검색결과
-
[기획-디지털 ID 표준] ⑮산업단체와 포럼 - 오픈ID(OpenID)디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등 다양하다.산업단체와 포럼은 공식적으로 표준화 조직으로 간주되지 않지만 디지털 ID 영역을 포함한 특정 영역에서는 사실상의 표준을 제공하고 있다.몇몇의 경우 이들 단체들이 추가 비준을 위해 자신들이 생산한 사양을 ISO/IEC, ITU 통신 표준화 부문(ITU-T), ETSI 등 표준 기관에 제출할 수 있다.이러한 산업단체 및 포럼에는 △인증기관브라우저 포럼(Certification Authority Browser Forum, CA/Browser Forum) △클라우드 서명 컨소시엄(Cloud Signature Consortium, CSC) △국제자금세탁방지기구(Financial Action Task Force, FATF) △신속온라인인증(Fast Identity Online, FIDO) △국제인터넷표준화기구(Internet Engineering Task Force, IETF) △구조화 정보 표준 개발기구(오아시스)(Organization for the Advancement of Structured Information Standards, OASIS) △오픈ID(OpenID) △SOG-IS(Senior Officials Group-Information Systems Security) △W3C(World Wide Web Consortium) 등이다.오픈ID(OpenID)는 개인 및 기업의 비영리 국제 표준화 조직으로 OpenID(개방형 표준 및 분산 인증 프로토콜)를 활성화, 홍보, 보호하기 위해 노력하고 있다.오픈ID 코넥트 코어(OpenID Connect Core)는 핵심 OpenID 기능을 정의하고 있다. OpenID 기능은 OAuth 2.0 기반에 구축된 인증과 최종 사용자에 대한 정보를 전달하기 위한 클레임의 사용이다. 추가적인 기술 사양 문서는 검증 가능한 자격 증명 및 검증 가능한 프리젠테이션의 발급을 확장하기 위해 작성됐다. 또한 OpenID Connect 사용에 대한 보안 및 개인 정보 보호 고려 사항에 대해 설명하고 있다.아래는 오픈ID가 발행한 'OpenID Connect Core 1.0 incorporating errata set 1' 목차 내용이다.■ 목차(Table of Contents)1. Introduction1.1. Requirements Notation and Conventions1.2. Terminology1.3. Overview2. ID Token3. Authentication3.1. Authentication using the Authorization Code Flow3.1.1. Authorization Code Flow Steps3.1.2. Authorization Endpoint3.1.2.1. Authentication Request3.1.2.2. Authentication Request Validation3.1.2.3. Authorization Server Authenticates End-User3.1.2.4. Authorization Server Obtains End-User Consent/Authorization3.1.2.5. Successful Authentication Response3.1.2.6. Authentication Error Response3.1.2.7. Authentication Response Validation3.1.3. Token Endpoint3.1.3.1. Token Request3.1.3.2. Token Request Validation3.1.3.3. Successful Token Response3.1.3.4. Token Error Response3.1.3.5. Token Response Validation3.1.3.6. ID Token3.1.3.7. ID Token Validation3.1.3.8. Access Token Validation3.2. Authentication using the Implicit Flow3.2.1. Implicit Flow Steps3.2.2. Authorization Endpoint3.2.2.1. Authentication Request3.2.2.2. Authentication Request Validation3.2.2.3. Authorization Server Authenticates End-User3.2.2.4. Authorization Server Obtains End-User Consent/Authorization3.2.2.5. Successful Authentication Response3.2.2.6. Authentication Error Response3.2.2.7. Redirect URI Fragment Handling3.2.2.8. Authentication Response Validation3.2.2.9. Access Token Validation3.2.2.10. ID Token3.2.2.11. ID Token Validation3.3. Authentication using the Hybrid Flow3.3.1. Hybrid Flow Steps3.3.2. Authorization Endpoint3.3.2.1. Authentication Request3.3.2.2. Authentication Request Validation3.3.2.3. Authorization Server Authenticates End-User3.3.2.4. Authorization Server Obtains End-User Consent/Authorization3.3.2.5. Successful Authentication Response3.3.2.6. Authentication Error Response3.3.2.7. Redirect URI Fragment Handling3.3.2.8. Authentication Response Validation3.3.2.9. Access Token Validation3.3.2.10. Authorization Code Validation3.3.2.11. ID Token3.3.2.12. ID Token Validation3.3.3. Token Endpoint3.3.3.1. Token Request3.3.3.2. Token Request Validation3.3.3.3. Successful Token Response3.3.3.4. Token Error Response3.3.3.5. Token Response Validation3.3.3.6. ID Token3.3.3.7. ID Token Validation3.3.3.8. Access Token3.3.3.9. Access Token Validation4. Initiating Login from a Third Party5. Claims5.1. Standard Claims5.1.1. Address Claim5.1.2. Additional Claims5.2. Claims Languages and Scripts5.3. UserInfo Endpoint5.3.1. UserInfo Request5.3.2. Successful UserInfo Response5.3.3. UserInfo Error Response5.3.4. UserInfo Response Validation5.4. Requesting Claims using Scope Values5.5. Requesting Claims using the "claims" Request Parameter5.5.1. Individual Claims