검색결과
-
[기획-디지털 ID 법률] ②미국 'Improving Digital Identity Act of 2023'의 주요 내용미국 국토안보및정부정책위원회(Committee on Homeland Security and Governmental Affairs)에 따르면 '2023년 디지털 ID 개선법(2023년 Improving Digital Identity Act of 2023) 초안이 하원에 제출돼 있다. '디지털 ID 개선법'은 디지털 ID를 개선하기 위한 광범위한 정부의 접근을 구축하기 위한 목적으로 제정하려는 것이다. 디지털 ID 개선법의 '디지털 ID를 개선하기 위한 태스크포스팀(TFT)에 대해 알아보자.우선 TFT를 구성하는 목적은 연방정부, 주정부, 정부기관 등이 물리적 자격과 디지털 ID 자격증 사이에서 보안을 높이고 접근성을 향상시키기 위한 정부의 광범위한 노력을 구축하기 위함이다.특히 운전 면허증, 전자여권, 사회보장증, 출생증명서 등올 포함한 기존 물리적 신분증의 디지털 버전의 발전을 진흥시키는 것이 중요하다고 판단한다.TFT의 설립 목적을 구체적으로 살펴보면 개인의 프라이버시와 보안 보호, 공공 및 민간 부문에서 신리하고 상호 운용이 가능한 디지털 ID 신분증의 지원, 신원 절도나 기만의 감소 등으로 다양하다.다음으로 TFT팀은 대통령이 지명한 팀장(director)가 이끌게 된다. 팀장의 급여는 연방법 제5편 5313조의 고위직 보수표 레벨2에 명시된 수준으로 지급된다.팀장의 자격은 디지털 ID의 관리, 정보보안 등에서 기술적 전문성과 관리 능력을 충분하게 갖고 있어야 한다. 최소한 1개 이상의 기관에서 근무하고 대학, 지원 단체, 민간 분야에서 획득한 전문 자격증도 필요하다.팀장으로 근무하는 기간 동안 다른 연방정부의 공무원 직책을 가져서는 안 된다. 팀장으로 근무하는 기간은 법률에 지정된 내용에 따라야 한다.마지막으로 TFT팀의 회원은 정부와 민간 부문에서 고르게 추전을 받는다. 정부는 재무부 장관, 표준기술연구소장, 금융범죄단속네트워크장, 사회보장위원회장, 국무부 장관, 행정실장, 예산관리국장, 국가사이버장, 검찰총장 등이다.TFT팀장은 5명의 비정부 전문가를 임명할 수 있다. 하지만 민간 전문가는 프라이버시와 시만자유권 전문가. 신원증명 관련 기술 전문가, 신원증명 서비스에 관련된 사이버보안 전문가, 신원증명 서비스산업을 대표하는 사람, 사업을 수행하기 위해 효과적인 신원증명을 의존하는 단체를 대표하는 사람 등이다.TFT팀장은 TFT의 효과적인 운영을 위해 적절한 숫자의 워킹그룹을 조직해야 한다. 또한 연방법 제5편 1009(a)조에 따라 공공 발표를 위해 회의를 주재해야 한다.
