전자 인증

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 역사
- 2.1. 고대 및 중세 시대
- 2.2. 근대 이후
3. 인증 요소
4. 인증 방식
5. 전자 신원 증명
- 5.1. 전자 자격 증명
- 5.2. 검증자 (Verifier)
6. 인증 체계
7. 인증과 디지털 서명의 결합
8. 위험 평가
- 8.1. 보증 수준
- 8.2. 보증 수준 결정
9. 가이드라인 및 규정
10. 기타 응용 분야
11. 전망
참조

1. 개요

전자 인증은 사용자의 신원을 확인하는 기술로, 역사적으로 발전해왔으며, 지식, 소유, 생체 인식 요소 등을 활용한다. 인증 방식에는 비밀번호, 공개키 기반 인증, 대칭키 기반 인증, SMS, 생체 인식, 디지털 신원 인증 등이 있으며, 인증 체계는 로컬, 중앙 집중식, 글로벌 중앙 집중식 및 웹 애플리케이션 형태로 분류된다. 전자 인증은 디지털 서명과 결합되어 보안을 강화하며, 위험 평가 및 보증 수준 결정을 통해 안전성을 확보한다. 미국, 유럽 연합(EU), 러시아 등 여러 국가에서 전자 인증 관련 가이드라인과 규정을 마련하고 있으며, 모바일 인증, 전자 상거래 인증, 자기 주권 신원 등 다양한 분야에서 활용된다. 디지털 전환 가속화에 따라 전자 인증의 중요성은 더욱 커질 전망이다.

더 읽어볼만한 페이지

정치와 기술 - 인공지능 규제
인공지능 규제는 인공지능 기술 발전으로 인한 사회적, 윤리적 문제에 대응하기 위한 법적, 정책적 움직임이며, 국가별로 인식 차이를 보이며 완전 자율 무기 규제 등 다양한 쟁점을 포함한다.
정치와 기술 - 해적당
해적당은 2000년대 초반 스웨덴에서 시작된 정치 운동으로, 자유로운 정보 공유와 지적 재산권 개혁을 주장하며, 저작권법 개혁, 정보 자유, 개인정보 보호, 정치 개혁 등을 주요 정책으로 삼고 국제 해적당 연맹을 통해 활동한다.
아이덴티티 관리 - 접근 제어
접근 제어는 컴퓨터 보안에서 주체의 대상 접근을 허가하거나 거부하는 행위 및 메커니즘으로, 정보의 기밀성, 무결성, 가용성을 보장하며 다양한 모델을 통해 구현되고 물리적/네트워크 환경에서 출입 통제 및 시스템 사용 제어를 포함하며 인증, 인가, 감사 단계를 거쳐 법규 및 표준 준수가 요구된다.
아이덴티티 관리 - 아바타
아바타는 힌두교 용어에서 유래하여 신의 화신을 뜻하며, 온라인 환경에서 사용자를 나타내는 가상 신체를 의미하고, 게임, 소셜 미디어, 메타버스 등에서 사용자의 개성을 표현하고 소통하는 핵심 수단으로 활용되며 AR/VR 기술 발전과 함께 더욱 현실감 있는 사용자 경험을 제공한다.
행정학 - 거버넌스
거버넌스는 사회적 통치 시스템을 의미하며, 정부, 시민사회, 시장의 파트너십을 통해 정책을 결정하고 집행하며 다양한 유형으로 나타나며, 경제 성장, 부패 감소, 정치적 안정 강화 등에 긍정적인 영향을 미친다.
행정학 - 실적주의
실적주의는 객관적인 실적을 기준으로 공무원을 임용하는 제도로, 공정한 기회 제공, 전문성 및 정치적 중립성 확보 등의 장점이 있지만, 경직된 조직 문화, 실질적 형평성 문제, 능력 평가의 한계 등의 단점도 존재한다.

전자 인증
전자 인증
정의	전자 인증은 사용자의 신원을 확인하는 프로세스이다. 전자 인증은 시스템, 네트워크 또는 애플리케이션에 대한 액세스 권한을 부여하기 전에 사용자의 신원을 확인하는 프로세스이다.
참고	전자 인증은 암호화된 개인 키를 사용하여 사용자의 신원을 확인하는 디지털 인증서와 같은 다양한 방법을 사용하여 수행할 수 있다. 전자 인증의 세 가지 요소는 지식 요소, 소유 요소, 고유 요소이다.
주요 요소
지식 요소	사용자만이 알고 있는 정보 (예: 비밀번호)
소유 요소	사용자만이 소유하고 있는 것 (예: 보안 토큰)
고유 요소	사용자 고유의 생체학적 특징 (예: 지문)
관련 기술
생체 인식	생체학적 특징을 이용한 인증
디지털 인증서	암호화된 개인 키를 이용한 인증
다단계 인증	여러 요소의 조합을 이용한 인증
단일 Sign-On (SSO)	한 번의 인증으로 여러 시스템 접근

2. 역사

인증의 필요성은 역사 전반에 걸쳐 널리 퍼져 있었다. 시간이 지나면서 수기 서명이 보편적인 인증 방식으로 자리 잡았다.^[2]

2. 1. 고대 및 중세 시대

고대에는 사람들이 눈을 마주치고 외모를 통해 서로를 식별했다. 고대 메소포타미아의 수메르인들은 식별 기호가 새겨진 도장을 사용하여 자신들의 글의 진정성을 증명했다.^[2]