Requests5.5.1.1. Requesting the "acr" Claim5.5.2. Languages and Scripts for Individual Claims5.6. Claim Types5.6.1. Normal Claims5.6.2. Aggregated and Distributed Claims5.6.2.1. Example of Aggregated Claims5.6.2.2. Example of Distributed Claims5.7. Claim Stability and Uniqueness6. Passing Request Parameters as JWTs6.1. Passing a Request Object by Value6.1.1. Request using the "request" Request Parameter6.2. Passing a Request Object by Reference6.2.1. URL Referencing the Request Object6.2.2. Request using the "request_uri" Request Parameter6.2.3. Authorization Server Fetches Request Object6.2.4. "request_uri" Rationale6.3. Validating JWT-Based Requests6.3.1. Encrypted Request Object6.3.2. Signed Request Object6.3.3. Request Parameter Assembly and Validation7. Self-Issued OpenID Provider7.1. Self-Issued OpenID Provider Discovery7.2. Self-Issued OpenID Provider Registration7.2.1. Providing Information with the "registration" Request Parameter7.3. Self-Issued OpenID Provider Request7.4. Self-Issued OpenID Provider Response7.5. Self-Issued ID Token Validation8. Subject Identifier Types8.1. Pairwise Identifier Algorithm9. Client Authentication10. Signatures and Encryption10.1. Signing10.1.1. Rotation of Asymmetric Signing Keys10.2. Encryption10.2.1. Rotation of Asymmetric Encryption Keys11. Offline Access12. Using Refresh Tokens12.1. Refresh Request12.2. Successful Refresh Response12.3. Refresh Error Response13. Serializations13.1. Query String Serialization13.2. Form Serialization13.3. JSON Serialization14. String Operations15. Implementation Considerations15.1. Mandatory to Implement Features for All OpenID Providers15.2. Mandatory to Implement Features for Dynamic OpenID Providers15.3. Discovery and Registration15.4. Mandatory to Implement Features for Relying Parties15.5. Implementation Notes15.5.1. Authorization Code Implementation Notes15.5.2. Nonce Implementation Notes15.5.3. Redirect URI Fragment Handling Implementation Notes15.6. Compatibility Notes15.6.1. Pre-Final IETF Specifications15.6.2. Google "iss" Value15.7. Related Specifications and Implementer's Guides16. Security Considerations16.1. Request Disclosure16.2. Server Masquerading16.3. Token Manufacture/Modification16.4. Access Token Disclosure16.5. Server Response Disclosure16.6. Server Response Repudiation16.7. Request Repudiation16.8. Access Token Redirect16.9. Token Reuse16.10. Eavesdropping or Leaking Authorization Codes (Secondary Authenticator Capture)16.11. Token Substitution16.12. Timing Attack16.13. Other Crypto Related Attacks16.14. Signing and Encryption Order16.15. Issuer Identifier16.16. Implicit Flow Threats16.17. TLS Requirements16.18. Lifetimes of Access Tokens and Refresh Tokens16.19. Symmetric Key Entropy16.20. Need for Signed Requests16.21. Need for Encrypted Requests17. Privacy Considerations17.1. Personally Identifiable Information17.2. Data Access Monitoring17.3. Correlation17.4. Offline Access18. IANA Considerations18.1. JSON Web Token Claims Registration18.1.1. Registry Contents18.2. OAuth Parameters Registration18.2.1. Registry Contents18.3. OAuth Extensions Error Registration18.3.1. Registry Contents19. References19.1. Normative References19.2. Informative ReferencesAppendix A. Authorization ExamplesA.1. Example using response_type=codeA.2. Example using response_type=id_tokenA.3. Example using response_type=id_token tokenA.4. Example using response_type=code id_tokenA.5. Example using response_type=code tokenA.6. Example using response_type=code id_token tokenA.7. RSA Key Used in ExamplesAppendix B. AcknowledgementsAppendix C. Notices§ Authors' Addresses
-
