검색결과
-
[기획-암호화 이해] ③정보보안 원칙 및 암호화 사용 - 엔티티 인증, 디지털 서명, 부인 방지정보사회의 건전성을 확보하기 위한 암호화(Cryptography)는 정보보안의 핵심 원칙인 기밀성(confidentiality), 무결성(integrity), 가용성(availability) 중 기밀성과 무결성을 확보하는데 매우 중요한 도구다.데이터 기밀성은 데이터가 승인되지 않은 당사자에게 공개되지 않도록 보장하는 것을 말한다. 암호화와 같은 암호화 기술은 데이터 기밀성을 보호하기 위해 사용될 수 있다. 정당한 해독 키(key)를 갖고 있지 않은 사람은 데이터를 읽을 수 없다.데이터 무결성은 데이터가 변조되거나 손상되지 않았음을 확인해준다. 데이터 무결성과 관련된 국제표준 ISO/IEC 9797은 메시지 인증 코드 계산을 위한 알고리즘을 지정한다.암호화는 주요 정보 보안 목표 외에도 △엔티티 인증(entity authentication) △디지털 서명(digital signatures) △부인 방지(non-repudiation) △경량 암호화(Lightweight cryptography) △디지털 권한 관리(Digital rights management, DRM) △전자상거래(e-commerce) 및 온라인 쇼핑(online shopping) △암호화폐(cryptocurrency) 및 블록체인(blockchain) 등에도 사용되고 있다.첫 번째, 엔티티 인증(entity authentication)은 비밀에 대한 지식을 확인해 발신자의 신원을 증명하는 것을 말한다. ISO/IEC 9798는 엔티티 인증 및 프로토콜, 기술 등을 지정하는 일련의 국제표준이다.이를 달성할 수 있는 다양한 암호화 기반 메커니즘과 프로토콜이 있다. 대칭 시스템(symmetric systems), 디지털 서명(digital signatures), 영지식 기술(zero-knowledge techniques), 체크섬(checksums) 등이 대표적이다.두 번째, 디지털 서명(digital signatures)은 데이터가 서명자로부터 생성됐으며 변경되지 않았음을 확인함으로서 데이터의 신뢰성을 확인하는 데 사용된다. 디지털 서명은 이메일 메시지, 전자 문서, 온라인 결제 등에 활용된다.디지털 서명 체계를 지정하는 국제표준에는 ISO/IEC 9796, ISO/IEC 14888, ISO/IEC18370, ISO/IEC 20008 등이 있다.세 번째, 부인 방지(non-repudiation)는 디지털 서명과 같은 암호화 기술을 사용해 메시지를 보낸 사람과 받은 사람이 각각 메시지슬 수발신했다는 사실을 부인할 수 없도록해 보장하기 위해 사용된다.부인 방지에는 송신 부인 방지, 송달 부인 방지, 수신 부인 방지 등이 있다. 표준 ISO/IEC 13888은 부인 방지 서비스 제공을 위한 기술, 즉대칭 및 비대칭 기술을 설명한다.
-
[기획-디지털 ID 표준] ⑤유럽표준화기구(ESOs) 및 표준 - 소속 기술위원회(TC)디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다. 유럽표준화기구(European Standardisation Organistions, ESOs), 유럽표준화위원회(European Committee for Standardization, CEN), 유럽전기기술표준화위원회(European Committee for Electrotechnical Standardization, CENELEC), 유럽전기통신표준화기구(European Telecommunication Standards Institute, ETSI) 등 디지털 ID 관련 표준을 개발하고 있는 기술위원회에 대해 살펴보면 다음과 같다.먼저 유럽전기통신표준화기구(ETSI)는 유럽의 eIDAS 규정과 전자 거래에 대한 신뢰를 제공하기 위한 국제사회의 일반 요구사항을 지원하는 다수의 표준을 발표했다.특히 ETSI 전자 서명 및 인프라 기술위원회(ETSI Electronic Signatures and Infrastructures Technical Committee)는 서비스 제공업체를 위한 정책, 보안 및 기술 요구사항에 대한 여러 표준을 제정했다.기술위원회(ETSI ESI/TC)는 디지털 서명의 형식, 생성, 검증을 위한 절차, 정책, 신뢰 앵커로서 신뢰할 수 있는 목록을 다룬다.CEN 기술위원회 224(CEN Technical Committee 224, CEN/TC 224)-MACHINE-READABLE CARDS, RELATED DEVICE INTERFACES AND OPERATIONS는 다중 부문 환경에서 보안 요소, 시스템, 운영, 개인정보 보호를 갖는 개인 식별 및 관련 개인 장치와 관련이 있다.기술위원회는 개인 식별, 관련 개인 장치의 상호운용성, 보안을 강화하기 위한 여러 표준을 발표했다. 이 중 CEN 기술위원회 224 내 워킹그룹 17, 18, 19이 디지털 ID와 관련이 있다.다른 실무그룹(Working Group, WG)은 WG 17 : ‘Protection Profiles in the Context of SSCD(secure signature creation device)’ △WG 18 : ‘Biometrics’ △WG 19 : ‘Breeder Documents' 등이다. 