵니다. XML based의 Provision 표준안은 XML Schema 에도 약간의 버그가 있었으나, 계속적인 진화를 거듭하여 2006년 봄 SPML v2가 채택 되었습니다.
SPML 을 사용하면 다음의 장점이 생길 수 있습니다.
- Interoperable Provisioning(no customer connectors required)
- Reliability
- Some auditing and Correlation
기업용 서비스들은 DMZ에서 또는 사설망에서 서비스 사용자의 Provision정보를 관리 하고 있으나, 서비스 Provider 또는 상호 연계된 서비스를 위한 유연한 프로비젼 구조가 필요 하겠습니다. 이를 위해 고안된 SPML 도 관심을 기울여야 하겠습니다.
월요일, 2월 26, 2007
Identity Management for NGN
작년 12월에 ITU에서 있었던 NGN을 위한 Digital Identity에 관한 Workshop 자료 입니다. NGN을 위한 Digital Identity에 대한 개괄적인 내용 뿐만 아니라, Identity 및 Identity Management에 대한 전반적인 내용을 다루고 있기 때문에 음미하면서 읽어볼 좋은 자료 입니다.
우리나라 ETRI에서도 행자부 통합정보망, 정통부 i-PIN, 전자 지갑 등 idM에 관련된 내용에 대해서 발표를 하셨습니다.
첨부한 그림은 Notel의 Sergio Fiszman님이 발표한 자료에서 인용한 것으로, 개인적으로 생각하는 궁극적인 idM의 모습과 너무 흡사해서 아주 좋았습니다.
Sun의 Rakeh님 께서도 관련된 내용을 포스팅 하셨습니다. 직접 저술하신 "SOA와 네트웍 통합을 위한 핵심 분야 - Identity & Security"에 대한 내용의 책이 출판될 예정이라고 합니다. 한번 구해서 읽어 봐야 겠습니다.
목요일, 2월 22, 2007
급속하게 전파되는 OpenID
MS, sxip, NetMesh, JanRain 회사가 모두 OpenID지원을 위한 협력을 발표한 이후, 대형 포탈인 AOL이 OpenID를 지원을 발표 하였습니다.
AOL의 가입자 규모가 6천3백만 이라고 하니 어마어마한 수의 OpenID가 생겨난 것입니다.
JanRain의 Kveton은 지난주에 있었던 Ignite Seattle 에서 OpenID에 대한 소개를 하면서 2007년도 OpenID에 대한 다음과 같은 전망을 했습니다. MS의 Jackson의 포스팅을 인용하면
국외(특히 미국)의 활동은 아주 빨리 전파가 되어가고 있습니다.
AOL의 가입자 규모가 6천3백만 이라고 하니 어마어마한 수의 OpenID가 생겨난 것입니다.
JanRain의 Kveton은 지난주에 있었던 Ignite Seattle 에서 OpenID에 대한 소개를 하면서 2007년도 OpenID에 대한 다음과 같은 전망을 했습니다. MS의 Jackson의 포스팅을 인용하면
또한 Digg.com에서도 OpenID를 지원하겠다고 발표 하였습니다.
- OpenID is single sign-on for the web
- Simple, light-weight, easy-to-use, open development process
- Decentralized
- Lots of companies are already using it or have pledged support
- 12-15M users have OpenIDs; 1000+ OpenID enabled sites
- 10-15 new OpenID sites added each day
- 7% growth every week in sites
- 2007 there will be 100M users, 7,500 sites, big players adopt OpenID and that OpenID services emerge
국외(특히 미국)의 활동은 아주 빨리 전파가 되어가고 있습니다.
토요일, 2월 10, 2007
패스워드 salting
구글에서 패스워드 Salting관련 검색을 해보니 대표적으로 아래 2개가 검색 되었습니다.
ChangHee Lee (이창희): 패스워드 강화방법
Digg - Password Salting
Salting: 소금에 절인다 [사전적 의미]
동일한 ID, 비밀번호를 사용하면 한번 노출에 의해 피해 범위가 커질 수 있으므로, 개별 사이트 마다의 특징을 추출하여 비밀번호에 정보를 추가함으로써 생성한 자신은 알수 있으나, 타인은 알아 내기 들게 하는 방법이라 할 수 있겠습니다. Social Engineering을 이용한 공격에 대응하기 위해 유념해야 개념 입니다.
ChangHee Lee (이창희): 패스워드 강화방법
Digg - Password Salting
Salting: 소금에 절인다 [사전적 의미]
동일한 ID, 비밀번호를 사용하면 한번 노출에 의해 피해 범위가 커질 수 있으므로, 개별 사이트 마다의 특징을 추출하여 비밀번호에 정보를 추가함으로써 생성한 자신은 알수 있으나, 타인은 알아 내기 들게 하는 방법이라 할 수 있겠습니다. Social Engineering을 이용한 공격에 대응하기 위해 유념해야 개념 입니다.
피드 구독하기:
게시물 (Atom)