[특집-ISO/IEC JTC 1/SC 17 활동] ⑧Liaison document from CEN/CLC JTC 13: Cyber Security and Data Protection presentation 소개지난 10월16일 ISO/IEC 공동기술위원회 산하 분과위원회 SC 17은 'Liaison document from CEN/CLC JTC 13: Cyber Security and Data Protection presentation' 관련 문서를 배포했다.ISO/IEC JTC 1/SC 17 카드 및 개인 식별을 위한 보안 장치(Cards and security devices for personal identification)는 국제표준화기구(ISO와 국제전기기술위원회(IEC)의 공동 기술 위원회(JTC) ISO/IEC JTC 1의 표준화 분과위원회다.ISO/IEC JTC 1/SC 17의 국제사무국은 영국에 위치한 영국표준협회(BSI)이며 신분증 및 개인 식별 분야 표준을 개발하고 촉진하는 역할을 담당하고 있다.배포된 문서는 'Liaison document from CEN/CLC JTC 13: Cyber Security and Data Protection presentation는 10월9일 생성된 문서의 네번째 수정판(v.0.4)이다.유럽표준화기구(European Standardization Organizations) CEN/CLC/JTC 13 사이버보안 및 데이터 보호(Cyber Security and Data Protection)에 대한 문서다.개요(Overview)는 1. General, 2. Scope, 3. Structure, 4. Working Groups, 5. Further Information 등으로 구성됐다. 1. General 파트는 다음과 같이 구성됐다.△CEN/CLC/JTC 13 Cybersecurity and Data Protection - Joint Technical Committee (JTC) of CEN and CENELEC - established November 2017△120+ European experts on Cybersecurity and Data Protection△7 dedicated Working Groups△3 Plenary Meetings/Sessions per Year△Annual Outreach Events△Chairperson: Walter Fumy, Bundesdruckerei (Germany)△Secretariat: DIN German Institute of Standardization (Germany)△Secretary: Martin Uhlherr (DIN)△CEN-CENELEC Management Centre Program Manager: Laurens Hernalsteen 2. Scope 파트는 다음과 같다.△Development of horizontal Standards in the Field of Cybersecurity and Data Protection for vertical Applications Domains△Horizontal Security & Privacy Topics of the evolving interconnected Society, driven by the European Market in Domains such as ICT, eHealth, Transport, Smart Cities, Automotive, IOT△Key Issues - Management Systems, Frameworks, Methodologies - Data Protection and Privacy - Services and Products Evaluation Standards suitable for Security Assessment for large Companies and small and medium Enterprises - Competence Requirements for Cybersecurity and Data Protection - Security Requirements, Services, Techniques and Guidelines for ICT Systems, Services, Networks and Devices, including Smart Objects and distributed Computing Devices△Identification and Adoption of published Documents by ISO/IEC JTC 1, other SDOs, international Bodies and industrial Fora△Development of CEN/CENELEC Publications for safeguarding Information - 이하 생략 -
-
[특집-ISO/IEC JTC 1/SC 17 활동] ④ISO/IEC JTC 1 Standing Document: SD19 on Meetings 소개지난 10월3일 ISO/IEC 공동기술위원회 산하 분과위원회 SC 17은 'ISO/IEC JTC 1 Standing Document: SD19 on Meetings' 관련 문서를 배포했다.ISO/IEC JTC 1/SC 17 카드 및 개인 식별을 위한 보안 장치(Cards and security devices for personal identification)는 국제표준화기구(ISO와 국제전기기술위원회(IEC)의 공동 기술 위원회(JTC) ISO/IEC JTC 1의 표준화 분과위원회다.ISO/IEC JTC 1/SC 17의 국제사무국은 영국에 위치한 영국표준협회(BSI)이며 신분증 및 개인 식별 분야 표준을 개발하고 촉진하는 역할을 담당하고 있다.배포된 문서는 'ISO/IEC JTC 1 Standing Document: SD19 on Meetings'이다. 이 문서의 요구사항은 워킹그룹(WG)을 포함해 모든 JTC 1 기관에 적용된다.문서는 JTC1 및 그 하위 그룹의 회의에 관한 ISO/IEC JTC1 정책을 포함하고 있다. 또한 회의 주최, 회의 소집, 회의 안건 작성, 회의 문서 배포, 회의 참여 절차 등을 개괄적으로 설명하고 있다.본 문서는 대면, 가상(즉, 원격 회의 또는 전자 수단으로만 소집되는 회의) 및 하이브리드의 세 가지 회의 모드를 다루고 있다.회의 유형에는 JTC1 총회, SC 총회, 실무 그룹 회의, 자문 그룹 회의 및 임시 그룹 회의가 포함된다. 이 표준 문서는 ISO/IEC 지침 및 통합 JTC1 부록과 함께 사용된다.여기에 포함된 정보는 JTC1 운영 규칙의 일부이며 상충되는 경우 ISO/IEC 지침 및 통합 JTC1 보충 문서가 우선시 된다. 'ISO/IEC JTC 1 Standing Document: SD19 on Meetings'와 관련한 문서 목차를 소개하면 다음과 같다.Contents 1.Abbreviations2.General3.Modes of meetings–face-to-face, virtual and hybrid3.1Overview3.2Face-to-face3.3Virtual3.4Hybrid3.5Summary comparison offace-to-face mode with some remote participants and hybrid mode4.Accessibility5.Common considerations for all meeting modes5.1General5.2Hosting5.3Calling and cancelling5.4Participation in meetings5.4.1Participation and representation on a national delegation basis5.4.2General participation5.5Due dates5.6Meeting documents5.6.1Meeting notice and logistics5.6.2Agenda5.6.3Contributions5.7Meeting etiquette5.8Meeting resolutions, recommendations and