최근 유럽 디지털 지갑 EUDI Wallet 표준을 개발하기 위해 WG 20이 임시로 구성됐다.CEN/TC 224는 다중 부문 환경에서 개인 식별 및 관련 개인 장치, 시스템, 운영 및 개인 정보 보호의 상호 운용성과 보안을 강화하기 위해 표준을 개발하고 있다.여기에는 전자 식별, 전자 서명, 지불 및 청구, 출입, 국경 통제와 같은 애플리케이션 및 서비스와 같은 작업을 포함하고 있다. 또한 △카드, 모바일 장치 및 관련 인터페이스와 같이 폼 팩터와 독립적인 보안 요소를 갖춘 개인 장치 △인증, 기밀성, 무결성, 생체 인식, 개인 데이터 및 민감한 데이터 보호를 포함한 보안 서비스 △수용 장치, 서버, 암호화 모듈과 같은 시스템 구성 요소 등도 해당된다.CEN/TC 224 다중 부문 환경은 정부·시민, 교통, 은행, 전자 보건과 같은 부문 뿐만 아니라 카드 제조업체, 보안 기술, 적합성 평가기관, 소프트웨어 제조업체와 같은 공급 측면의 소비자 및 공급자가 포함된다. 참고로 CEN 기술 위원회 224 내 실무 그룹(WG)은 다음과 같다.▷CEN/TC 224/WG 1 - ICC physical characteristics▷CEN/TC 224/WG 2 - General concepts for ICC systems▷CEN/TC 224/WG 3 - Device interface characteristics▷CEN/TC 224/WG 6 - User Interface▷CEN/TC 224/WG 7 - PIN presentation▷CEN/TC 224/WG 8 - Thin flexible cards▷CEN/TC 224/WG 9 - Telecommunication applications▷CEN/TC 224/WG 10 - Intersector electronic purse▷CEN/TC 224/WG 11 - Transport applications▷CEN/TC 224/WG 12 - Health applications▷CEN/TC 224/WG 15 - European citizen card▷CEN/TC 224/WG 16 - Application Interface for smart cards used as Secure Signature Creation Devices▷CEN/TC 224/WG 17 - Protection Profiles in the context of SSCD▷CEN/TC 224/WG 18 - Interoperability of biometric recorded data▷CEN/TC 224/WG 19 - Breeder Documents▷CEN/TC 224/WG 20 - Ad Hoc Group on European Digital Identity WalletsCEN/CENELEC 공동 기술위원회 19(CEN/CENELEC Joint Technical Committee 19)는 블록체인(Blockchain) 및 분산 원장 기술(Distributed Ledger Technologies)을 다루는 위원회다.특히 실무 그룹 1(Working Group 1) : 분산형 신원 관리(Decentralised Identity Management)는 ISO 카운터파트너 ISO 기술위원회 307( ISO Technical Committee 307)과 긴밀한 접촉을 유지하고 있다.분산형 ID 관리(decentralised identity management) 및 DLTs(Distributed Ledger Technologies)에 의해 제공되는 지원 기능을 위한 프로세스, 역할, 관행에 대한 것이다. 식별자, 키, 증거 레지스트리, 트러스트 앵커(trust anchors) 관리를 포함한다.실무그룹 2(WG 2)는 환경 지속가능성(CEN/CLC/JTC 19/WG 2 - Environmental sustainability)을 다루고 있다.
-
[기획-디지털 ID 표준] ④유럽표준화기구(ESOs) 및 표준 - 산출물 소개디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등 다양하다.유럽 표준화 기구(ESOs)의 산출물은 △CEN/CENELEC 워크샵 계약(CEN/CENELEC Workshop Agreements, CWAs) △ETSI 표준(ETSI Standards, ETSI ES) 및 ETSI 지침(ETSI Guides, ETSI EG) △ETSI 기술 사양(ETSI Technical Specifications, ETSI TSs) 및 ETSI 기술 보고서(ETSI Technical Reports, ETSI TRs) 등이다.먼저 CEN/CENELEC 워크샵 계약(CEN/CENELEC Workshop Agreements, CWAs)는 워크숍을 통해 개발된 CEN/CENELEC 계약이다. 해당 내용에 책임이 있는 식별된 개인 및 조직의 합의를 반영한다.CWAs는 유럽 표준의 지위를 갖고 있지 않다. 따라서 CEN/CENELEC에 소속된 국가 회원은 CWAs와 충돌 시 국가표준을 철회할 의무를 부담하지 않는다.다음으로 ETSI 표준(ETSI Standards, ETSI ES) 및 ETSI 지침(ETSI Guides, ETSI EG)은 ETSI 멤버십에 따라 가중치를 부여한 투표 후 채택된 ETSI 결과물이다.마지막으로 ETSI 기술 사양(ETSI Technical Specifications, ETSI TSs), ETSI 기술보고서(ETSI Technical Reports, ETSI TRs)는 담당 기술기관이 채택한 것이다.