2. 2. 근대 이후

고대에는 사람들이 눈을 마주치고 외모를 통해 서로를 식별했다. 고대 메소포타미아의 수메르인들은 식별 기호로 장식된 도장을 사용하여 자신들의 글의 진정성을 증명했다. 시간이 지나면서 수기 서명이 보편적인 인증 방식으로 자리 잡았다.^[2]

3. 인증 요소

전자 인증은 일반적으로 사용자가 알고 있는 것(지식), 사용자가 가지고 있는 것(소유), 사용자 신체의 일부(생체 인식)를 기반으로 한다.^[5]

지식 요소: 비밀번호, 질문에 대한 답변, ID 번호, PIN 등 사용자가 알고 있는 것이다.
소유 요소: 휴대폰, PC, 토큰 등 사용자가 가지고 있는 것이다.
생체 인식 요소: 지문, 눈 스캔, 음성 패턴 등 사용자의 신체적 특징이다.

이 세 가지 요소 중 생체 인식 요소는 개인의 신원을 증명하는 데 가장 편리하고 설득력이 있지만, 구현 비용이 가장 많이 든다. 각 요소에는 약점이 있으므로, 신뢰할 수 있고 강력한 인증은 두 개 이상의 요소를 결합하는 다단계 인증에 의존한다.^[2]

3. 1. 지식 기반 인증

지식 기반 인증은 사용자가 알고 있는 정보를 이용하는 방식이다. 비밀번호, PIN, 보안 질문 등이 이에 해당한다.^[2]

비밀번호와 PIN은 "사용자가 알고 있는 것"에 속한다. 숫자, 기호, 대소문자를 섞어 쓰면 문자만 사용하는 비밀번호보다 더 강력하다. 정보를 전송할 때 전송 계층 보안(TLS)이나 보안 소켓 계층(SSL)을 사용하면 암호화된 채널을 통해 정보를 주고받을 수 있어 안전하다. 오늘날 대부분의 보안 공격은 비밀번호 기반 인증 시스템을 노린다.^[8]

3. 2. 소유 기반 인증

소유 기반 인증은 사용자가 소유한 물건을 이용하는 방식이다. 휴대폰, PC, 토큰 등이 소유 요소에 해당한다.

토큰은 일반적으로 소유자가 제어하며, 소유자의 정체성을 인증하는 데 사용될 수 있다. 전자 인증에서 사용자는 네트워크를 통해 시스템 또는 애플리케이션에 인증한다. 따라서 전자 인증에 사용되는 토큰은 비밀로 유지되어야 한다. 예를 들어, 토큰은 비밀번호로 암호화하여 보호되는 암호화 키일 수 있다. 이 경우, 토큰을 사용하려는 사칭자는 암호화된 키와 비밀번호를 모두 알아내야 한다.^[2]

3. 3. 생체 인식 기반 인증

생체 인식은 더 나은 신원 확인 및 접근 제어를 위해 고유한 신체적 특성과 신체 치수를 사용하는 것이다. 인증에 자주 사용되는 신체적 특징으로는 지문, 음성 인식, 얼굴 인식, 홍채 스캔 등이 있는데, 이 모든 것이 각 개인에게 고유하기 때문이다.^[12] 전통적으로 생체 인증은 여권과 같은 토큰 기반 식별 시스템을 기반으로 했으며, 오늘날 사용자 보호를 위한 가장 안전한 식별 시스템 중 하나가 되었다.^[12] 새로운 기술 혁신은 생체 인증의 적절한 개념을 정의하는 광범위한 행동적 또는 신체적 특성을 제공한다.^[12]

3. 4. 다중 요소 인증 (MFA)

전자 인증을 위한 디지털 신원을 설정하는 데 사용되는 세 가지 요소는 다음과 같다.

지식 요소는 사용자가 알고 있는 것으로, 비밀번호, 질문에 대한 답변, ID 번호 또는 PIN 등이 있다.
소유 요소는 사용자가 가지고 있는 것으로, 휴대폰, PC 또는 토큰 등이 있다.
생체 인식 요소는 사용자가 가지고 있는 것으로, 지문, 눈 스캔 또는 음성 패턴 등이 있다.

세 가지 요소 중에서 생체 인식 요소는 개인의 신원을 증명하는 데 가장 편리하고 설득력이 있지만 구현 비용이 가장 많이 든다. 각 요소에는 약점이 있으므로, 신뢰할 수 있고 강력한 인증은 두 개 이상의 요소를 결합하는 데 달려 있다. 이를 다단계 인증이라고 하며,^[2] 2단계 인증 및 2단계 확인이 하위 유형이다.

다단계 인증은 중간자 공격 및 트로이 목마 공격을 포함한 공격에 취약할 수 있다.^[7]

4. 인증 방식

전자 인증에는 다양한 방식이 존재하며, 각각 장단점을 가지고 있다. 주요 인증 방식은 다음과 같다.