-
[기획-디지털 ID 법률] ①미국 'Improving Digital Identity Act of 2023'의 제안 배경미국 국토안보및정부정책위원회(Committee on Homeland Security and Governmental Affairs)에 따르면 '2023년 디지털 ID 개선법(2023년 Improving Digital Identity Act of 2023) 초안이 하원에 제출돼 있다.'디지털 ID 개선법'은 디지털 ID를 개선하기 위한 광범위한 정부의 접근을 구축하기 위한 목적으로 제정하려는 것이다. 정부기관, 기업 등이 온라인에서 주장하는 개인의 신원을 쉽고 신뢰하며 안전한 방법으로 확인하기 어려운 점을 해소해야 하기때문이다.미국 정부의 자료에 의하면 2021년 기준 국내에서 2억9300만 명이 데이터 침해나 위·변조로 신원 절도나 신용 부정을 경험했다. 2017년 이후 신원 부정행위로 유발된 손실은 330% 증가했으며 손실액은 2020년 기준 US$ 560억 달러에 달한다.현재 도입된 디지털 ID 솔루션은 미국 국민을 보호하기에는 부적합해 보안, 프라이버시, 공정, 접근성을 개선하기 위한 차세대 솔루션의 개발이 시급한 상황이다.미국 내에서 신원의 보증자로써 정부기관은 국내의 디지털 ID 인프라의 부족함을 강조하고 보완해야 할 책임을 부담해야 한다. 또한 민간 부문의 디지털 ID와 신원확인 솔루션의 개발 방향도 확정해야 한다.주정부는 공공과 민간 부문에서 사용하는 디지털 ID 솔루션을 개선시키는 데 핵심적인 역할을 수행하기에 적합하다. 주정부가 오늘날 일반적으로 사용하는 운전면허증과 다른 신원 문서의 발급자이기 때문이다.하지만 공공과 민간 부문은 디지털 ID의 확신, 프라이버시, 선택, 공정, 접근성, 혁신 등을 진흥시키기 위한 솔루션을 구현하기 위해 협력해야 한다.민간 부문은 미국에서 디지털 ID 관련 혁신을 주도하고 있으며 디지털 ID 솔루션의 구현하는데 중요한 역할을 담당하고 있다. 미국이 글로벌 ICT산업을 주도하며 최고 기술력을 보유하고 있다.국가사이버안보진흥위원회는 연방정부가 광범위한 신원 시장에서 신원정보를 인증하기 위한 1개의 권한 원천 기관으로 자리매김해야 한다고 조언한다.또한 위원회는 안전하고, 사용자 친화적이며 프라이버시 보호에 중점을 둔 방법을 찾기 위해 다양한 기관이 참여한 태스크포스팀을 구성하라고 권고했다.연방정부는 개인, 기업, 정부기관 등이 온라인에서 자신의 신원을 입증하기 위한 거래를 보호하기 위해 선택한 디지털 ID 솔루션이 안전, 신뢰성, 프라이버시, 공정, 접근성, 편리성을 보장하도록 관리해야 한다.
-
[기획-디지털 ID 정책] ①디지털 ID 워킹그룹(DIWG), 디지털 ID 시스템 상호 운용성에 대한 원칙 발표글로벌 차원에서 디지털 ID(Digital Identity)를 연구하는 DIWG(Digital Identity Working Group)에 따르면 전 세계 8개 DGX(Digital Government Exchange) 회원국과 디지털 ID 전문가들이 워킹그룹에 참여하고 있다.DIWG는 상호 인정되고 상호운영할 수 있는 디지털 ID 시스템 및 인프라 개발에 대한 국제적인 협업을 지원하기 위해 11개의 핵심 원칙을 수립했다.11개 핵심 원칙은 △개방성 △투명성 △재사용성 △사용자 중심성 △포용성 △접근성 및 다국어 △보안 및 개인정보 보호 △기술 중립성 및 데이터 이식성 △관리 단순성 △정보 보존성 △효과성 및 효율성 등이다.현재 디지털 ID 환경 전반에 걸친 기존 정책, 법적 및 기술적 프레임워크와 DIWG 참여 8개국의 특정 디지털 ID 솔루션 및 사용 사례에 대한 비교 조사를 기반으로 원칙을 정했다. DIWG에 참여한 8개국은 캐나다, 영국, 네덜란드, 핀란드, 오스트레일리아, 뉴질랜드, 싱가포르, 이스라엘이다.워킹 그룹의 목표는 자유무역협정(FTA), 유사한 양자 또는 다자간 무역협정의 맥락에서 무역 기회를 향상시키기 위해 상호 인식 및(또는) 상호운용 가능한 디지털 ID 및 인프라를 가능케하는 경로를 개발하는 것이다.대부분의 국가는 현재 상호 인식 및 상호운영성에 대해 단계적으로 접근하고 있다. 따라서 워킹 그룹은 디지털 ID 및 인프라의 상호 인식과 상호운용성을 안내하는 공통 원칙을 중요하게 인식한다.이러한 기조는 정책 및 법적 프레임워크, 기술 상호운용성 및 표준의 조정으로 이어진다. DIWG의 원칙은 상호운용성을 촉진하고 코로나19(Covid-19)로부터의 회복을 위해 무역 및 여행을 위한 글로벌 국경 개방을 포함해 잠재적인 이점을 실현하는 데 도움이 된다.개인정보보호, 투명성, 공정성, 사람 중심 가치 등을 포함해 기존에 국제적으로 인정된 원칙 또는 지침을 고려함으로써 데이터 관리 및 개인정보 보호에 세심한 주의를 기울이고 있다.글로벌 디지털 ID 표준, ID 보증 수준, 책임 프레임워크를 포함해 신뢰 프레임워크와 디지털 ID 시스템의 지속 가능한 상호 운용성을 보장하기 위해 국가 간 다른 정책 및 법적 프레임워크를 조정해야 한다.상호운용성은 국가, 공공, 민간 부문 간 책임에 대한 기본 비즈니스 모델과 프레임워크에 대한 공통 이해를 통해 디지털 ID 시스템에서 민간의 역할을 고려한다.