-
[기획-디지털 ID 표준] ③유럽 표준화 기구(ESOs) 및 표준 - CEN, CENELEC, ETSI 소개디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하기 위해 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등이 활동하고 있다.먼저 유럽표준화기구(ESOs) 및 표준(standards)에 대해 살펴보면 다음과 같다. 유럽 표준(European standards, EN)은 규정(Regulation (EU) No 1025/2012)에 명시된 대로 자발적 기술 표준화 분야에서 유능하다고 인정된 3개의 ESOs 중 하나에 의해 비준된 문서다.인정된 3개의 ESOs는 유럽표준화위원회(European Committee for Standardization, CEN), 유럽 전기기술표준화위원회(European Committee for Electrotechnical Standardization. CENELEC), 유럽전기통신표준화기구(European Telecommunication Standards Institute, ETSI) 등이다.유럽표준화위원회(CEN)는 국가 표준화 조직을 통해 전달되는 34개 회원국의 경제적, 사회적 이해관계를 반영하고 있다.또한 항공, 우주, 소비재, 국방 및 보안, 에너지, 보건, 안전, ICT, 기계, 서비스, 스마트 생활, 운송 등을 포함한 광범위한 분야 및 영역에 관련된 유럽 표준 개발을 위한 플랫폼 및 기타 기술 문서를 제공한다.유럽전기기술표준화위원회(European Committee for Electrotechnical Standardization, CENELEC)는 전기기술 표준화를 위한 유럽위원회이며 전기기술 엔지니어링 분야 표준화를 담당하고 있다.유럽전기통신표준화기구(ETSI)는 연결된 장치 및 이를 연결하는 네트워크와 관련된 통신 측면에 특히 중점을 두고 정보통신기술(ICT) 영역을 다룬다.이러한 ESOs 중 하나에 의해 비준된 유럽표준(EN)은 국가표준의 지위를 부여받는다. 상충되는 국가표준을 철회함으로써 국가 수준에서 시행돼야 할 의무를 수반하고 있다.따라서 유럽표준(EN)은 자동적으로 34 CEN/CENELEC 회원국 각각의 국가표준이 된다. 중요한 것은 산업계는 ETSI 표준 개발과정에 직접 참여하지만 CEN, CENELEC는 국가표준화기구를 통해서만 접근할 수 있다.
-
[기획-암호화 이해] ②암호화 시스템의 4가지 유형암호화(Cryptography)는 오늘날 저장소의 데이터와 안전한 통신을 위해 사용되는 기술과 알고리즘을 포함한다. 기술 및 알고리즘에는 수학, 컴퓨터 과학, 전자 및 디지털 신호 처리 등이 활용된다. 광범위하게 말하면 암호화 시스템에는 △대칭키 암호화 또는 비밀 키(Symmetric-key cryptography or secret key) △비대칭키 암호화 또는 공개키(Asymmetric-key cryptography or public key) △암호화 키 관리(Cryptographic key management) △암호화 해시 함수(Cryptographic hash function) 등 4가지 유형이 있다.첫째, 대칭키 암호화 또는 비밀 키(Symmetric-key cryptography or secret key) 유형의 시스템은 메시지 발신자와 수신자 모두 동일한 키가 공유된다. 메시지를 암호화하거나 해독하기 위해 활용된다.둘째, 비대칭키 암호화 또는 공개키(Asymmetric-key cryptography or public key) 유형의 시스템은 공개키와 개인키 등 2개의 키가 있다. 쌍으로 구성돼 있으며 수학적으로 연관돼 있다.비대칭 암호화를 적용하기 위해 발신자는 메시지를 암호화하기 위해 지정된 수신자의 공개키를 사용하고 암호화된 메시지를 보낸다.메시지가 도착하면 수신자의 개인 키를 사용해야만 메시지를 해독할 수 있다. 해당 개인 키가 없으면 해킹된 메시지는 해커에게도 무용지물이다.암호화 메커니즘은 다양한 비대칭 암호를 지정하는 국제표준 모음인 ISO/IEC18033의 핵심이다. 멀티파트 시리즈에는 ID 기반 암호, 블록 암호, 스트림 암호 및 동형 암호화가 포함돼 있다.셋째, 암호화 키 관리(Cryptographic key management) 유형의 시스템은 대칭 및 비대칭 암호화에 사용되는 키를 보호하는 데 중요하다.여기에는 생성, 교환 및 배포, 저장, 사용, 안전한 파기 및 교체를 포함해 키의 전체 수명주기(life cycle)를 포괄하는 일련의 프로세스가 정돈돼 있다.키 관리가 부실하면 암호화된 데이터의 보호도 약해진다. 따라서 키 관리 및 키 생성과 관련된 국제표준이 다수 있다. 예를 들면 키관리 표준은 ISO/IEC 11770, 키 생성 표준에는 ISO/IEC18031 및 ISO/IEC18032 등이다.넷째, 암호화 해시 함수(Cryptographic hash function)는 어떤 길이의 데이터 문자열을 고정 길이의 해시된 출력(입력된 요약문)으로 변환하는 기술이다.해시 함수에는 디지털 서명, 메시지 인증 코드(message authentication codes, MACs), 테이터 손상 확인을 위한 체크섬(checksums)과 같은 다양한 응용 프로그램이 있다. 해시 함수를 지정하는 국제표준은 ISO/IEC 9797-2, ISO/IEC 9797-3, ISO/IEC10118 등이다.
