뉴스 | 표준뉴스

2023.09.25 (월)

속초℃
25.1℃
철원24.2℃
동두천24.1℃
파주23.2℃
대관령16.6℃
춘천25.5℃
백령도21.2℃
북강릉21.8℃
강릉23.2℃
동해22.2℃
서울25.3℃
인천24.4℃
원주25.3℃
울릉도22.0℃
수원24.7℃
영월24.2℃
충주25.1℃
서산24.8℃
울진23.5℃
청주26.2℃
대전24.6℃
추풍령23.1℃
안동24.7℃
상주24.5℃
포항23.7℃
군산24.9℃
대구24.4℃
전주25.4℃
울산23.3℃
창원26.5℃
광주26.4℃
부산26.1℃
통영26.3℃
목포26.8℃
여수24.6℃
흑산도21.7℃
완도25.8℃
고창25.9℃
순천25.3℃
홍성(예)24.6℃
25.1℃
제주26.6℃
고산26.0℃
성산27.3℃
서귀포26.4℃
진주25.9℃
강화22.3℃
양평25.0℃
이천24.9℃
인제23.8℃
홍천24.9℃
태백17.8℃
정선군23.7℃
제천23.9℃
보은23.8℃
천안24.9℃
보령24.5℃
부여24.6℃
금산25.4℃
24.7℃
부안25.8℃
임실24.9℃
정읍25.7℃
남원26.9℃
장수23.8℃
고창군25.7℃
영광군26.0℃
김해시27.3℃
순창군26.3℃
북창원27.5℃
양산시25.7℃
보성군26.0℃
강진군26.6℃
장흥26.7℃
해남26.4℃
고흥26.8℃
의령군27.7℃
함양군25.2℃
광양시25.2℃
진도군25.7℃
봉화22.6℃
영주23.8℃
문경24.2℃
청송군23.6℃
영덕22.8℃
의성24.8℃
구미25.0℃
영천23.4℃
경주시23.4℃
거창24.2℃
합천26.1℃
밀양25.8℃
산청25.6℃
거제25.4℃
남해24.7℃
25.9℃

표준업계동향

[기획-암호화 이해] ③정보보안 원칙 및 암호화 사용 - 엔티티 인증, …

▲ 디지털 ID 산업의 발전 전략 [출처=iNIS] 정보사회의 건전성을 확보하기 위한 암호화(Cryptography)는정보보안의 핵심 원칙인 기밀성(confidentiality), 무결성(integrity), 가용성(availability) 중기밀성과 무결성을 확보하는데 매우 중요한 도구다.데이터 기밀성은 데이터가 승인되지 않은 당사자에게 공개되지 않도록 보장하는 것을 말한다. 암호화와 같은 암호화 기술은 데이터 기밀성을 보호하기 위해 사용될 수 있다. 정당한 해독 키(key)를 갖고 있지 않은 사람은 데이터를 읽을 수 없다.데이터 무결성은 데이터가 변조되거나 손상되지 않았음을 확인해준다. 데이터 무결성과 관련된 국제표준 ISO/IEC 9797은 메시지 인증 코드 계산을 위한 알고리즘을 지정한다.암호화는 주요 정보 보안 목표 외에도 △엔티티 인증(entity authentication) △디지털 서명(digital signatures) △부인 방지(non-repudiation) △경량 암호화(Lightweight cryptography) △디지털 권한 관리(Digital rights management, DRM) △전자상거래(e-commerce) 및 온라인 쇼핑(online shopping) △암호화폐(cryptocurrency)및 블록체인(blockchain) 등에도 사용되고 있다.첫 번째, 엔티티 인증(entity authentication)은 비밀에 대한 지식을 확인해 발신자의 신원을 증명하는 것을 말한다.ISO/IEC 9798는 엔티티 인증 및 프로토콜, 기술 등을 지정하는 일련의 국제표준이다.이를 달성할 수 있는 다양한 암호화 기반 메커니즘과 프로토콜이 있다. 대칭 시스템(symmetric systems), 디지털 서명(digital signatures), 영지식 기술(zero-knowledge techniques), 체크섬(checksums) 등이 대표적이다.두 번째, 디지털 서명(digital signatures)은 데이터가 서명자로부터 생성됐으며 변경되지 않았음을 확인함으로서 데이터의 신뢰성을 확인하는 데 사용된다. 디지털 서명은이메일 메시지, 전자 문서, 온라인 결제 등에 활용된다.디지털 서명 체계를 지정하는 국제표준에는ISO/IEC 9796, ISO/IEC 14888, ISO/IEC18370, ISO/IEC 20008 등이 있다.세 번째, 부인 방지(non-repudiation)는 디지털 서명과 같은 암호화 기술을 사용해 메시지를 보낸 사람과 받은 사람이 각각 메시지슬 수발신했다는 사실을 부인할 수 없도록해 보장하기 위해 사용된다.부인 방지에는 송신 부인 방지, 송달 부인 방지, 수신 부인 방지 등이 있다. 표준ISO/IEC 13888은부인 방지 서비스 제공을 위한 기술, 즉대칭 및 비대칭 기술을 설명한다.