report6Face-to-face meetings6.1Hosting6.2Calling6.3Participation in meetings6.4Meeting documents and due dates6.4.1Meeting notice and logistics6.4.2Agendas6.4.3Contributions7Virtual meetings7.1Planning and scheduling7.2Calling7.3Participation in meetings7.4Meeting security and privacy7.5Meeting documents and due dates7.5.1Meeting notice and logistics7.5.2Agendas7.5.3Contributions7.6Meeting discussions7.7Meeting tools8Hybrid meetings8.1Participation in meetings8.2Meeting security and privacy8.3Meeting documents and due dates8.3.1Meeting notice and logistics8.3.2Agendas 8.3.3Contributions8.4Meeting discussions8.5Meeting tools9Recording of meetings10Funding mechanismsAnnexA: Template for facility fee accounting reportAnnexB: Summary of deadlines related to meetings (informative)AnnexC: Comparison of face-to-face mode with some remote participants and hybrid mode (Informative)Bibliography
-
[특집-공동기술위원회] ③JTC 1 사무국 산하 분과위원회 및 실무위원회 현황스위스 제네바에 본부를 두고 있는 국제표준화기구(ISO)에서 활동 중인 기술위원회(Technical Committeee, TC)는 TC1~TC323까지 구성돼 있다.기술위원회의 역할은 기술관리부가 승인한 작업범위 내 작업 프로그램 입안, 실행, 국제규격의 작성 등이다. 또한 산하 분과위원회(SC), 작업그룹(Working Group, WG)을 통해 기타 ISO 기술위원회 또는 국제기관과 연계한다.ISO/IEC 기술작업 지침서 및 기술관리부 결정사항에 따른 ISO 국제규격안 작성·배포, 회원국의 의견 편집 등을 처리한다. 소속 분과위원회 및 작업그룹의 업무조정, 해당 기술위원회의 회의 준비도 담당한다.또한 국제전기기술위원회(International Electro-technical Commission, IEC)는 전기 및 전자 제품의 고품질 인프라와 국제 무역을 뒷받침하는 글로벌 비영리 회원 조직이다. 기술 혁신, 저렴한 인프라 개발, 효율적이고 지속 가능한 에너지 접근, 스마트 도시화 및 교통 시스템, 기후 변화 완화를 촉진하고 사람과 환경의 안전을 향상시키는 역할을 수행하고 있다. 170개 이상의 국가를 통합하고 전 세계 2만명의 전문가에게 글로벌하고 중립적이며 독립적인 표준화 플랫폼을 제공하고 있다. 장치, 시스템, 설치, 서비스 및 인력이 필요에 따라 작동함을 구성원이 인증하는 4가지 적합성 평가 시스템을 관리한다.적합성 평가와 함께 정부가 국가 품질 인프라를 구축하고 모든 규모의 기업이 전 세계 대부분의 국가에서 일관되게 안전하고 신뢰할 수 있는 제품을 사고 팔 수 있도록 하는 기술 프레임워크를 제공하는 약 1만개의 IEC 국제표준을 발행하고 있다.이러한 ISO와 IEC가 공동으로 구성한 기술위원회 ISO/IEC JTC 1 정보 기술(Information technology)에 대해 살펴볼 예정이다. JTC 1은 1987년에 결성됐으며 사무국은 미국국립표준협회(American National Standards Institute, ANSI)에서 맡고 있다. 위원회는 리사 라지첼(Mrs Lisa Rajchel)가 책임지고 있다. 현재 의장은 필 웬블롬(Mr Phil Wennblom)으로 임기는 202년까지다.ISO 기술 프로그램 관리자는 앤드류 드라이든(Mr Andrew Dryden), 스티븐 더트널(Mr Stephen Dutnall), ISO 편집 관리자는 앨리슨 레이드 자몬드(Ms Alison Reid-Jamond) 등으로 조사됐다. 범위는 정보기술 분야의 표준화다.현재 ISO/IEC JTC 1의 직접적인 책임 하에 발행된 표준은 517개며 직접적인 책임 하에 개발중인 표준은 23개다. 참여하고 있는 회원은 40개국, 참관 회원은 62개국이다. ISO/IEC JTC 1 사무국 산하에서 활동중인 분과위원회와 실무위원회를 살며보면 아래와 같다.□ ISO/IEC JTC 1 사무국 산하 활동중인 분과위원회(Subcommittee) 및 실무위원회▷ISO/IEC JTC 1/SC 2 Coded character sets Subcommittee▷ISO/IEC JTC 1/SC 6 Telecommunications and information exchange between systems Subcommittee▷ISO/IEC JTC 1/SC 7 Software and systems engineering Subcommittee▷ISO/IEC JTC 1/SC 17 Cards and security devices for personal identification Subcommittee▷ISO/IEC JTC 1/SC 22 Programming languages, their environments and system software interfaces Subcommittee▷ISO/IEC JTC 1/SC 23 Digitally recorded media for information interchange and storage Subcommittee▷ISO/IEC JTC 1/SC 24 Computer graphics, image processing and environmental data representation Subcommittee▷ISO/IEC JTC 1/SC 25 Interconnection of information technology equipment Subcommittee▷ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection Subcommittee▷ISO/IEC JTC 1/SC 28 Office equipment Subcommittee▷ISO/IEC JTC 1/SC 29 Coding of audio, picture, multimedia and hypermedia information Subcommittee▷ISO/IEC JTC 1/SC 31 Automatic identification and data capture techniques Subcommittee▷ISO/IEC JTC 1/SC 32 Data management and interchange Subcommittee▷ISO/IEC JTC 1/SC 34 Document description and processing languages Subcommittee▷ISO/IEC JTC 1/SC 35 User interfaces Subcommittee▷ISO/IEC JTC 1/SC 36 Information technology for learning, education and training Subcommittee▷ISO/IEC JTC 1/SC 37 Biometrics Subcommittee▷ISO/IEC JTC 1/SC 38 Cloud computing and distributed platforms