-
[특집-기상기후재난] (주)비밍코어 정성민 대표 인터뷰 - 인공지능(AI) 활용한 기후재난 대처 솔루션 개발지난 7월1일(토요일) 중앙대 중앙문화예술관에서 중앙대 재난안전연구회 주관으로 기상기후재난세미나에서 기상·기후재난 산·학·연협의체 발족식을 가졌다.협의체 회장은 중앙대 도시시스템공학과 소속으로 한국경관학회 회장을 맡고 있는 배웅규 교수가 추대됐다. 부회장으로는 중앙대 ICT융합안전전공 정상 교수가 임명됐다.협의체는 11개 연구소 및 기업이 참여했으며 관련 기관을 대표하는 11명이 부회장으로 공동 선임됐다. 참여한 연구소 및 기업은 국가정보전략연구소, (주)AI Leader, (주)한국융합아이티, (주)스페이스에이디, (주)포비드림, (주)비밍코어, (주)심심이, (주)비전21테크, (주)엠젠솔루션, (주)심시스글로벌, (주)코너스 등이다. 우리나라 뿐 아니라 전 세계에서 전례가 없는 기상이변으로 재난 규모가 확대되고 재난의 양태가 다양화되고 있다. 국가 차원의 재난대응에 실패한 사례가 속출하고 있는 실정이다.지난 2월 행정안전부는 기후변화 대비 재난관리체계 개선 대책을 마련하기 위해 관계 부처와 협력하는 중이다. 하지만 7월 발생한 충북 청주시 궁평2지하차도 침수사고를 미연에 막지 못했다. 정부 차원의 재난콘트롤타워가 제 역할을 수행하지 못하고 있는 상황에서 새롭게 출범하는 기상기후재난산학연협의체의 활동이 기대되는 이유다.따라서 협의체에 참여한 대학 및 11개 연구소 및 기업의 대표 및 담당자의 인터뷰를 통해 협의체의 역할, 활동 영역, 정책 등 다양한 의견을 들어보고자 한다.선문대 나방현 교수, 중앙대 ICT 융합안전 정상 교수, 국가정보전략연구소 김봉석 객원연구원(특허법인 신성 부장), (주)이토스 김형식 대표에 이어 (주)비밍코어 정성민 대표와 인터뷰를 진행했다. - 전공이 무엇인지. "정보통신학과 학사로 졸업했으며 현재 중앙대 일반대학원 의회학과 ICT융합안전전공 분야 석사과정을 밟고 있다. 통신전문회사 (주)비밍코어 대표이사로서 ICT융합안전의 필요성을 느껴 전공을 선택했다." - 자신의 이력을 소개한다면."네트워크 및 정보보호와 관련한 연구를 하는 통신회사에서 15년 근무했으며 2017년 사물인터넷(IoT) 전문회사인 비밍코어를 창업했다. 창업 후 IoT 분야 중 국내 최초 실시간 소방시설관리시스템을 개발해 서울소방재난본부에 시스템을 공급했다. 이후 전국에 있는 소방재난본부에 공급했으며 화재로부터 안전한 사회를 만들기 위해 노력하고 있다. 이러한 노력을 인정받아 2020년 국무총리 표창도 받았다."- 현재 근무하고 있는 기업에서 담당하는 분야는."비밍코어 대표이사로 재직 중이며 회사 경영과 신기술 개발을 책임지고 있다. 국내 주요기관인 서울교통공사, 인천국제공항공사, 소방재난본부 등 다양한 고객에게 IoT 기기 및 유무선 네트워크 장비와 솔루션 등을 공급하고 있다." 서울시의회 주택공간위원회위원인 최재란 의원은 7월 협의체 발족에서 "기상기후재난산학연협의체 발족이 시의 적절하다며 기상기후 재난예방과 대응을 위한 빅데이터의 융합 및 활용에 기대가 높다"고 밝혔다. 기상기후재난산학연협의체 회장 배웅규 중앙대 도시시스템공학 교수(한국경관학회 회장)는 "기상기후재난으로 인한 관심과 이슈 뿐 아니라 재난예방과 대응을 위해 기상기후 빅데이터 융합·활용 방안에 대한 수요가 증가하고 있으며 이에 대한 대비가 필요하다."고 강조했다. 기상이변에 따른 강력한 폭우로 지난해 서울시내 사망사고가 발생했을 뿐 아니라 올해 7월 충북 청주시 지하차도 침수사고가 발생한 가운데 재난예방과 대응을 위해 협의체 출범이 주목을 받는 이유다. - 기상기후재난산학연협의체에 참여하게 된 계기는."비밍코어는 정부지원사업(4년)으로 각 분야 전문가 기업 및 팀을 구성해 도심지 내 화재, 침수, 지진, 태풍 등 복합 재난상황에 대비해 인공지능(AI)을 통한 예측 및 대응하고 신속하게 회복할 수 있는 연구를 진행하고 있다.또한 국내 최초로 실시간 소방시설 관리시스템, 전국 소방본부의 화재 관련 다양한 사업에 참여 중이다. 따라서 기상기후재난과 밀접하게 연관돼 있으며 상호 협력을 통해 좋은 결과를 도출할 수 있을 것으로 판단해 참여하게 됐다."- 협의체 발족에 관해 어떻게 알게 됐는지."비밍코어는 중앙대 및 선문대와 협업을 하고 있어 중앙대 정상 교수와 선문대 나방현 교수로 부터 협의체 발족 소식을 접하게 됐다."- 협의체에 참여한 동기는."