[기획-디지털 ID 표준] ⑤유럽표준화기구(ESOs) 및 표준 - 소속 …

▲ 디지털 ID 산업의 발전 전략 [출처=iNIS] 디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.유럽표준화기구(European Standardisation Organistions, ESOs), 유럽표준화위원회(European Committee for Standardization, CEN), 유럽전기기술표준화위원회(European Committee for Electrotechnical Standardization, CENELEC),유럽전기통신표준화기구(European Telecommunication Standards Institute,ETSI) 등 디지털 ID 관련 표준을 개발하고 있는 기술위원회에 대해 살펴보면 다음과 같다.먼저 유럽전기통신표준화기구(ETSI)는 유럽의 eIDAS 규정과 전자 거래에 대한 신뢰를 제공하기 위한 국제사회의 일반 요구사항을 지원하는 다수의 표준을 발표했다.특히 ETSI 전자 서명 및 인프라 기술위원회(ETSI Electronic Signatures and Infrastructures Technical Committee)는 서비스 제공업체를 위한 정책, 보안 및 기술 요구사항에 대한 여러 표준을 제정했다.기술위원회(ETSI ESI/TC)는 디지털 서명의 형식, 생성, 검증을 위한 절차, 정책, 신뢰 앵커로서 신뢰할 수 있는 목록을 다룬다.CEN 기술위원회 224(CEN Technical Committee 224, CEN/TC 224)-MACHINE-READABLE CARDS, RELATED DEVICE INTERFACES AND OPERATIONS는다중 부문 환경에서 보안 요소, 시스템, 운영, 개인정보 보호를 갖는 개인 식별 및 관련 개인 장치와 관련이 있다.기술위원회는개인 식별, 관련 개인 장치의 상호운용성, 보안을 강화하기 위한 여러 표준을 발표했다. 이 중 CEN 기술위원회 224 내 워킹그룹 17, 18, 19이 디지털 ID와 관련이 있다.다른 실무그룹(Working Group, WG)은 WG 17 :‘Protection Profiles in the Context of SSCD(secure signature creation device)’ △WG 18 :‘Biometrics’ △WG 19 : ‘Breeder Documents' 등이다.최근 유럽 디지털 지갑 EUDI Wallet 표준을 개발하기 위해 WG 20이 임시로 구성됐다.CEN/TC 224는다중 부문 환경에서 개인 식별 및 관련 개인 장치, 시스템, 운영 및 개인 정보 보호의 상호 운용성과 보안을 강화하기 위해 표준을 개발하고 있다.여기에는 전자 식별, 전자 서명, 지불 및 청구, 출입, 국경 통제와 같은 애플리케이션 및 서비스와 같은 작업을포함하고 있다.또한 △카드, 모바일 장치 및 관련 인터페이스와 같이 폼 팩터와 독립적인 보안 요소를 갖춘 개인 장치 △인증, 기밀성, 무결성, 생체 인식, 개인 데이터 및 민감한 데이터 보호를 포함한 보안 서비스 △수용 장치, 서버, 암호화 모듈과 같은 시스템 구성 요소 등도 해당된다.CEN/TC 224 다중 부문 환경은 정부·시민, 교통, 은행, 전자 보건과 같은 부문 뿐만 아니라 카드 제조업체, 보안 기술, 적합성 평가기관, 소프트웨어 제조업체와 같은 공급 측면의 소비자 및 공급자가 포함된다. 참고로CEN 기술 위원회 224 내 실무 그룹(WG)은 다음과 같다.▷CEN/TC 224/WG 1 - ICC physical characteristics▷CEN/TC 224/WG 2 - General concepts for ICC systems▷CEN/TC 224/WG 3 - Device interface characteristics▷CEN/TC 224/WG 6 - User Interface▷CEN/TC 224/WG 7 - PIN presentation▷CEN/TC 224/WG 8 - Thin flexible cards▷CEN/TC 224/WG 9 - Telecommunication applications▷CEN/TC 224/WG 10 - Intersector electronic purse▷CEN/TC 224/WG 11 - Transport applications▷CEN/TC 224/WG 12 - Health applications▷CEN/TC 224/WG 15 - European citizen card▷CEN/TC 224/WG 16 - Application Interface for smart cards used as Secure Signature Creation Devices▷CEN/TC 224/WG 17 - Protection Profiles in the context of SSCD▷CEN/TC 224/WG 18 - Interoperability of biometric recorded data▷CEN/TC 224/WG 19 - Breeder Documents▷CEN/TC 224/WG 20 - Ad Hoc Group on European Digital Identity WalletsCEN/CENELEC 공동 기술위원회 19(CEN/CENELEC Joint Technical Committee 19)는 블록체인(Blockchain)및 분산 원장 기술(Distributed Ledger Technologies)을 다루는 위원회다.특히 실무 그룹 1(Working Group 1) : 분산형 신원 관리(Decentralised Identity Management)는 ISO 카운터파트너 ISO 기술위원회 307(ISO Technical Committee 307)과 긴밀한 접촉을 유지하고 있다.분산형 ID 관리(decentralised identity management) 및DLTs(Distributed Ledger Technologies)에 의해 제공되는 지원 기능을 위한 프로세스, 역할, 관행에 대한 것이다. 식별자, 키, 증거 레지스트리, 트러스트 앵커(trust anchors) 관리를 포함한다.실무그룹 2(WG 2)는 환경 지속가능성(CEN/CLC/JTC 19/WG 2 - Environmental sustainability)을 다루고 있다.