Subcommittee▷ISO/IEC JTC 1/SC 39 Sustainability, IT and data centres Subcommittee▷ISO/IEC JTC 1/SC 40 IT service management and IT governance Subcommittee▷ISO/IEC JTC 1/SC 41 Internet of things and digital twin Subcommittee▷ISO/IEC JTC 1/SC 42 Artificial intelligence Subcommittee▷ISO/IEC JTC 1/SC 43 Brain-computer interfaces Subcommittee▷ISO/IEC JTC 1/AG 1 Advisory Group on Communications Working group▷ISO/IEC JTC 1/AG 2 Advisory Group on JTC 1 Emerging Technology and Innovation (JETI) Working group▷ISO/IEC JTC 1/AG 14 Systems Integration Facilitation (SIF) Working group▷ISO/IEC JTC 1/AG 15 Standards and Regulations Working group▷ISO/IEC JTC 1/AG 19 Coordination with ISO TC 20/SC 16 on Unmanned Aircraft Systems (UAS) Working group▷ISO/IEC JTC 1/AG 20 Coordination with ISO/TC 268/SC 1 on Smart Community Infrastructures Working group▷ISO/IEC JTC 1/AG 21 JTC1 strategic direction Working group▷ISO/IEC JTC 1/AHG 4 Collaboration across domains Working group▷ISO/IEC JTC 1/AHG 5 JTC 1 Standards Made Freely Available Working group▷ISO/IEC JTC 1/AHG 7 Supplement alignment Working group▷ISO/IEC JTC 1/JAG JTC 1 Advisory Group Working group▷ISO/IEC JTC 1/WG 11 Smart cities Working group▷ISO/IEC JTC 1/WG 12 3D Printing and scanning Working group▷ISO/IEC JTC 1/WG 13 Trustworthiness Working group▷ISO/IEC JTC 1/WG 14 Quantum information technology Working group▷ISO/IEC JTC 1/WG 15 JTC1 vocabulary Working group□ 참고로 다른 기술위원회의 책임 하에 공동 작업 중인 그룹▷ISO/TC 204/JWG 1 Joint ISO/TC 204 - ISO/IEC JTC1 WG: City data model transportation planning
-
[특집-공동기술위원회] ②JTC 1 사무국 분과위원회(SC) 책임 하에 발행 및 개발 중인 표준 현황스위스 제네바에 본부를 두고 있는 국제표준화기구(ISO)에서 활동 중인 기술위원회(Technical Committeee, TC)는 TC1~TC323까지 구성돼 있다.기술위원회의 역할은 기술관리부가 승인한 작업범위 내 작업 프로그램 입안, 실행, 국제규격의 작성 등이다. 또한 산하 분과위원회(SC), 작업그룹(Working Group, WG)을 통해 기타 ISO 기술위원회 또는 국제기관과 연계한다.ISO/IEC 기술작업 지침서 및 기술관리부 결정사항에 따른 ISO 국제규격안 작성·배포, 회원국의 의견 편집 등을 처리한다. 소속 분과위원회 및 작업그룹의 업무조정, 해당 기술위원회의 회의 준비도 담당한다.또한 국제전기기술위원회(International Electro-technical Commission, IEC)는 전기 및 전자 제품의 고품질 인프라와 국제 무역을 뒷받침하는 글로벌 비영리 회원 조직이다.기술 혁신, 저렴한 인프라 개발, 효율적이고 지속 가능한 에너지 접근, 스마트 도시화 및 교통 시스템, 기후 변화 완화를 촉진하고 사람과 환경의 안전을 향상시키는 역할을 수행하고 있다. 170개 이상의 국가를 통합하고 전 세계 2만명의 전문가에게 글로벌하고 중립적이며 독립적인 표준화 플랫폼을 제공하고 있다. 장치, 시스템, 설치, 서비스 및 인력이 필요에 따라 작동함을 구성원이 인증하는 4가지 적합성 평가 시스템을 관리한다.적합성 평가와 함께 정부가 국가 품질 인프라를 구축하고 모든 규모의 기업이 전 세계 대부분의 국가에서 일관되게 안전하고 신뢰할 수 있는 제품을 사고 팔 수 있도록 하는 기술 프레임워크를 제공하는 약 1만개의 IEC 국제 표준을 발행하고 있다.이러한 ISO와 IEC가 공동으로 구성한 기술위원회 ISO/IEC JTC 1 정보 기술(Information technology)에 대해 살펴볼 예정이다. JTC 1은 1987년 결성됐으며 사무국은 미국국립표준협회(American National Standards Institute, ANSI)에서 맡고 있다. 위원회는 리사 라지첼(Mrs Lisa Rajchel)가 책임지고 있다. 현재 의장은 필 웬블롬(Mr Phil Wennblom)으로 임기는 202년까지다.ISO 기술 프로그램 관리자는 앤드류 드라이든(Mr Andrew Dryden), 스티븐 더트널(Mr Stephen Dutnall), ISO 편집 관리자는 앨리슨 레이드 자몬드(Ms Alison Reid-Jamond) 등으로 조사됐다. 범위는 정보기술 분야의 표준화다.현재 ISO/IEC JTC 1의 직접적인 책임 하에 발행된 표준은 517개며 직접적인 책임 하에 개발 중인 표준은 23개다. 참여하고 있는 회원은 40개국, 참관 회원은 62개국이다.□ ISO/IEC JTC 1 사무국의 분과위원회(Subcommittee)의 책임 하에 발행 및 개발 중인 표준 현황▷ISO/IEC JTC 1/SC 2 Coded character sets ; 발행된 표준 49개, 개발 중인 표준 3개▷ISO/IEC JTC 1/SC 6 Telecommunications and information exchange between systems ; 발행된 표준 397개, 개발 중인 표준 18개▷ISO/IEC JTC 1/SC 7 Software and systems engineering ; 발행된 표준 212개, 개발 중인 표준 40개▷ISO/IEC JTC 1/SC 17 Cards and security devices for personal identification ; 발행된 표준 118개, 개발 중인 표준 33개▷ISO/IEC JTC 1/SC 22 Programming languages, their environments and system software interfaces ; 발행된 표준 113개, 개발 중인 표준 19개▷ISO/IEC JTC 1/SC 23 Digitally recorded media for information interchange and storage ; 발행된 표준 83개, 개발 중인 표준 1개▷ISO/IEC JTC 1/SC 24 Computer graphics, image processing and environmental data representation ; 발행된 표준 90개, 개발 중인 표준 14개▷ISO/IEC JTC 1/SC 25 Interconnection of information technology equipment ; 