국민이 안전한 삶을 영위할 수 있도록 다양한 분야에서 안전이 필수지만 비밍코어는 화재 등 소방분야에 많은 노력을 기울이고 있다. 소방 분야는 기상기후재난과 밀접한 관계가 있으며 협의체가 함께 풀어나가야 할 숙제라고 생각한다.비밍코어의 기술과 다른 전문 기술을 서로 공유하면 더 나은 기술이 탄생하고 보다 안전한 대한민국이 될 수 있을 것으로 판단해 함께 협력하고자 한다."- 기상기후재난산학연협의체가 기상기후재난예방과 대응을 위해 어떤 역할을 수행해야 하는지."협의체가 발전하기 위해서는 다양한 분야 전문가들이 주기적으로 모여 기술과 동향, 미래 예측 등에 관한 지식을 상호 공유하고 기술을 연구할 필요가 있다. 다양한 솔루션을 제안하고 정부 방향을 제시할 수 있도록 정책 도출도 중요하다고 생각한다." - 현재 수행하고 있는 업무와 기상기후재난산학연협의체와의 연관성은."비밍코어는 끊임없이 소방과 관련해 연구하고 있으며 다양한 노하우를 축적했다. 태풍, 침수, 지진 등 다양한 재난상황에 대한 기술과 데이터를 보유하고 있다. 이러한 기술은 기상기후재난산학연협의체에도 적극 활용될 수 있으며 협의체 참여 회원들과 기술을 검증하고 테스트 베드를 구축하는 데도 도움이 되리라 생각한다."- 향후 협의체가 어떤 단체로 성장하길 희망하는지."다양한 전문가와 기술을 가진 업체들이 모인 기상기후재난산학연협의체가 재난 예방, 대비, 대응, 복구 등 단계별 관리가 가능한 모델을 도출하고 적용할 뿐 아니라 정부 정책 제정 등에 참여할 수 있는 조직으로 성장하길 기대한다."- 협의체를 통해 다뤄보고 싶은 분야나 추진해보고 싶은 정책적 목표는."현재 도시 내 복합 재난 발생 시 인공지능(AI)를 활용한 예측과 대응, 신속회복과 관련된 모델을 연구 중인데 기상기후재난에 적용해 보고 싶다. 현장에 적용하기 위해서는 다양한 시나리오 및 데이터를 가진 기상기후 전문가들의 도움이 필요하다. 스마트시티의 복합 재난 상황에 맞는 대응시스템으로서 테스트 결과물을 도출하고 표준이나 조례로 제정하고 싶다." 지난 2017년 기상분야 표준 개발 업무가 국가기술표준원에서 기상청으로 이관됐다. 2023년 초 행정안전부는 기후변화 대비 재난관리체계 개선 대책을 본격 추진하고 있으나 국가재난 컨트롤 타워의 부재, 각종 재난 대응 실패로 인해 국민들의 원성이 증가하면서 협의체 활동에 기대가 높다. - 우리나라 기상기후재난 관련 표준 발전이나 기상기후재난 예방 및 대응을 위해 협의체가 어떤 활동을 하길 바라는지."협의체에 참여하는 전문가 및 기업, 학교, 연구소 등이 기상청이나 정부 표준 개발에 적극 참여해 목소리를 낼 수 있길 기대한다. 협의체가 안전지침이나 표준 제정 등을 위한 자문 기관 역할을 수행하고 정부 연구개발사업에도 동참해 기상기후재난 관련 기술개발에 기여할 수 있었으면 한다."- 행정안전부 등 기상기후 관련 국가 및 공공기관에 바라는 점이 있다면."협의체는 각 분야 전문가들이 모여 국민의 안전과 재산을 보호할 수 있는 다양한 의견과 기술을 공유하고 발전해 나가야 한다고 생각한다. 이를 위해 국가 및 공공기관은 적극적인 참여뿐만 아니라 재정도 지원해야 한다고 생각한다." - 사회·국가·대학 등에 하고 싶은 말이나 제언이 있다면."각 분야의 전문가 및 정부기관에서 좀 더 많은 관심을 가지고 좋은 결실을 맺을 수 있는 단체로 거듭날 수 있도록 많은 참여와 격려, 지원을 부탁드린다. " - 마지막으로 표준뉴스에 바라는 점이나 조언이 있다면. "우리가 함께 나은 삶을 살아가기 위해 규칙과 기준이 필요하므로 표준뉴스가 다양한 산업과 제품에 필요한 기준과 표준을 소개해줬으면 좋겠다. 마찬가지로 잘못된 기준과 표준에 대해 비판하는 등 표준업계의 감시자로서 자리매김해주길 기대한다. "대학 정보통신학과를 졸업하고 통신전문기업을 설립해 운영하고 있는 정 대표는 소방 등 다양한 재난상황에 필요한 제품과 솔루션을 공급하고 있다. 중앙대 ICT융합안전 전공 석사과정에 입학해 재난 관련 제품 및 솔루션을 고도화시킬 방안을 모색하는 등 재난현장에 필요한 제품 개발에 열정을 바치고 있다. 표준뉴스는 정 대표의 요구를 잘 반영해 국내외 재난재해 관련 우수한 기업을 발굴하고 국·내외 기상기후, 재난과 관련 표준동향 등에 대한 기획기사를 발굴하기 위해 노력할 예정이다. 현재 4차산업혁명 기술과 관련된 표준 뉴스 뿐 아니라 '디지털 ID(Digital Identification)' 관련 기술, 정책, 제도, 법률 등을 소개하고 있다.
