개인정보보호 대체 수단인 아이핀(i-pin)의 부정 발급 사건이 발생이 되었습니다. 이 사건을 바라보고 있노라면 보안이라는 것은 100% 안전한 것은 없다는 것을 다시 한번 실감 하게 됩니다.


출처: 디지털 타임즈




그리고 우리가 기억해야 하는 것 중에  하나가 바로 '보안'에 대한 기본적인 개념입니다.  100% 안전한 보안은 절대 없다는 것입니다.

보안이란? 위험(risk) 요소를 우리가 감수할수 있는 수준까지 줄이는 것을 보안으로 생각을 해야 한다.
왜냐하면 100% 안전한 것은 없기 때문이다.
아마도 이러한 부분들이 보안관련해서 연구나 공부하는 사람들에 대한 애로 사항이 아닐까 생각합니다. 다시 포커스로 돌아와서 이번 아이핀에 대한 부정발급에 대한 부분이 이미 몇년전에 예견이 되었을지도 모릅니다.

우리는 실명 인증시에 보통 휴대폰을 이용한 실명인증을 많이 하고 있는데 이 부분이 각 보안 커뮤니티나 보안 세미나시에 우회 할수 있는 데모 시연들이 많이 있었습니다. 즉,  어디선가 주민번호를 도용하여 그 도용한 사람 휴대폰으로 인증 메세지가 가야 하지만 주민번호 도용한 사람 휴대폰으로 메세지를 전송하여 인증을 받을수 있는 방법이죠..

이미 휴대폰인증을 우회하는 기법들은 나왔지만 이것이 일반적인 쇼핑몰이나 전자상거래 부분이 아니라  '이이폰'에 적용이 되어 부정발급이 되다 보니 더 이슈가 되네요..

추후 실명인증 방법에 대한 또 다른 보완 기술이 나와야 할 듯 합니다. 한가지 안타까운 점은 모든 기술에는 위협과 취약성이 있게 마련인데 어떻게 하면 사전에 그런 위협과 취약점을 제거 할수있는지에 대한 다양한 논의가 좀 활발하게 이루어 질수 있는 사회적 여건과 보안에 대한 인식의 변화가 와야 할 것입니다. 꼭 사건 사고가 터지고 난 이후에 대처하는 모습보다는 사전 예방이 무엇보다 중요하겠지요.. 보안인식제고와 보안마인드 확산...그리고 사회의 정보보호에 대하여 바라보는 시각의 변화를 위하여 더욱 노력 해야 겠습니다. @엔시스.

Posted by 엔시스

아래는 한국인터넷진흥원 홈페이지에 올라온 공지내용입니다. 아이핀으로 전환하고 상품도 타고 해 보시면 좋을듯 합니다.
저도 아이핀 사용하고 있는데 시대적 요구사항과 정책으로 아이핀 사용 요구가 증가 할 것으로 생각이 됩니다..

=============================================================================================================

인터넷 웹사이트에 가입되어 있는 주민번호를 i-PIN으로 바꾸는
"i-PIN으로 Change!" 캠페인을 12월1일부터 20일까지 진행하고 있습니다.

현재 전환 가능한 사이트는 세계일보, 인크루트, 인터파크, 하나포스 ,파란 5개 업체이며
해당 사이트에서 주민번호를 i-PIN으로 전환을 하시거나 i-PIN으로 신규가입 시 LED TV,
넷북, 디지털노트, 백화점상품권, 영화예매권의 푸짐한 상품이 마련되어 있으니 많은
참여부탁드립니다.

아울러 주변 분들에게도 http://www.i-pin.kr 사이트의 많은 홍보 부탁드립니다. 감사합니다.




한번씩 어떤것인지 내용이라도 보셔도 좋을듯 합니다...


Posted by 엔시스

<출처: 한국정보보호진흥원>

한국정보보호진흥원은 인터넷상에서 주민번호를 사용하지 않고 본인임을 확인할 수 있는 개인식별번호 <아이핀(i-PIN)> 의 게시판 및 회원가입 등에 도입 방법과 i-PIN을 서비스하는 5개 본인확인기관의 툴킷 설치방법을 소개하는 을 제작하였습니다. 관심있는 개인 및 기관의 많은 이용바랍니다.


 i-PIN 도입 매뉴얼.pdf다운로드


아이핀이란?  개인정보보호 차원에서 주민등록등 노출되어서는 안되는 정보를 가상의 번호를 이용하여 노출 되더라도 개인정보가 보호 받을수 있게 사용하는 제도

관련 포스팅

2007/11/14 - [보안기술&트렌드] - i-pin(아이핀) 으로 개인 정보누출 방지하세요
2007/07/01 - [보안기술&트렌드] - 주민번호대체수단 <아이핀(i-PIN)> 홍보 플래시 배포


문제는  사용자는 사용하고 싶어도 개인정보를 취급하는 기관에서 적극 도입을 하지 않으면 아무런 소용이 없다는 것입니다.. 아마도 이런 관점에서 공공기관이나 기업에서 도입을 추진하고자 KISA에서 매뉴얼을 배포 하지 않나 싶습니다..

특히 공공기관이나 기업에서 개인정보보호를 수집하는 담당자라면 반드시 한번쯤 관심을 갖어 보셔야 할 것입니다..@엔시스











Posted by 엔시스
이 가이드라인은 2006년 개정된 것으로 본인확인기관이 가입자에게 본인확인정보를 부여하고 관련 서비스를 제공함에 있어서 준수하여야 할 사항과 인터넷사업자와 가입자가 본인확인정보를 인터넷 상에서 본인확인에 사용함에 있어서 준수하여야 할 사항을 정하고 있다


출처: 한국정보보호진흥원

Posted by 엔시스