발행된 표준 225개, 개발 중인 표준 1개▷ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection ; 발행된 표준 236개, 개발 중인 표준 62개▷ISO/IEC JTC 1/SC 28 Office equipment ; 발행된 표준 36개, 개발 중인 표준 8개▷ISO/IEC JTC 1/SC 29 Coding of audio, picture, multimedia and hypermedia information ; 발행된 표준 612개, 개발 중인 표준 112개▷ISO/IEC JTC 1/SC 31 Automatic identification and data capture techniques ; 발행된 표준 135개, 개발 중인 표준 18개▷ISO/IEC JTC 1/SC 32 Data management and interchange ; 발행된 표준 99개, 개발 중인 표준 23개▷ISO/IEC JTC 1/SC 34 Document description and processing languages ; 발행된 표준 76개, 개발 중인 표준 7개▷ISO/IEC JTC 1/SC 35 User interfaces ; 발행된 표준 84개, 개발 중인 표준 13개▷ISO/IEC JTC 1/SC 36 Information technology for learning, education and training ; 발행된 표준 56개, 개발 중인 표준 6개▷ISO/IEC JTC 1/SC 37 Biometrics ; 발행된 표준 139개, 개발 중인 표준 16개▷ISO/IEC JTC 1/SC 38 Cloud computing and distributed platforms ; 발행된 표준 26개, 개발 중인 표준 5개▷ISO/IEC JTC 1/SC 39 Sustainability, IT and data centres ; 발행된 표준 28개, 개발 중인 표준 7개▷ISO/IEC JTC 1/SC 40 IT service management and IT governance ; 발행된 표준 28개, 개발 중인 표준 12개▷ISO/IEC JTC 1/SC 41 Internet of things and digital twin ; 발행된 표준 43개, 개발 중인 표준 3개▷ISO/IEC JTC 1/SC 42 Artificial intelligence ; 발행된 표준 20개, 개발 중인 표준 32개▷ISO/IEC JTC 1/SC 43 Brain-computer interfaces ; 발행된 표준 0개, 개발 중인 표준 1개
-
[특집-공동기술위원회] JTC 1/SC 17, 카드 및 개인 식별을 위한 보안 장치(Cards and security devices for personal identification)ISO/IEC JTC 1/SC 17 카드 및 개인 식별을 위한 보안 장치(Cards and security devices for personal identification)는 국제표준화기구(ISO와 국제전기기술위원회(IEC)의 공동 기술 위원회(JTC) ISO/IEC JTC 1의 표준화 분과위원회다.ISO/IEC JTC 1/SC 17의 국제사무국은 영국에 위치한 영국표준협회(BSI)이며 신분증 및 개인 식별 분야 표준을 개발하고 촉진하는 역할을 담당한다.2023년 9월27일(수요일) 싱가포르에서 개최되는 ISO/IEC JTC 1 SC17 총회를 위한 ISO/TC 307을 살펴보면 다음과 같다.ISO/TC 307은 블록체인 및 분산원장 기술(Blockchain and Distributed Ledger Technologies(DLT))에 관한 기술위원회다. TC 307은 블록체인 및 DLT 분야에서 증가하는 표준화 요구를 충족하고 더 큰 혁신, 향상된 거버넌스 및 지속 가능한 개발을 통해 기술의 광범위한 채택을 장려하는 것으로 목적으로 한다.이를 위해 보안, 개인 정보 보호, 확장성 및 상호 운용성을 개선하기 위해 국제적으로 합의된 작업 방법을 제공하고 있다.■ ISO/TC 307이 공개한 문서는 아래 목록과 같다.(IS=International Standard, TS=Technical Specifications, TR=Technical Report를 의미한다.▷ISO/TR 3242:2022 사용 사례(Use cases)▷ISO/TR 6039:2023 블록체인 시스템 설계를 위한 주체 및 객체 식별자(Identifiers of subjects and objects for the design of blockchain systems)▷ISO 22739:2020 어휘(Vocabulary)▷ISO/TR 23244:2020 개인정보 보호 및 개인 식별 정보 보호 고려사항(Privacy and personally identifiable information protection considerations)▷ISO/TR 23249:2022 ID 관리를 위한 기존 DLT 시스템 개요(Overview of existing DLT systems for identity management)▷ISO 23257:2022 참조 아키텍처(Reference architecture)▷ISO/TS 23258:2021 분류 및 온톨로지(Taxonomy and Ontology)▷ISO/TR 23455:2019 블록체인의 스마트 계약과 분산 원장 기술 시스템 간의 상호 작용 개요 및 상호 작용(Overview of and interactions between smart contracts in blockchain and distributed ledger technology systems)▷ISO/TR 23576:2020 디지털 자산 관리인의 보안 관리(Security management of digital asset custodians)▷ISO/TS 23635:2022 거버넌스 지침(Guidelines for governance)▷ISO/TR 23644:2023 DLT 기반 ID 관리를 위한 트러스트 앵커 개요(Overview of trust anchors for DLT-based identity management)■ ISO/TC 307이 진행 중인 작업▷ISO/DTR 6277 블록체인 및 분산 원장 기술 — 블록체인 및 DLT 사용 사례를 위한 데이터 흐름 모델▷ISO/AWI 20435 대체 불가능한 토큰(NFT)을 사용한 물리적 자산 표현(Representing Physical Assets using Non-Fungible Tokens)▷ISO/FDIS 22739 블록체인 및 분산 원장 기술 - 어휘(2020 버전 개정)▷ISO/AWI TS 23516 블록체인 및 분산 원장 기술 - 상호 운용성 프레임워크▷ISO/WD TR 23642 블록체인 및 분산 원장 기술 - 스마트 계약 보안 우수 사례 및 문제 개요▷PWIs(Preliminary Work Item, 예비 업무 항목=예비단계)○ ISO/PWI 23095 분산 원장 서비스를 위한 27002(27002 for distributed ledger services)○ ISO/PWI 12833 블록체인 및 분산 원장 기술의 재식별 및 개인 정보 보호 취약점과 완화 방법(Re-identification and privacy vulnerabilities and mitigation methods in blockchain and distributed ledger technologies)○ ISO/PWI 23042 분산형 신원(Decentralized Identity)ISO/TC 307과 관련된 다음 총회는 캐나다 몬트리올에서 2023년 10월30일~1월3일까지 개최될 예정이다. SC17는 다양한 의견을 수렴하기 위해 노력 중이다.