-
[기획-표준 전문가] 한국투자증권 김범수 FC 인터뷰 - 표준전문가 양성 교육이 지속되길 희망우리나라 국가표준을 책임지고 있는 국가기술표준원은 기업의 경쟁력을 강화하고 국민의 삶의 질을 향상시키기 위해 역동적인 표준 정책을 추진한다. 또한 국민이 체감할 수 있는 제품안전 관리체계를 구축해 경제발전에 이바지하고 국민의 안전을 보호하는 업무를 수행한다. 중앙대 역시 표준고위과정 운영을 통해 현업에 필요한 국내 표준 전문인력을 양성 중이다. 한국표준협회가 표준고위과정의 운영에 적극 협력하고 있다. 이에 표준뉴스는 국내 표준 전문인력 양성에 앞장서고 있는 중앙대 표준고위과정을 탐방해 전문가 양성의 목적과 포부, 미래 전략, 과정 수료자들의 현장 경험을 생생히 들어 보기위해 특집을 기획했다. 표준전문가들로부터 관련 분야의 다양한 의견을 듣고 국내표준의 발전 방향과 국제표준을 선도하기 위한 미래 비전을 그려보기 위함이다. 표준에 관한 다양한 의견이나 질책, 교육 커리큘럼, 정부 부처와 관련 기관에 제언 등 표준업계 발전을 위한 고견을 청취하기 위한 긴 여정을 시작한 셈이다. 중앙대 사회과학대 공공인재학부에서 후진양성에 앞장서며 표준고위과정을 운영하는 송용찬 교수에 이어 두 번째로 한국중부발전(주) 서울발전본부에 근무하고 있는 신정철 선임을 인터뷰했다. 이후 9월부터 교육이 시작되는 표준고위과정 11기에 입학한 국가정보전략연구소 김봉석 객원연구원(특허법인 신성 부장)을 만났다. 이번에는 표준고위과정 3기로 수료한 한국투자증권 김범수 FC와 인터뷰를 진행했다. - 전공이 무엇인지. "행정학을 전공했으며 현재 한국투자증권에 근무 중이다." - 간단하게 이력을 소개하면."영국의 세계적인 종합금융 서비스 그룹 푸르덴셜 파이낸셜이 전액 출자한 푸르덴셜생명보험에서 이사로 재직했었다. 이후 한국투자증권으로 이직했다."- 현재 근무하는 기업에서 담당하는 업무는."한국투자증권에서 고객분들의 재무설계 뿐만 아니라 은퇴설계 업무를 담당하고 있다."- 중앙대 표준고위과정을 알게 된 계기는."평소 알고 지내던 선배로부터 중앙대에서 표준고위과정을 운영하고 있다는 소식을 접하게 됐다. 평소에도 표준에 대해 관심을 갖고 있던터라 주저하지 않고 지원했다." - 표준고위과정에 지원하게 된 동기는."선배로부터 표준고위과정을 입학하면 표준과 관련된 다양한 지식을 습득할 수 있다는 조언을 들었다. 새로운 학문을 공부하고 싶었던 마음이 있었던 차에 좋은 기회라고 생객했다." - 표준고위과정 프로그램이 표준에 대한 이해도를 높이는데 도움이 되었는지."표준고위과정에서 다양한 토론 방식의 수업, 문제기반학습(Problem-Based Learning, PBL)을 통해 동기들과 토론 및 소통하면서 평소 접하지 못했던 표준을 이해할 수 있었다. 동기들과 표준 관련 주제와 내용에 대해 많이 공부할 수 있어 좋았다." - 구체적인 업무 성과가 있다면."현재 진행하고 있는 업무가 표준과 연관이 적다보니 현업에 적용하거나 활용하지 않아 가시적인 성과를 내기란 쉽지 않다. 하지만 표준은 우리 일상생활에서도 필요한 지식이라 향후에는 큰 도움이 될 것이라고 믿는다." - 표준고위과정에서 배운 과목 중 가장 기억에 남는 것은."표준고위과정 프로그램 중에 같은 조원과 동행해 쓰레기처리시설을 견학했던 경험이 좋았다. 당시 쓰레기처리시설의 규모와 장치 시설에 대해 설명을 듣고 표준이 다양한 영역에서 활용된다는 것을 확인했다."- 표준고위과정 수업이 본인이 입학하며 기대했던 것과 차이가 있는지."표준고위과정 수업을 통해 새로운 것들을 접할 수 있어 흥미 있는 시간이 되었다. 회사에서 하는 업무와 연관성이 낮았지만 다양한 사람들을 만나고 새로운 지식을 받아들여 기대는 충족됐다." - 중앙대 표준고위과정을 수료후 교수진 동기, 선후배 등과 교류하고 있는지."표준고위과정을 통해 만났던 동기들 및 PBL 팀원들과 다양한 교류를 이어 오고 있다. 단순한 교류 차원도 있지만 새로운 주제에 대해 토론하는 시간도 갖고 있다."- 과정 수료생들과 교류를 활성화하려면 어떤 노력이 필요한지."표준을 중심으로 하는 모임 뿐 아니라 골프모임, 등산모임과 같은 다양한 커뮤니티를 형성할 수 있는 모임을 만들면 좋겠다." - 국가기술표준원이 국제표준 제정에 선도적 역할을 수행하기 위해 어떤 노력을 해야 하는지."지금도 국표원이 선도적인 역할을 잘 수행하고 있다고 생각하고 있어 특별히 어떤 노력이 더 필요다하고 생각해 본적은 없다."- 산업통상자원부 등 표준 관련 공공 및 국가기관에 바라는 점이 있는지."현재 중앙대 표준고위과정뿐 아니라 다양하게 지원하고 있는 정책들을 꾸준히 펼쳐나가는 것이 좋을 것 같다. 표준을 선도하는 국가가 글로벌 경쟁에게 승리할 수 있기 때문이다."- 표준고위과정 수료생이나 입학생들에게 표준뉴스가 어떤 정보를 제공하면 좋을지."주기적으로 표준과 관련된 다양한 정책이나 법률, 기술, 표준 제정 등의 소식을 이메일이나 밴드를 통해 알려줬으면 좋겠다. 또한 표준고위과정을 수료한 회원들의 동정에 대해서도 꾸준히 안내해 주면 교류 및 활동하는데 도움이 될 것 같다. "김 FC는 푸르덴셜생명보험에서 한국투자증권으로 이직해 고객의 재무설계와 은퇴설계 업무를 담당하면서 표준고위과정 등을 수료할 정도로 새로운 지식 탐구와 대외활동에 열정적이다. 표준뉴스는 김 전 이사의 요구를 잘 반영해 국내외 표준동향뿐 아니라 표준고위과정 수료생 및 입학생들과 다양한 주제로 인터뷰를 진행하기 위해 노력할 계획이다. 특히 최근 시작한 디지털 ID(Digital Identification) 기획 시리즈, 기상기후재난 관련 기획 시리즈, 표준 전문가 인터뷰 기획 시리즈 등 독자들로부터 호평을 받고 있다.