[기획-디지털 ID 표준] ④유럽표준화기구(ESOs) 및 표준 - 산출물…

▲ 디지털 ID 산업의 발전 전략 [출처=iNIS] 디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등다양하다.유럽 표준화 기구(ESOs)의 산출물은 △CEN/CENELEC 워크샵 계약(CEN/CENELEC Workshop Agreements, CWAs) △ETSI 표준(ETSI Standards, ETSI ES) 및 ETSI 지침(ETSIGuides, ETSI EG) △ETSI 기술 사양(ETSITechnical Specifications, ETSI TSs) 및 ETSI 기술 보고서(ETSITechnical Reports, ETSI TRs) 등이다.먼저 CEN/CENELEC 워크샵 계약(CEN/CENELEC Workshop Agreements, CWAs)는 워크숍을 통해 개발된CEN/CENELEC 계약이다. 해당 내용에 책임이 있는 식별된 개인 및 조직의 합의를 반영한다.CWAs는 유럽 표준의 지위를 갖고 있지 않다. 따라서 CEN/CENELEC에 소속된 국가 회원은 CWAs와 충돌 시 국가표준을 철회할 의무를 부담하지 않는다.다음으로 ETSI 표준(ETSIStandards, ETSI ES) 및 ETSI 지침(ETSIGuides, ETSI EG)은 ETSI 멤버십에 따라 가중치를 부여한 투표 후 채택된 ETSI 결과물이다.마지막으로 ETSI 기술 사양(ETSITechnical Specifications, ETSI TSs), ETSI 기술보고서(ETSITechnical Reports, ETSI TRs)는 담당 기술기관이 채택한 것이다.