비밀번호 및 PIN 기반 인증: 사용자가 알고 있는 정보를 기반으로 인증한다. 숫자, 기호, 대소문자를 혼합하여 사용하고, 전송 계층 보안(TLS) 또는 보안 소켓 계층(SSL)을 통해 정보를 보호할 수 있다.^[8]
공개키 기반 인증 (PKI): 인증 기관에서 발급하는 공개 키와 사용자만 알고 있는 개인 키를 사용한다.^[9]
대칭키 기반 인증: 사용자와 인증 서버가 공유하는 비밀 키를 사용하여 인증한다. 2단계 인증 시스템에 활용될 수 있다.^[10]
SMS 기반 인증: 휴대폰 단문 메시지 서비스(SMS)를 통해 받은 비밀번호를 입력하여 인증한다. 중간자 공격(MITM)에 강하다.^[11]
생체 인식 기반 인증: 지문, 음성 인식, 얼굴 인식, 홍채 스캔 등 고유한 신체적 특징을 사용한다.^[12]
디지털 신원 인증: 이메일 주소, 계정 정보, 장치, 행동, 위치 데이터 등을 결합하여 사용자를 인증한다. 브라우저 지문을 활용하는 방법도 연구되고 있다.^[13]

4. 1. 비밀번호 및 PIN 기반 인증

비밀번호와 PIN은 "당신이 알고 있는 것" 방식의 범주에 속한다. 숫자, 기호, 대소문자를 혼합한 조합은 문자만 사용하는 비밀번호보다 더 강력한 것으로 간주된다. 또한 정보 전송 과정에서 전송 계층 보안(TLS) 또는 보안 소켓 계층(SSL) 기능을 채택하면 데이터 교환을 위한 암호화된 채널이 생성되어 전송되는 정보를 추가로 보호할 수 있다.^[8] 현재 대부분의 보안 공격은 비밀번호 기반 인증 시스템을 대상으로 한다.^[8]

4. 2. 공개키 기반 인증 (PKI)

이 유형의 인증은 공개 키와 개인 키, 두 부분으로 구성된다. 공개 키는 인증 기관에서 발급하며 모든 사용자 또는 서버에서 사용할 수 있다. 개인 키는 사용자만 알고 있다.^[9]

4. 3. 대칭키 기반 인증

사용자는 인증 서버와 고유 키를 공유한다. 사용자가 비밀 키로 암호화된 임의로 생성된 메시지(챌린지)를 인증 서버로 보내면, 서버가 공유 비밀 키를 사용하여 메시지를 일치시킬 수 있는 경우 사용자가 인증된다.

이 방법은 비밀번호 인증과 함께 구현될 때 2단계 인증 시스템에 대한 가능한 솔루션도 제공한다.^[10]

4. 4. SMS 기반 인증

사용자는 휴대폰에서 메시지를 읽고 비밀번호를 받아 인증을 완료하기 위해 해당 비밀번호를 다시 입력한다. 단문 메시지 서비스(SMS)는 휴대폰이 널리 사용될 때 매우 효과적이다. SMS는 또한 인터넷을 사용하지 않기 때문에 중간자 공격(MITM)에 적합하다.^[11]

4. 5. 생체 인식 기반 인증

생체 인식은 더 나은 신원 확인 및 접근 제어를 위해 고유한 신체적 특성과 신체 치수를 사용하는 것이다. 인증에 자주 사용되는 신체적 특징으로는 지문, 음성 인식, 얼굴 인식, 홍채 스캔 등이 있는데, 이 모든 것이 각 개인에게 고유하기 때문이다.^[12] 전통적으로 생체 인증은 여권과 같은 토큰 기반 식별 시스템을 기반으로 했으며, 오늘날 사용자 보호를 위한 가장 안전한 식별 시스템 중 하나가 되었다. 새로운 기술 혁신은 생체 인증의 적절한 개념을 정의하는 광범위한 행동적 또는 신체적 특성을 제공한다.^[12]

4. 6. 디지털 신원 인증

디지털 신원 인증은 온라인 사용자를 실시간으로 인증하기 위해 이메일 주소, 계정 및 신용 카드 정보를 포함하여 장치, 행동, 위치 및 기타 데이터를 결합하여 사용하는 것을 의미한다. 예를 들어, 최근 연구에서는 브라우저 지문을 다중 요소 인증 방식의 일부로 활용하는 방법을 모색했다.^[13]

5. 전자 신원 증명

잘 관리된 건강 기록은 의사와 병원이 치료를 수행하기 전에 대상 환자의 중요한 의학적 상태를 파악하는 데 도움이 될 수 있다. 따라서 각 개인의 평생 동안 개인 건강 기록을 전자 형태로 안전하게 구축하고 관리하는 것은 개인 시민과 사회 복지 부서 모두에게 점차 흥미로운 주제가 되었다. 이러한 데이터는 본질적으로 사적이므로, 전자 인증을 통해 허가된 당사자만 의료 데이터에 접근할 수 있도록 보장한다.