-
[기획-디지털 ID 표준] ②디지털 ID 표준 개발 기관 및 조직컴퓨터와 인터넷의 보급으로 정보사회가 진전되면서 전 세계가 하나의 글로벌 빌리지, 즉 지구촌으로 동화되고 있다. 디지털 혁명은 디지털 서비스와 전자성거래의 발전을 가속화시켰다.2020년 1월부터 확산된 코로나19 팬데믹(대유행) 영향으로 대면 접촉이 제한되면서 비대면 서비스의 중요성은 높아졌다. 사이버 세상에서 상호작용이 증가하며 덩달아 전자거래 사기도 늘어났다.개인의 신원을 조작하거나 위변조할 수 있는 기술이 개발됐기 때문이다. 이로써 법인이나 개인 또는 전자 서비스 내 실체를 식별하는 디지털 신원(Digital identity)의 중요성이 부각됐다.디지털 신원 즉 디지털 ID 영역에는 다양한 표준이 있다. 디지털 ID 표준은 △정책 설명 △디지털 ID 발급 및 관리 서비스 △사용할 형식 및 프로토콜 △관련 서비스 감사 방법 △서비스 장치에 대한 요구사항 △추천하는 프로세스 및 알고리즘 등을 포함한다.디지털 ID 표준 개발은 유럽표준화기구, 국제표준화기구, 상업 포럼 및 컨소시업 등 다양한 기관과 조직이 수행하고 있다. 세부적으로 살펴보면 다음과 같다. ▶유럽 표준화 기구(European standardisation organisations) - 유럽전기통신표준협회(European Telecommunications Standards Institute, ETSI) - 유럽표준화위원회(European Committee for Standardization, CEN) - 유럽전기표준화위원회(European Committee for Electrotechnical Standardization, CENELEC)▶국제표준화기구(international standardisation organisations) - 세계표준화기구(International Organization for Standardization, ISO) - 국제전기통신연합(International Telecommunication Union, ITU) - 미국 전기전자공학자협회(Institute of Electrical and Electronics Engineers, IEEE) - 국제전기기술위원회(International Electrotechnical Commission, IEC) - 정보기술보안평가 공통기준(Common Criteria for Information Technology Security Evaluation, Common Criteria) - 유엔 국제민간항공기구(International Civil Aviation Organization, ICAO)▶상업 포럼 및 컨소시엄(commercial forums and consortia) - 국제인터넷표준화기구(Internet Engineering Task Force, IETF) - 인증기관 브라우저 포럼(Certification Authority Browser Forum, CABF) - 클라우드 시그니처 컨소시엄(Cloud Signature Consortium, CSC) - 오아시스(Organization for the Advancement of Structured Information Standards, OASIS) - OpenID 재단(OpenID Foundation, OpenID) - FIDO 얼라이언스(FIDO Alliance, FIDO)▶국가 조직(national organisations) - 프랑스 정보시스템 보안기구(Agence nationale de la sécurité des systèmes d’information, ANSSI) - 독일 사이버보안 당국(Bundesamt für Sicherheit in der Informationstechnik, BSI) - 영국표준협회(British Standards Institution, BSI) - 미국 국립표준기술원(National Institute of Standards and Technology, NIST) 일반적으로 처음 제정하는 표준은 공통된 작업 방식에 동의하는 것을 중요하게 여겨 프로토콜 및 형식과 같은 상호 운용성에 초점을 맞춘다. 디지털 ID도 예외는 아니었다.이후 장치 인증뿐만 아니라 서비스 제공업체의 정책 요구사항에 대한 보안 관련 표준이 제정됐다. 이를 통해 모범 사례를 설명하고 유사한 수준의 보안을 설정했다.