-
[기획-디지털 ID 표준] ⑦국제 표준화 기구(SDO) 및 표준 2 - ISO 산하 디지털 ID 관련 실무그룹디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisation, SDOs), 상업 포럼 및 컨소시엄, 국가기관 등 다양하다.국제표준(international standard, IS)은 많은 국가 전문가들의 합의에 의해 개발된 문서다. 이렇게 개발된 문서는 전 세계적으로 공인된 국제표준화기구(International Standardisation Organisations, SDOs) 중 하나에 의해 승인 및 발행된다. 전 세계적으로 공인된 국제표준화기구(SDOs)는 세계표준화기구(International Organization for Standardization, ISO), 국제전기기술위원회(International Electrotechnical Commission, IEC), 국제전기통신연합(International Telecommunications Union, ITU)등이 있다.이중 대부분의 국제 디지털 ID와 관련된 활동은 ISO/IEC JTC1, 정보보안(Information Security) 내에서 이뤄지고 있다.관련 관련 분과위원회인 △ISO/IEC JTC1/SC 6 △ISO/IEC JTC1/SC 17 △ISO/IEC JTC1/SC 27 △ISO/IEC JTC1/SC 31 및 연구범위 내에 있는 ISO TC 307에 대해 자세히 알아보면 다음과 같다.ISO/IEC JTC1/SC 6, 시스템 간 통신 및 정보교환(Telecommunications and information exchange between systems)과 관련된 실무그룹(Working Group, WG)는 자문그룹(AG) 4개, WG 3개 등이다.▷ISO/IEC JTC 1/SC 6/AG 1 Wearable devices▷ISO/IEC JTC 1/SC 6/AG 2 Concepts and terminology▷ISO/IEC JTC 1/SC 6/AG 3 Systematic review process▷ISO/IEC JTC 1/SC 6/AG 4 MCS innovation▷ISO/IEC JTC 1/SC 6/WG 1 Physical and data link layers▷ISO/IEC JTC 1/SC 6/WG 7 Network, transport and future network▷ISO/IEC JTC 1/SC 6/WG 10 Directory, ASN.1 and RegistrationISO/IEC JTC1/SC 17, 개인식별을 위한 카드 및 보안장치(Cards and security devices for personal identification)과 관련된 실무그룹은 자문그룹 2개, 의장 자문그룹(CAG)1개, 워킹그룹(WG) 7개다.▷ISO/IEC JTC 1/SC 17/AG 1 Registration Management Group (RMG)▷ISO/IEC JTC 1/SC 17/AG 3 Digital wallets▷ISO/IEC JTC 1/SC 17/CAG 1 Chair's Advisory Group▷ISO/IEC JTC 1/SC 17/WG 1 Physical characteristics and test methods for ID-cards▷ISO/IEC JTC 1/SC 17/WG 3 Traveller identification▷ISO/IEC JTC 1/SC 17/WG 4 Generic interfaces and protocols for security devices▷ISO/IEC JTC 1/SC 17/WG 8 Integrated circuit cards without contacts▷ISO/IEC JTC 1/SC 17/WG 10 Motor vehicle driver licence and related documents▷ISO/IEC JTC 1/SC 17/WG 11 Application of biometrics to cards and personal identification▷ISO/IEC JTC 1/SC 17/WG 12 UAS License and Drone/UAS Security ModuleISO/IEC JTC1/SC 27, 정보 보안, 사이버 보안 및 개인정보 보호(Information security, cybersecurity and privacy protection)와 관련된 실무그룹은 자문그룹 5개, 특별그룹(Ad-hoc group, AHG) 3개, 의장 자문그룹(CAG) 1개, 공동작업반(JWG) 1개, 워킹그룹(WG) 5개 등이다.▷ISO/IEC JTC 1/SC 27/AG 2 Trustworthiness Working group▷ISO/IEC JTC 1/SC 27/AG 5 Strategy Working group▷ISO/IEC JTC 1/SC 27/AG 6 Operations Working group▷ISO/IEC JTC 1/SC 27/AG 7 Communication and Outreach (AG-CO) Working group▷ISO/IEC JTC 1/SC 27/AG 8 Advisory Group on Conformity Assessment Working group▷ISO/IEC JTC 1/SC 27/AHG 1 Resolution Drafting Working group▷ISO/IEC JTC 1/SC 27/AHG 2 Security and privacy in IoT and Digital Twin Working group▷ISO/IEC JTC 1/SC 27/AHG 3 Security and privacy in AI and Big Data (BD) Working group▷ISO/IEC JTC 1/SC 27/CAG Chair’s Advisory Group Working group▷ISO/IEC JTC 1/SC 27/JWG 6 Joint ISO/IEC JTC1/SC 27 - ISO/TC 22/SC 32 WG : Cybersecurity requirements and evaluation activities for connected vehicle devices Working group▷ISO/IEC JTC 1/SC 27/WG 1 Information security management systems Working group▷ISO/IEC JTC 1/SC 27/WG 2 Cryptography and security mechanisms Working group▷ISO/IEC JTC 1/SC 27/WG 3 Security evaluation, testing and specification Working group▷ISO/IEC JTC 1/SC 27/WG 4 Security controls and services Working group▷ISO/IEC JTC 1/SC 27/WG 5 Identity management and privacy technologies Working groupISO/IEC JTC1/SC 31, 자동 식별 및 데이터 캡처 기술(Automatic identification and data capture techniques)과 관련된 실무그룹은 워킹그룹 4개가 있다.