5. 1. 전자 자격 증명

서류 자격 증명은 자격 증명 대상이라고 하는 개인 또는 실체의 신원이나 기타 속성을 증명하는 문서이다. 일반적인 서류 자격 증명에는 여권, 출생 증명서, 운전면허증, 직원 신분증 등이 있다.^[1] 자격 증명 자체는 다양한 방식으로 인증된다. 전통적으로는 서명, 인장, 특수 용지 및 잉크, 고품질 조각을 사용하였고, 오늘날에는 홀로그램과 같이 자격 증명을 인식하고 복제 또는 위조하기 어렵게 만드는 더 복잡한 메커니즘을 사용한다. 경우에 따라 자격 증명을 단순히 소지하는 것만으로도 자격 증명의 물리적 소지자가 실제로 자격 증명의 대상임을 입증하기에 충분하다.^[1]

더 일반적으로 자격 증명에는 대상의 설명, 사진 또는 자필 서명과 같은 생체 정보가 포함되어 있어, 자격 증명 소지자가 실제로 자격 증명의 대상인지 인증하는 데 사용할 수 있다. 이러한 서류 자격 증명이 직접 제시되면 해당 자격 증명에 포함된 생체 인식을 확인하여 자격 증명의 물리적 소지자가 대상인지 확인할 수 있다.^[1]

전자 신원 자격 증명은 이름과 다른 속성을 토큰에 바인딩한다. 오늘날 다양한 전자 자격 증명 유형이 사용되고 있으며, 새로운 유형의 자격 증명이 지속적으로 생성되고 있다 (eID, 전자 유권자 신분증, 생체 인식 여권, 은행 카드 등). 최소한 자격 증명에는 자격 증명과 관련된 등록 기록을 복구할 수 있도록 하는 식별 정보와 구독자와 관련된 이름이 포함된다.^[2]

5. 2. 검증자 (Verifier)

온라인 인증 거래에서 검증자는 청구자가 자신의 신원을 증명하는 토큰을 소유하고 제어하고 있음을 확인하는 당사자이다.^[14] 청구인은 토큰과 인증 프로토콜을 사용하여 검증자에게 자신의 신원을 인증하는데, 이를 소유 증명(PoP)이라고 한다. 많은 PoP 프로토콜은 검증자가 인증 프로토콜 실행 전에 토큰에 대한 지식이 전혀 없는 경우, 실행으로부터 토큰에 대해 아무것도 배우지 못하도록 설계되었다. 검증자와 자격 증명 서비스 제공자(CSP)는 동일한 개체일 수 있으며, 검증자와 신뢰 당사자는 동일한 개체일 수 있으며, 세 개 모두 별도의 개체일 수도 있다. 검증자가 토큰을 등록한 CSP와 동일한 개체의 일부가 아닌 한 공유 비밀을 배우는 것은 바람직하지 않다. 검증자와 신뢰 당사자가 별도의 개체인 경우, 검증자는 인증 프로토콜의 결과를 신뢰 당사자에게 전달해야 한다. 검증자가 이 결과를 전달하기 위해 생성한 객체를 어설션이라고 한다.^[14]

국립표준기술연구소(NIST) 지침은 다음 영역에서 4가지 보증 수준 각각에 대한 기술 요구 사항을 정의한다.^[19]

토큰은 신원 증명에 사용된다. 비밀번호 및 대칭 암호화 키는 검증자가 보호해야 하는 개인 정보이다. 비대칭 암호화 키는 개인 키(가입자만 알고 있음)와 관련 공개 키를 갖는다.
신원 증명, 등록 및 신원을 토큰에 바인딩하는 자격 증명 전달. 이 프로세스는 원거리 작업을 포함할 수 있다.
자격 증명, 토큰 및 인증 프로토콜을 결합하여 청구자가 실제로 청구된 가입자인지 식별할 수도 있다.
청구자의 디지털 서명을 포함하거나 보안 인증 프로토콜을 통해 신뢰할 수 있는 제3자에 의해 직접 획득되는 어설션 메커니즘.

6. 인증 체계

미국 국립표준기술연구소(NIST)는 인증 프로세스의 기본 프레임워크를 제공하는 일반적인 전자 인증 모델^[5]을 개발했다. 이 모델에서 등록 프로세스는 개인이 자격 증명 서비스 제공자(CSP)에 신청하면서 시작된다. CSP는 거래 전에 신청자의 신원을 증명해야 한다.^[6] 신청자의 신원이 확인되면 "가입자" 상태가 되고, 토큰이나 사용자 이름 형태의 자격 증명과 같은 인증자가 부여된다.

CSP는 자격 증명의 수명 동안 가입자의 등록 데이터와 자격 증명을 관리한다. 가입자는 인증자를 유지 관리해야 한다. 예를 들어, 사용자가 특정 컴퓨터로 온라인 뱅킹을 할 때, 다른 컴퓨터에서 은행 계좌에 접근하려면 인증자가 없어 접근이 어렵다. 접근 권한을 얻으려면 CSP에 신원을 확인해야 하며, 질문에 답하는 형태로 이루어질 수 있다.^[4]

인증 방식에는 로컬 인증, 중앙 집중식 인증, 글로벌 중앙 집중식 인증, 글로벌 인증 및 웹 애플리케이션(포털)의 네 가지 유형이 있다.

새로운 클라우드 솔루션과 온라인 거래가 성장함에 따라, 개인 대 기계 및 기계 대 기계 신원은 개인 식별 및 정보 접근에 중요한 역할을 한다. 미국 행정예산처에 따르면 2013년과 2014년에 신원 관리 솔루션에 7000만달러 이상이 지출되었다.^[20]

정부는 전자 인증 시스템을 사용하여 서비스를 제공하고 사람들이 정부 사무실을 방문하는 시간을 줄인다. 비자 신청부터 운전면허 갱신까지 모든 서비스를 효율적이고 유연하게 수행할 수 있다. 전자 인증을 지원하는 인프라는 성공적인 전자 정부의 중요한 구성 요소이다.^[21] 부적절한 조정과 기술 설계는 전자 인증의 주요 장벽이 될 수 있다.^[22]