-
[기획-디지털 ID의 이해] ①디지털 ID란 무엇인가?스위스 제네바에 본부를 둔 국제연합(United Nations, UN)에 따르면 2030년까지 모든 사람들이 법적 신분증을 획득하도록 만들겠다는 야심찬 목표를 수립했다. 지속가능개발목표(Sustainable Development Goals, SDG 16.9)의 일환이다.현재 약 78억 명의 지구 인구 중 10억 명이 자신이 누구인지 증명할 신분증을 보유하지 못하고 있다. 공공 및 민간 부분을 포함한 국제사회는 이러한 문제를 해결하기 위해 노력 중이다.2020년 전 세계적으로 확산된 코로나19 팬데믹(대유행)으로 디지털 사회가 가속화되고 있다. 비대면, 비접촉, 디지털화로 디지털 경제가 급성장했지만 보안문제가 해결되지 않았다.일반 사용자는 디지털 거래가 안전하고 데이터가 오용되지 않을 것이라고 신뢰해야 디지털 경제에 참여한다. 따라서 사람들을 디지털 경제에 참여시키려면 데이터를 보호하고 디지털 ID(digital identity)를 활성화시켜야 한다.그렇다면 디지털 ID란 무엇인가? 디지털 ID는 '실제 세계의 개인 ID와 유사한 디지털 세계의 검증된 디지털 속성 및 자격 증명 세트다. 디지털 세계에서 개인을 식별할 수 있는 정보 및 데이터'를 말한다.즉, 개인의 전자적 식별을 말하며 △온라인 서비스 접근 △구매 △디지털 플랫폼에서 다른 사람과의 상호작용 등에 주로 사용된다. 디지털 ID는 국가가 규정한 ID 체계에 의해 발급되거나 규제되며 온라인 또는 오프라인에서 사람을 고유하게 식별하게 된다.대부분의 국가는 법률로 △고유 식별 번호 △이름 △주소 △생년월일 △시민권 △생체정보 △예방접종 코드 등과 같은 디지털 속성을 정의한다.이외에도 디지털 ID는 운전면허증, 여권, 사회보장카드 뿐 아니라 개인이 온라인에서 활동하며 생성한 검색 기록, 구매 기록 등을 포함한다.유럽연합(EU) 이니셔티브 및 오스트레일리아는 디지털 ID 지갑을 통해 소유자를 인증한다. 독일, 스페인, 이탈리아, 포르투갈은 eID 카드를 사용하고 핀란드, 벨기에, 에스토니아는 모바일 ID로 소유자를 인증하고 있다.미국 연방정부 및 주정부는 휴대폰에 저장해 사용할 수 있는 디지털 운전면허증을 도입했다. 인도 정부는 15억 명이 넘는 인구를 디지털 경제에 유입시키기 위해 고유한 생체 관련 ID 번호를 만들었다.최근 우리나라에서도 금융사기 및 위조 문제가 사회적 이슈로 등장하면서 디지털 ID의 법적 및 사회적 영향에 대한 논의가 활발해지고 있다. 디지털 사회에서 법적 ID 도용이 큰 위협이 될 수 있기 때문이다.21세기 정보화사회에서 디지털 ID가 개인의 신분과 이력을 입증할 핵심 도구가 되려면 표준의 제정이 시급하다. 현재 다수 정부기관이 제각각 다른 정책을 펼치고 있어 우려를 제기하는 전문가가 적지 않다.