-
[기획-암호화 이해] ①통신 비밀 및 보안을 확보하기 위한 암호화(cryptography)?암호화(encryption, 暗號化)는 텍스트를 읽을 수 있는 형식에서 이해할 수 없는 형식으로 뒤섞는 암호화 프로세스를 말한다. 일반적으로 사용되는 암호화는 비밀 또는 개인 메시지를 암호 텍스트로 보내기 위한 방식이다. 암호화는 군사 비밀의 유지부터 금융 데이터를 인터넷을 통해 안전하게 전송하는 것까지 다양한 용도로 활용된다.컴퓨터 시스템과 네트워크 정보보안을 위한 코드와 암호가 사용돼 저장 중이거나 전송 중인 민감한 상업 정보에 대한 무단 접근으로부터 보호하기 위해 모든 정보를 암호화한다.개인정보 보호, 데이터 기밀성, 데이터 무결성 및 인증을 보장하는데 중요한 역할을 담당한다. 오늘날 전 세계적으로 거래 대부분이 온라인으로 처리될 뿐 아니라 개인적이고 직업적인 의사소통 역시 온라인으로 이뤄지며 암호화는 더욱 중요해졌다.참고로 승인된 수신자가 암호 텍스트를 수신받아 읽을 수 있는 형식으로 다시 해독하는 것을 암호해독(descrambling or decryption)이라 한다. 제3자가 읽지 못하도록 방지하기 위해 암호화 키를 사용해 수행된다.
-
[기획-디지털 ID 표준] ①디지털 ID 표준의 역할정부가 디지털 ID(Digital identity) 표준을 제정하려는 이유는 다수의 정부 디지털 혁신 프로그램을 안전하고 신뢰하도록 만들기 위함이다. 코로나19 팬데믹(대유행) 이후 디지털 거래에 대한 수요가 대폭 증가한 것도 이러한 기조를 강화시켰다.디지탈 ID 표준화는 정책, 거버넌스에서 출발해 운영, 기술 사양에 이르기까지 여러 계층을 포함한다. 또한 전자 인증서, 개인 식별, 서명 장치, 사이버 보안과 같은 디지털 ID를 지원하는 여러 요소와 기술을 다룬다.디지털 ID분야 표준은 초기 유럽 및 국제 표준화 조직인 유럽표준화위원회(Comité Européen de Normalization, CEN), 국제표준화기구(ISO), 국제인터넷표준화기구(Internet Engineering Task Force, IETF)에 의해 대부분 출판됐다.2007년 이후 정보보안 평가, 암호화 문제, 서명, 보안 서명 생성장치 및 생체 인식을 다루기 위한 중요한 표준이 출판됐다. 정보보안 평가를 위한 공통 기준도 포함된다.이후 eIDAS(electronic IDentification, Authentication and trust Services) 규정이 제정되면서 ETSI의 참여와 신뢰 서비스 표준 공개를 촉발했다.eIDAS는 운영자 및 감사자를 위한 정책 및 보안 요구사항, 신뢰할 수 있는 시스템에 대한 요구사항이 포함됐다. 표준화 기관 및 산업기관에서 서명 기술 수단, 신원 관리 수단, 상호 연결된 인증 수단의 사용에 관한 표준을 발행하기 시작했다.현재 표준화의 초점은 시장 요구, eIDAS 2.0 규정과 같은 시장 형성 이니셔티브의 제안에 의해 주도되고 있다. eIDAS 2.0은 EUDI 지갑, 속성 증명, 분산 원장, 온라인 사용자 식별, 자주적 신원 및 검증 가능한 자격 증명을 포함한다.표준 개발은 자발적이므로 표준을 적용해야 할 자동적인 법적 의무는 없다. 법률과 규정은 표준을 참조할 수 있으며 표준 준수를 의무화할 수도 있다.표준은 이해관계자 및 기타 이해관계자가 지명한 기술 전문가 간의 지식 공유, 합의 구축 과정을 통해 개발 및 정의된다. 표준을 개발하고 확립하는 데 매우 다양한 주체가 존재한다.