여러 국가에서는 다양한 전자 서비스에서 디지털 신원의 재사용을 용이하게 하기 위해 전국적인 공통 전자 인증 제도를 수립했다.^[23] 다른 정책 이니셔티브에는 공통 수준의 신뢰를 구축하고 다양한 인증 체계 간의 상호 운용성을 확보하기 위한 전자 인증 프레임워크 구축이 포함되었다.^[24]

6. 1. 로컬 인증

로컬 인증 방식에서는 애플리케이션이 사용자의 자격 증명 관련 데이터를 직접 보존한다. 이 정보는 보통 다른 애플리케이션과 공유되지 않는다. 사용자는 접근해야 하는 서비스별로 자격 증명의 유형과 수를 기억해야 한다. 이는 암호 저장 영역이 손상될 위험이 있는 방식이다.^[2]

6. 2. 중앙 집중식 인증

중앙 집중식 인증 방식을 사용하면 각 사용자가 다양한 서비스에 접근하기 위해 동일한 자격 증명을 사용할 수 있다. 각 애플리케이션은 다르며 사용자에 대한 인증을 성공적으로 제공하기 위해 인터페이스와 중앙 시스템과 상호 작용할 수 있는 기능을 갖도록 설계되어야 한다. 이를 통해 사용자는 중요한 정보에 접근하고 전자적으로 문서에 서명할 수 있는 개인 키에 접근할 수 있다.^[2]

6. 3. 글로벌 중앙 집중식 인증

글로벌 중앙 집중식 인증 방식은 제3자 인증 서비스를 이용하는 방식이다. 사용자는 인증 서비스에 직접 접근하여 필요한 특정 서비스에 접근할 수 있다.^[2]

6. 4. 글로벌 중앙 집중식 인증 및 웹 애플리케이션 (포털)

글로벌 중앙 집중식 인증 및 웹 애플리케이션(포털) 방식은 가장 안전한 방식으로, 광범위한 서비스를 허용하므로 전자 정부 서비스에 적합하다. 최소 두 가지 요소를 포함하는 단일 인증 메커니즘을 사용하여 필요한 서비스에 접근하고 문서에 서명할 수 있도록 한다.^[2]

7. 인증과 디지털 서명의 결합

일반적으로 인증과 디지털 서명은 함께 적용된다. 고급 전자 서명의 경우, 서명자는 인증을 받았고 서명에 고유하게 연결된다. eIDAS 규정에서 정의된 적격 전자 서명의 경우, 서명자의 신원은 자격을 갖춘 신뢰 서비스 제공자에 의해 인증된다. 서명과 인증의 이러한 연결은 먼저 서명의 증거 가치를 뒷받침하며, 이는 일반적으로 발신자의 부인 방지라고 한다. 네트워크 수준에서 메시지 보호는 발신 부인 방지라고 한다. 인증된 발신자와 메시지 내용은 서로 연결되어 있다. 제3자가 메시지 내용을 변경하려고 시도하면 서명의 유효성이 상실된다.^[15]

8. 위험 평가

전자 시스템을 개발할 때, 거래가 적절한 수준의 보증을 제공하는지 확인하기 위해 위험 평가가 필요하다. 미국의 정부 기관은 연방 기관을 위한 미국 행정예산처(OMB)의 E-인증 지침(M-04-04)을 따른다. 이 지침은 기관에 거래에 전자 인증이 필요한지 확인하고 적절한 수준의 보증을 결정하도록 요구한다.^[16]

8. 1. 보증 수준

미국 행정예산처(OMB)는 전자 시스템 개발 시 거래가 적절한 수준의 보증을 제공하도록 요구하며, 연방 기관을 위한 E-인증 지침(M-04-04)을 제시한다. 이 지침은 개인 정보를 보호하는 안전한 전자 서비스를 제공하기 위해 게시되었다.^[16]

이 지침은 네 가지 수준의 보증을 설정했다.^[17]

보증 수준 1: 주장된 신원의 유효성에 대한 신뢰가 거의 또는 전혀 없다.
보증 수준 2: 주장된 신원의 유효성에 대한 어느 정도의 신뢰가 있다.
보증 수준 3: 주장된 신원의 유효성에 대한 높은 신뢰가 있다.
보증 수준 4: 주장된 신원의 유효성에 대한 매우 높은 신뢰가 있다.

미국 행정예산처(OMB)는 애플리케이션에 적절한 보증 수준을 결정하기 위해 5단계 프로세스를 제안한다.^[18]

위험 평가를 수행하여 가능한 부정적인 영향을 측정한다.
다섯 가지 보증 수준과 비교하여 이 경우에 적합한 수준을 결정한다.
미국 국립표준기술연구소(NIST)에서 발행한 기술 지침에 따라 기술을 선택한다.
선택한 인증 프로세스가 요구 사항을 충족하는지 확인한다.
시스템을 정기적으로 재평가하고 변경 사항에 따라 조정한다.^[18]

필요한 인증 보증 수준은 다음 요소를 통해 평가된다.^[18]

불편, 고통 또는 평판 손상
금전적 손실 또는 기관의 책임
기관 프로그램 또는 공공 이익에 대한 피해
민감한 정보의 무단 공개
개인 안전
민사 또는 형사 위반