-
[케냐] ID4Africa 2023, 지난 5월23~25일까지 3일간 아프리카 케냐 나이로비에서 '공공 인프라로서 디지털 신원'이라는 주제 AGM개최지난 5월23~25일 3일간 아프리카 케냐 나이로비에서 '공공 인프라로서 디지털 신원'이라는 주제로 ID4Africa 2023 : The Augmented General Meeting (AGM)이 개최됐다. 이어 6월7일 및 21일에는 온라인 라이브 캐스트로 진행됐다.세계적인 규모의 컨퍼런스 및 엑스포는 ID(identity) 개발에 전념하는 약 1500명의 지역 및 국제적인 전문가, 실무사들을 모았다.공공 인프라로서 디지털 신원(Digital ID)이라는 주제로 진행됐다. 지난 10년간 ID 개발을 지배해온 고유한 신원의 등록 및 인증을 넘어 아프리카 지역 신원 생태계를 다음 단계로 발전시키기 위한 모범 사례를 공유하는 것이 목적이다.사용자 유지를 강화하고 우선 순위가 높고 영향력이 큰 사용 사례를 공유하고 ID 체계의 지속 가능성을 개선하기 위한 정책에 초점을 맞췄다.또한 아프리카 대륙에서 진행 중인 12개 프로그램의 경험을 통해 정보를 공유했다. 아프리카 이외 지역 여러 국가에서 디지털 ID를 성공적으로 구현한 사례를 함께 나눴다.AGM의 의제는 서비스 제공을 위한 신원 확인과 같은 즉각적인 요구에 대한 응답이다. 동시에 미래 지향적이며 정부 및 사회의 디지털 변화를 위한 공공 인프라의 개발, ID4D를 재활성화하기 위한 미래 경로 등을 공유했다.
-
[미국] 국제생체인증협회(FIDO Alliance), FIDO UAF 1.2, CTAP 2.1 국제 표준으로 승인국제생체인증협(Fast IDentity Online, FIDO Alliance)에 따르면 FIDO UAF 1.2, CTAP 2.1 사양이 국제 표준으로 인증을 받았다.FIDO 표준은 국제전기통신연합 전기통신 표준화 부문(International Telecommunication Union's Telecommunication Standardization Sector, ITU-T)으로부터 국제표준으로 승인받았다.ITU-T는 UN(United Nations) ICT 전문기구인 ITU의 표준화 기관이다. 표준 인증은 정보통신기술(information and communication technologies, ICT)의 글로벌 인프라에 대한 공식 ITU 표준(ITU-T 권고안)으로 설정됐다.ITU-T 권고안(ITU 표준) 사양은 다음과 같다. FIDO UAF 1.2(권고안 ITU-T X.1277.2)는 사용자가 로컬 장치에 인증하기 위해 생체 인식 및 기타 양식을 사용함으로서 암호 없이 인증을 제공하는 모바일 표준이다.CTAP 2.1 (권고안 ITU-T X.1278.2)는 W3C 웹 인증 표준과 함께 FIDO2 사양의 일부로서 비밀번호 없는 2단계 또는 다단계 인증 경험을 위해 USB, NFC, 또는 BLE를 통해 FIDO2 지원 브라우즈 및 운영체제에서 인증을 위해 FIDO 보안 키, 모바일 장치 등 외부 인증자를 사용할 수 있도록 했다.참고로 ITU-T 권고안은 보안을 위한 ITU 표준화 전문가 그룹인 ITU-T 스터디그룹 17의 책임 하에 있다. ITU-T의 인증은 FIDO 인증기술의 성숙도를 보여주고 W3C(World Wide Web Consortium)과의 표준화 작업을 보완한다.FIDO UAF 및 CTAP 사양의 이전 사양은 2018년 ITU 표준으로 처음 채택됐다. ITU-T 연구그룹 17은 FIDO 얼라이언스와 협력을 지속해 나갈 방침이다.