[기획-디지털 ID 표준] ③유럽 표준화 기구(ESOs) 및 표준 - C…

▲ 디지털 ID 산업의 발전 전략 [출처=iNIS] 디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하기 위해 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등이 활동하고 있다.먼저 유럽표준화기구(ESOs) 및 표준(standards)에 대해 살펴보면 다음과 같다.유럽 표준(European standards, EN)은 규정(Regulation (EU) No 1025/2012)에 명시된 대로 자발적 기술 표준화 분야에서 유능하다고 인정된 3개의ESOs 중 하나에 의해 비준된 문서다.인정된 3개의 ESOs는 유럽표준화위원회(European Committee for Standardization, CEN), 유럽 전기기술표준화위원회(European Committee for Electrotechnical Standardization.CENELEC), 유럽전기통신표준화기구(European Telecommunication Standards Institute,ETSI) 등이다.유럽표준화위원회(CEN)는 국가 표준화 조직을 통해 전달되는 34개 회원국의 경제적, 사회적 이해관계를 반영하고 있다.또한 항공, 우주, 소비재, 국방 및 보안, 에너지, 보건, 안전, ICT, 기계, 서비스, 스마트 생활, 운송 등을 포함한 광범위한 분야 및 영역에 관련된 유럽 표준 개발을 위한 플랫폼 및 기타 기술 문서를 제공한다.유럽전기기술표준화위원회(European Committee for Electrotechnical Standardization, CENELEC)는 전기기술 표준화를 위한 유럽위원회이며 전기기술 엔지니어링 분야 표준화를 담당하고 있다.유럽전기통신표준화기구(ETSI)는 연결된 장치 및 이를 연결하는 네트워크와 관련된 통신 측면에 특히 중점을 두고 정보통신기술(ICT) 영역을 다룬다.이러한 ESOs 중 하나에 의해 비준된 유럽표준(EN)은 국가표준의 지위를 부여받는다. 상충되는 국가표준을 철회함으로써 국가 수준에서 시행돼야 할 의무를 수반하고 있다.따라서 유럽표준(EN)은 자동적으로 34 CEN/CENELEC 회원국 각각의 국가표준이 된다. 중요한 것은 산업계는 ETSI 표준 개발과정에 직접 참여하지만 CEN, CENELEC는 국가표준화기구를 통해서만 접근할 수 있다.

[기획-암호화 이해] ②암호화 시스템의 4가지 유형

▲ 디지털 ID 산업의 발전 전략 [출처=iNIS] 암호화(Cryptography)는 오늘날 저장소의 데이터와 안전한 통신을 위해 사용되는 기술과 알고리즘을 포함한다.기술 및 알고리즘에는 수학, 컴퓨터 과학, 전자 및 디지털 신호 처리 등이 활용된다. 광범위하게 말하면 암호화 시스템에는 △대칭키 암호화 또는 비밀 키(Symmetric-key cryptography or secret key) △비대칭키 암호화 또는 공개키(Asymmetric-key cryptography or public key) △암호화 키 관리(Cryptographic key management) △암호화 해시 함수(Cryptographic hash function) 등 4가지 유형이 있다.첫째, 대칭키 암호화 또는 비밀 키(Symmetric-key cryptography or secret key)유형의 시스템은 메시지 발신자와 수신자 모두 동일한 키가 공유된다. 메시지를 암호화하거나 해독하기 위해 활용된다.둘째, 비대칭키 암호화 또는 공개키(Asymmetric-key cryptography or public key) 유형의 시스템은 공개키와 개인키 등 2개의 키가 있다. 쌍으로 구성돼 있으며 수학적으로 연관돼 있다.비대칭 암호화를 적용하기 위해 발신자는 메시지를 암호화하기 위해 지정된 수신자의 공개키를 사용하고 암호화된 메시지를 보낸다.메시지가 도착하면 수신자의 개인 키를 사용해야만 메시지를 해독할 수 있다. 해당 개인 키가 없으면 해킹된 메시지는 해커에게도 무용지물이다.암호화 메커니즘은 다양한 비대칭 암호를 지정하는 국제표준 모음인 ISO/IEC18033의 핵심이다. 멀티파트 시리즈에는 ID 기반 암호, 블록 암호, 스트림 암호 및 동형 암호화가 포함돼 있다.셋째, 암호화 키 관리(Cryptographic key management) 유형의 시스템은대칭 및 비대칭 암호화에 사용되는 키를 보호하는 데 중요하다.여기에는 생성, 교환 및 배포, 저장, 사용, 안전한 파기 및 교체를 포함해 키의 전체 수명주기(life cycle)를 포괄하는 일련의 프로세스가 정돈돼 있다.키 관리가 부실하면 암호화된 데이터의 보호도 약해진다. 따라서 키 관리 및 키 생성과 관련된 국제표준이 다수 있다. 예를 들면 키관리 표준은 ISO/IEC 11770, 키 생성 표준에는 ISO/IEC18031 및 ISO/IEC18032 등이다.넷째,암호화 해시 함수(Cryptographic hash function)는 어떤길이의 데이터 문자열을 고정 길이의 해시된 출력(입력된 요약문)으로 변환하는 기술이다.해시 함수에는 디지털 서명, 메시지 인증 코드(message authentication codes, MACs), 테이터 손상 확인을 위한 체크섬(checksums)과 같은 다양한 응용 프로그램이 있다.해시 함수를 지정하는 국제표준은 ISO/IEC 9797-2, ISO/IEC 9797-3, ISO/IEC10118 등이다.