8. 2. 보증 수준 결정

전자 시스템을 개발할 때, 미국 정부 기관은 거래가 적절한 수준의 보증을 제공하도록 요구하는 산업 표준을 따릅니다. 일반적으로 서버는 연방 기관을 위한 미국 행정예산처(OMB)의 E-인증 지침(M-04-04)을 지침으로 채택하는데, 이는 연방 기관이 개인 정보를 보호하는 안전한 전자 서비스를 제공하도록 돕기 위해 게시되었습니다. 이 지침은 기관이 거래에 전자 인증이 필요한지 확인하고 적절한 수준의 보증을 결정하도록 요구합니다.^[16]

이 지침은 네 가지 수준의 보증을 설정했습니다:^[17]

보증 수준 1: 주장된 신원의 유효성에 대한 신뢰가 거의 또는 전혀 없음.
보증 수준 2: 주장된 신원의 유효성에 대한 어느 정도의 신뢰.
보증 수준 3: 주장된 신원의 유효성에 대한 높은 신뢰.
보증 수준 4: 주장된 신원의 유효성에 대한 매우 높은 신뢰.

미국 행정예산처(OMB)는 애플리케이션에 적절한 보증 수준을 결정하기 위해 5단계 프로세스를 제안합니다.^[18]

위험 평가를 수행하여 가능한 부정적인 영향을 측정합니다.
다섯 가지 보증 수준과 비교하여 이 경우에 적합한 수준을 결정합니다.
미국 국립표준기술연구소(NIST)에서 발행한 기술 지침에 따라 기술을 선택합니다.
선택한 인증 프로세스가 요구 사항을 충족하는지 확인합니다.
시스템을 정기적으로 재평가하고 변경 사항에 따라 조정합니다.

필요한 인증 보증 수준은 다음 요소를 통해 평가됩니다.^[18]

불편, 고통 또는 평판 손상
금전적 손실 또는 기관의 책임
기관 프로그램 또는 공공 이익에 대한 피해
민감한 정보의 무단 공개
개인 안전
민사 또는 형사 위반

9. 가이드라인 및 규정

유럽에서는 eIDAS가 전자 서명 및 웹사이트 인증을 위한 인증서 서비스와 관련하여 전자 인증 지침을 제공한다.^[23] eIDAS에 따르면, 전자 식별은 온라인 서비스 인증에 사용되는 개인 식별 데이터를 포함하는 유형/무형 단위를 의미하며, 인증은 자연인 또는 법인을 전자적으로 식별하는 프로세스이다. 신뢰 서비스는 전자 서명 및 웹사이트 인증서를 생성, 확인, 검증하는 데 사용된다. eIDAS 제8조는 전자 식별 방법을 통한 인증 메커니즘을 허용하며, 부록 IV는 웹사이트 인증을 위한 적격 인증서 요구 사항을 제시한다. 발행 회원국이 확인하면 다른 참여 국가는 국경 간 거래를 위해 사용자의 전자 서명을 유효한 것으로 인정해야 한다.

러시아 정부는 전자 정부 확장을 위해 전자 인증 서비스를 도입하여, 보다 효율적이고 국민들이 쉽게 접근할 수 있는 정부를 만들고자 한다.^[28] 이를 통해 사용자는 자신과 정부가 신뢰하는 웹사이트의 로그인 ID를 사용하여 온라인 정부 서비스에 접근할 수 있다.

대한민국 정부는 전자 인증 시스템을 통해 서비스를 제공하여 국민들이 정부 사무실을 방문하는 시간을 줄이고, 비자 신청부터 운전면허 갱신에 이르기까지 모든 서비스를 보다 효율적이고 유연하게 수행한다. 전자 인증 인프라는 성공적인 전자 정부의 중요한 구성 요소로 간주되지만,^[21] 부적절한 조정과 기술 설계는 주요 장벽이 될 수 있다.^[22] 여러 국가에서는 다양한 전자 서비스에서 디지털 신원의 재사용을 용이하게 하기 위해 전국적인 공통 전자 인증 제도를 수립했다.^[23]

9. 1. 미국

미국 정부는 정부를 보다 효과적이고 효율적으로 만들고 접근성을 높이는 방법으로 전자 정부(e-정부)를 확장하려 노력하고 있으며, 전자 인증은 이러한 노력의 핵심이다. 전자 인증 서비스는 사용자가 사용자와 정부가 모두 신뢰하는 다른 웹 사이트의 로그인 ID(신원 자격 증명)를 사용하여 온라인으로 정부 서비스에 접근할 수 있도록 한다.

전자 인증은 연방 CIO 위원회를 구성하는 기관에서 지원하는 정부 차원의 파트너십이다. 미국 총무청(GSA)이 주도 기관 파트너이다. 전자 인증은 신뢰할 수 있는 자격 증명 발급 기관과의 연계를 통해 작동하므로, 사용자가 인증 자격 증명을 얻기 위해 발급 기관의 사이트에 로그인해야 한다. 그런 다음 해당 자격 증명 또는 전자 인증 ID가 지원하는 정부 웹 사이트로 전송되어 인증이 발생한다. 이 시스템은 2003년 12월 16일 행정관리예산처를 통해 발행된 메모(M04-04 Whitehouse)에 따라 만들어졌다.^[18] 해당 메모는 1998년 ''서류 작업 제거법''(44 U.S.C. § 3504)에 발행된 지침을 업데이트하고 전자 정부법(44 U.S.C. ch. 36)의 섹션 203을 구현한다.