-
[미국] 인텔리체크(Intellicheck, Inc.), ISO/IEC 27001:2013 및 ISO/IEC 27701:2019 인증 획득미국에서 업계를 선도하고 있는 신원 확인(아이덴티티, identity) 기업 인텔리체크(Intellicheck, Inc.)에 따르면 ISO/IEC 27001:2013 및 ISO/IEC 27701:2019 인증을 획득했다.ISO 인증 획득 범위에 인텔리체크의 입증된 현장 기술 통제, 공적적인 IT 보안, 개인 정보보호, 절차 등이 포함된다.ISO 인증으로 인텔리체크는 현재 고객 및 잠재 고객, 비즈니스 파트너에게 최고 품질의 제품을 제공하려는 회사의 지속적인 노력과 세계 수준급 기업의 우수성을 보여줬다.또한 국제적으로 인증받는 표준을 준수함으로써 보안 관리 프로그램이 포괄적이고 선도적인 관행을 따르고 있음을 확인 시켰다. 인텔리체크의 우선 순위는 최고 수준의 정보 보안 및 개인 정보 보호 표준을 반영한 최첨단 기술 솔루션으로 고객의 요구를 충족시키는 것이다. 온디멘드(주문형) 디지털 및 물리적 인증 검증 솔루션을 제공하는 신분확인 기업으로 업계를 선도하고 있다. 인텔리체크는 브라우저 또는 모바일 장치를 통한 온라인 뿐 아니라 오프라인 매장에서 POS 스캐너를 통해 유연한 기술 솔루션을 사용하는 상위 12개 은행 신용카드 발급사 등을 포함해 핀테크 및 금융서비스 기업에 디지털 및 물리적 신원 확인 솔루션을 제공하고 있다.인텔리체크의 광범위한 솔루션은 BNPL 제공업체, 3만개 이상의 소매점, 여러 법 집행 기관, 주 정부 등에서 사용되고 있다.
-
[미국] 사이버레스(CyberRes), 7월 20일 사이버 리질리언스 제품이 ISO 27001.2013 인증받아미국 보안서비스업체인 사이버레스(CyberRes)에 따르면 2022년 7월 20일 사이버 리질리언스 제품이 ISO 27001.2013 인증을 받았다.ISO 27001.2013은 정보보안관리시스템(ISMS) 카테고리에 포함되는 인증이다. 사이버 리질리언스 제품은 SaaS(software-as-a-service)을 통해 제공된다.인증을 받기 위해 고객 데이터와 고객 프라이버시를 포함하고 있는 정보보안관리시스템을 위한 SaaS 제공을 실행, 유지 그리고 지속적으로 개선했다.또한 ISO 27001.2013 인증을 받았다는 것은 그동안 사이버레스가 사이버 보안 시장에서 신뢰성이 가장 높은 리더였다는 것을 입증한다.사이버베스는 고객의 지식재산, 기타 데이터와 같은 가장 가치 있는 자산을 어떻게 보호할 것인지에 대한 연구를 지속적으로 해왔다. 최고 수준의 전문가를 투입해 프로그램을 개발하고 있다.이번 ISO 27001:2013 ISMS 인증은 △Security Operations △ArcSight Intelligence △ArcSight Intelligence for CrowdStrike △ArcSight Recon Galaxy Public △Galaxy Threat Acceleration Program Basic △Galaxy Threat Acceleration Program Plus △Identity and Access Management △NetIQ Advanced Authentication △NetIQ Identity Governance △Data Security △Voltage File Analysis Suite △Voltage Secure Mail △Application Security △Fortify on Demand △Fortify Hosted 등의 제품을 포함한다.