미국 국립표준기술연구소(NIST)는 디지털 인증 표준에 대한 지침을 제공하고 대부분의 지식 기반 인증 방식을 폐지한다. 최소 8자 길이의 보다 복잡한 암호 또는 최소 64자 길이의 암구절에 대한 더 엄격한 표준이 작성되었다.^[25]

9. 2. 유럽

유럽에서 eIDAS는 전자 서명 및 웹사이트 인증을 위한 인증서 서비스와 관련하여 전자 인증에 사용되는 지침을 제공한다.^[23] 발행 회원국이 확인하면 다른 참여 국가는 국경 간 거래를 위해 사용자의 전자 서명을 유효한 것으로 인정해야 한다.

eIDAS에 따르면 전자 식별은 온라인 서비스 인증에 사용되는 개인 식별 데이터를 포함하는 유형/무형의 단위를 의미한다. 인증은 자연인 또는 법인을 전자적으로 식별할 수 있는 전자적 프로세스를 의미한다. 신뢰 서비스는 전자 서명을 생성, 확인 및 검증하는 데 사용되는 전자 서비스이며, 웹사이트 인증을 위한 인증서를 생성, 확인 및 검증하는 데에도 사용된다.

eIDAS 제8조는 자연인 또는 법인이 신뢰 당사자에게 신원을 확인하기 위해 전자 식별 방법을 사용할 수 있도록 하는 인증 메커니즘을 허용한다. 부록 IV는 웹사이트 인증을 위한 적격 인증서에 대한 요구 사항을 제공한다.

9. 3. 러시아

러시아 정부는 전자 정부 확장을 위해 전자 인증 서비스를 도입하고 있다.^[28] 이를 통해 러시아 정부는 보다 효율적이고 국민들이 쉽게 접근할 수 있는 정부를 만들고자 한다.^[28] 전자 인증 서비스를 통해 사용자는 자신과 정부가 신뢰하는 웹사이트에서 이미 가지고 있는 로그인 ID (신원 자격 증명)를 사용하여 온라인 정부 서비스에 접근할 수 있다.

9. 4. 한국

정부는 전자 인증 시스템을 사용하여 서비스를 제공하고 사람들이 정부 사무실을 방문하는 시간을 줄인다. 비자 신청부터 운전면허 갱신에 이르기까지 모든 서비스를 보다 효율적이고 유연하게 수행할 수 있다. 전자 인증을 지원하는 인프라는 성공적인 전자 정부의 중요한 구성 요소로 간주된다.^[21] 부적절한 조정과 기술 설계는 전자 인증의 주요 장벽이 될 수 있다.^[22]

여러 국가에서는 다양한 전자 서비스에서 디지털 신원의 재사용을 용이하게 하기 위해 전국적인 공통 전자 인증 제도를 수립했다.^[23]

10. 기타 응용 분야

정부 서비스 외에도 전자 인증은 다른 기술 및 산업 분야에서도 널리 사용된다. 이러한 새로운 응용 프로그램들은 기존 데이터베이스의 신원 인증 기능과 새로운 기술을 결합하여 더욱 안전하고 다양한 전자 인증 사용 환경을 제공한다.

10. 1. 모바일 인증

모바일 인증은 모바일 기기를 사용하여 사용자의 신원을 확인하는 것이다. 이는 독립적인 분야로 취급될 수 있으며, 전자 인증 분야에서 다른 다단계 인증 방식과 함께 적용될 수도 있다.^[29]

모바일 인증에는 레벨 0부터 레벨 4까지 5단계의 애플리케이션 민감도가 있다. 레벨 0은 모바일 기기를 통한 공공 사용을 위한 것으로 신원 인증이 필요하지 않으며, 레벨 4는 사용자를 식별하기 위한 가장 많은 다중 절차를 가지고 있다.^[30] 어느 레벨이든 모바일 인증은 비교적 처리하기 쉽다. 먼저, 사용자는 오프라인 채널을 통해 일회용 비밀번호(OTP)를 보낸다. 그런 다음, 서버는 해당 정보를 식별하고 데이터베이스를 조정한다. PIN 코드는 사용자만 접근할 수 있으며 모바일 기기를 통해 정보를 보낼 수 있으므로 공격의 위험이 낮다.^[31]

10. 2. 전자 상거래 인증

1980년대 초, 전자 자료 교환(EDI) 시스템이 구현되었는데, 이는 전자 상거래의 초기 대표 사례로 여겨졌다. 그러나 이 시스템은 모두 폐쇄형 네트워크를 기반으로 구축되었기 때문에 보안을 확보하는 것은 큰 문제가 아니었다. 하지만 최근 들어 기업 대 소비자 간의 거래가 변화하면서, 원격 거래 당사자들은 전자 상거래 인증 시스템을 구현해야 했다.^[32]

일반적으로 전자 상거래 인증에 채택된 접근 방식은 기본적으로 전자 인증과 동일하다. 차이점은 전자 상거래 인증이 고객과 공급업체 간의 거래에 초점을 맞춘 더 좁은 분야라는 것이다. 전자 상거래 인증의 간단한 예로는 클라이언트가 인터넷을 통해 상인 서버와 통신하는 것이 있다. 상인 서버는 일반적으로 클라이언트 요청을 수락하기 위해 웹 서버를, 데이터를 관리하기 위해 데이터베이스 관리 시스템을, 온라인 결제 서비스를 제공하기 위해 결제 게이트웨이를 활용한다.^[33]

10. 3. 자기 주권 신원 (SSI)

자기 주권 신원(SSI, Self-sovereign identity)을 사용하면 개인 신원 보유자가 자신의 자격 증명을 완전히 생성하고 제어할 수 있다. 반면, 검증자는 분산 네트워크에서 제공된 신원을 인증할 수 있다.

11. 전망

디지털 전환 가속화에 따라 전자 인증의 중요성은 더욱 커질 것이다. 비밀번호는 계속 사용되겠지만, 다단계 인증과 같은 인증 메커니즘에 의존하는 것이 중요하다. 미국, 유럽 연합(EU) 및 전 세계에서 전자 서명의 사용이 계속 크게 확대됨에 따라, eIDAS와 같은 규정이 미국의 규정과 함께 변화하는 상황을 반영하도록 개정될 것이라는 기대가 있다.^[34]

참조

_[1] 웹사이트 What is e-Authentication? http://www.e-authent[...] 2015-11-01
_[2] 웹사이트 Digital Authentication - Factors, Mechanisms and Schemes https://www.cryptoma[...] Cryptomathic 2017-01-09
_[3] 웹사이트 What is E-Authentication? http://www.wisegeek.[...] 2015-11-02
_[4] 웹사이트 Digital Authentication - the Basics https://www.cryptoma[...] Cryptomathic 2017-01-09
_[5] 간행물 Electronic authentication guideline
_[6] 웹사이트 NIST Special Publication 800-63A https://pages.nist.g[...] 2023-09-19
_[7] 웹사이트 The Failure of Two-Factor Authentication https://www.schneier[...] 2015-11-02
_[8] 웹사이트 Passwords and PINs based Authentication http://www.e-authent[...] 2015-11-02
_[9] 웹사이트 Public-Key Authentication http://www.e-authent[...] 2015-11-03
_[10] 웹사이트 Symmetric-key Authentication http://www.e-authent[...] 2015-11-03
_[11] 웹사이트 SMS based Authentication http://www.e-authent[...] 2015-11-03
_[12] 웹사이트 Biometric Authentication http://www.e-authent[...] 2015-11-03
_[13] 서적 Companion Proceedings of the Web Conference 2021
_[14] 간행물 Electronic authentication guideline
_[15] 웹사이트 Understanding Non-Repudiation of Origin and Non-Repudiation of Emission https://www.cryptoma[...] Cryptomathic 2017-01-09
_[16] 웹사이트 E-Authentication Risk Assessment for Electronic Prescriptions for Controlled Substances http://www.deadivers[...] 2015-11-03
_[17] 웹사이트 ELECTRONIC AUTHENTICATION: GUIDANCE FOR SELECTING SECURE TECHNIQUES http://www.itl.nist.[...] 2015-11-03
_[18] 웹사이트 Memorandum: E-Authentication Guideline for Federal Agencies https://obamawhiteho[...] Executive Office of the President, Office of Management and Budget (OMB) 2017-01-09
_[19] 웹사이트 ELECTRONIC AUTHENTICATION: GUIDANCE FOR SELECTING SECURE TECHNIQUES http://www.itl.nist.[...] National Institute of Standards and Technology 2015-11-03
_[20] 뉴스 E-authentication: What IT managers will be focusing on over the next 18 months https://gcn.com/arti[...] 2015-11-02
_[21] 웹사이트 Whole of Government Information and Communications Technology http://www.agimo.gov[...]
_[22] 문서 Breaking Barriers to eGovernment (Draft Deliverable 1b) http://ec.europa.eu/[...] eGovernment unit, European Commission 2006-08
_[23] 웹사이트 An overview of International Initiatives in the field of Electronic Authentication http://www.japanpkif[...] Japan PKI Forum 2005-06-02
_[24] 웹사이트 Australia http://www.finance.g[...]
_[24] 웹사이트 Canada http://e-com.ic.gc.c[...]
_[24] 웹사이트 US https://obamawhiteho[...]
_[25] 웹사이트 Draft NIST Special Publication 800-63-3: Digital Authentication Guideline https://pages.nist.g[...] National Institute of Standards and Technology, USA 2017-01-09
_[26] 웹사이트 Understanding eIDAS http://www.cryptomat[...] Cryptomathic 2016-04-12
_[27] 웹사이트 Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC http://eur-lex.europ[...] The European Parliament and the Council of the European Union 2016-03-18
_[28] 웹사이트 Постановление Правительства РФ от 28 ноября 2011 г. N 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" http://www.garant.ru[...]
_[29] 웹사이트 mobile authentication definition http://searchsecurit[...] 2015-11-03
_[30] 웹사이트 e-Pramaan: Framework for e-Authentication https://epramaan.gov[...] 2015-11-03
_[31] 뉴스 How to Increase App Security Through Mobile Phone Authentication https://thenextweb.c[...] TNW news 2015-03-16
_[32] 간행물 Identity Authentication and 'E-Commerce' https://www2.warwick[...] 2015-11-03
_[33] 간행물 A New Methodology for Deriving Effective Countermeasures Design Models School of Information Technology and Engineering, University of Ottawa
_[34] 웹사이트 How eIDAS affects the USA https://www.cryptoma[...] Cryptomathic 2017-01-09
_[35] 웹인용 What is e-Authentication? http://www.e-authent[...] 2015-11-01

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com