-
[미국] 아이베타, ISO 30107 표준과 FIDO 표준의 효율성 비교미국 생체인식 테스트 랩(Biometrics test lab)인 아이베타(iBeta)에 따르면 생체인식 프레젠테이션 공격 감지(PAD) 테스트와 관련해 ISO 30107 표준과 FIDO(Fast Identity Online) 표준의 효율성을 비교하는 보고서를 공개했다.2개 인증 모두 생체 인식 보안 표준을 준수하는 것으로 국제적으로 인정된다. ISO 30107을 획득하기 위한 테스트는 한 레벨에서만 성능 테스트를 요구하고, FIDO는 두 레벨 모두에서 테스트를 요구한다는 점에서 차이가 난다.ISO 적합성 테스트는 '라이브니스 전용(liveness-only)'과 '전체 시스템(full-system)'의 2가지 모드를 포함한다. 2가지 모드 모두 시스템의 보안 보호 장치에 침투하도록 설계된 마스크와 같은 PAI(presentation attack instruments)을 생성해야 한다.라이브니스 전용 테스트는 생체 인식 시스템이 살아있는 인간과 공격을 구별하는 능력을 평가한다. 전체 시스템도 개개인을 구별하는 생체 시스템의 능력을 테스트한다.반면에 FIDO 얼라이언스(Alliance) 의 생체 인식 구성요소 인증에서는 PAD 테스트 단계와 성능 테스트 단계가 포함된다.첫 번째 단계에서는 생체 인식 시스템이 실험실 환경에서 테스트되는 것을 확인한다. 두 번째 단계에서는 실제 조건을 반영하는 인구 집단에서 대량 테스트가 실행된다.이와 같은 차이점을 바탕으로 아이베타는 은행이나 기타 금융 기관에 기술을 판매하려는 회사는 어떤 유형의 테스트가 필요한지를 알려주고 있다.
-
TTA, FIDO Alliance와 양해각서 체결한국정보통신기술협회(회장 최영해, 이하 'TTA')와 FIDO Alliance(이사장 Andrew Shikiar)는 2022년 12월 5일 '디지털 문서 진위 여부 검증(Document Authenticity, 이하 'DocAuth') 표준 개발 및 시험인증 체계 구축을 위한 협력의 일환으로 양해각서(MoU)를 체결했다.'고 밝혔다. 양 기관은 ▲ DocAuth 표준 개발, ▲ DocAuth 시험인증 체계 구축, ▲ DocAuth 인증 활성화 등을 상호 협력하기로 하였다. FIDO Alliance는 디지털로 변환된 문서의 진위 여부를 검증하는 솔루션에 대한 기술적 요구사항과 일관된 시험평가 방법론이 필요하다는 업계의 요구에 대응하여 2021년 10월 DocAuth 요구사항 표준을 제정하였다. FIDO(Fast Identity Online) Alliance는 온라인 환경에서 비밀번호를 대체하는 안정성이 있는 인증방식인 FIDO 기술표준을 정하기 위해 2012년 7월 설립된 협의회로 구글, 마스터카드, 마이크로소프트, 삼성전자, TTA 등 전 세계 250여개 기업 및 기관이 참여하고 있다. TTA는 FIDO Alliance의 정회원으로서 2017년부터 FIDO 국제공인 보안성 및 생체인식 시험소를 운영하면서 국내 기업 제품의 보안성 개선 및 해외 진출을 지원하고 있다. TTA는 이번 양해각서 체결을 통해 FIDO Alliance와 긴밀히 협력하여 DocAuth 국제공인 시험소를 신속하게 구축하고, 국내 기업 제품의 보안성 제고 및 해외 진출 지원을 위하여 DocAuth 표준 기술 고도화 및 인증 활성화를 적극적으로 지원할 계획이다. TTA 최영해 회장은 "비대면 디지털 환경에서 문서 위변조 검증 솔루션을 일관성 있게 평가함으로써 관련 분야의 국내 산업 활성화와 해외 진출을 기대한다.”고 밝혔고, FIDO Alliance의 Andrew Shikiar 이사장은 "대한민국의 우수한 기술이 DocAuth 요구사항에 적용되어 디지털 문서 보안 업계 전반의 기술 수준 고도화에 기여할 수 있을 것으로 기대된다.”고 밝혔다.