▷ISO/IEC JTC 1/SC 31/WG 1 Data carrier Working group▷ISO/IEC JTC 1/SC 31/WG 2 Data and structure Working group▷ISO/IEC JTC 1/SC 31/WG 4 Radio communications Working group▷ISO/IEC JTC 1/SC 31/WG 8 Application of AIDC standards Working groupISO TC 307(ISO Technical Committee 307)은 블록체인 기술 및 분산 원장 기술(Blockchain and distributed ledger technologies) 관련 실무그룹은 자문그룹(AG) 3개, 특별그룹(Ad-hoc group, AHG) 1개, 의장 자문그룹(CAG) 1개, 공동작업반(JWG) 1개, 워킹그룹(WG) 6개 등으로 구성돼 있다.▷ISO/TC 307/AG 1 SBP Review Advisory Group▷ISO/TC 307/AG 2 Liaison Advisory Group▷ISO/TC 307/AG 3 Digital currencies▷ISO/TC 307/AHG 4 DLT and carbon markets▷ISO/TC 307/CAG 1 Convenors coordination group▷ISO/TC 307/JWG 4 Joint ISO/TC 307 - ISO/IEC JTC 1/SC 27 WG: Security, privacy and identity for Blockchain and DLT▷ISO/TC 307/WG 1 Foundations▷ISO/TC 307/WG 3 Smart contracts and their applications▷ISO/TC 307/WG 5 Governance▷ISO/TC 307/WG 6 Use cases▷ISO/TC 307/WG 7 Interoperability▷ISO/TC 307/WG 8 Non-Fungible Tokens이외에도 다른 위원회 책임 하에 있는 공동 실무그룹은 ISO/TC 46/SC 11/JWG 1Joint ISO/TC 46/SC 11 - ISO/TC 307 WG: Blockchain이다.
-
[기획-디지털 ID 표준] ⑥국제표준화기구(SDOs) 및 표준 - ISO 산하 디지털 ID 관련 분과위원회디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisation, SDOs), 상업 포럼 및 컨소시엄, 국가기관 등 다양하다.국제표준(international standard, IS)은 많은 국가 전문가들의 합의에 의해 개발된 문서다. 이렇게 개발된 문서는 전 세계적으로 공인된 국제표준화기구(SDOs) 중 하나에 의해 승인 및 발행된다. 국제표준화기구(SDOs)가 개발한 기술 사양은 기술 개발 중인 작업이나 최종적으로 국제표준으로 변환되어 재발행될 것으로 예상되는 작업을 다룬다.국제표준이나 기술 사양보다 더 비공식적이며 어떠한 요구사항도 포함하지 않는 기술보고서. 예를 들어 정보 보고서의 데이터나 인식된 '최신 기술'에 대한 정보가 포함될 수 있다.전 세계적으로 공인된 국제표준화기구(SDOs)는 세계표준화기구(International Organization for Standardization, ISO), 국제전기기술위원회(International Electrotechnical Commission, IEC), 국제전기통신연합(International Telecommunications Union, ITU) 등이 있다.대부분 국제 디지털 ID와 관련된 활동은 ISO/IEC 공동기술위원회 1(ISO/IEC Joint Technical Committee 1, ISO/IEC JTC 1), 정보보안(Information Security) 내에서 이뤄진다. ISO/IEC JTC1 산하 분과위원회 활동 중 디지털 ID와 관련된 활동은 다음과 같다.▷ISO/IEC JTC1/SC 6, 시스템간 통신 및 정보교환(Telecommunications and information exchange between systems)▷ISO/IEC JTC1/SC 17, 개인식별을 위한 카드 및 보안장치(Cards and security devices for personal identification)▷ISO/IEC JTC1/SC 27, 정보보안, 사이버 보안 및 개인정보 보호(Information security, cybersecurity and privacy protection)▷ISO/IEC JTC1/SC 31, 자동 식별 및 데이터 캡처 기술(Automatic identification and data capture techniques)또한 디지털 ID 연구 범위 내에서 ISO TC 307(ISO Technical Committee 307)은 블록체인 기술 및 분산 원장 기술 분야 표준 제품군을 제공하고 있다. 이 중 일부는 이미 준비가 완료됐다.
-
[기획-디지털 ID의 이해] ②디지털 ID를 도입하려는 이유-보안 강화 및 사기 방지국제연합(United Nations, UN)이 디지털 ID(Digital identity)를 도입하는 이유는 개인의 생활과 비즈니스, 사회 전반에 걸쳐 제공하는 광법위한 이점이 있기 때문이다.디지털 ID를 도입함으로서 얻을 수 있는 이익은 △보안 및 사기 방지 △편의성 및 사용자 경험 △접근성 및 포용성 향상 △혁신 및 디지털 경제 성장 △상호운용성 촉진 △스마트 도시 및 스마트 생활 촉진 등이 있다.사용자의 데이터를 보호하고 상거래에서 사기를 방지할 수 있는 것이 가장 핵심 이익이다. 보안전문가들은 디지털 ID가 온라인 사기 및 사이버 범죄와의 전쟁에서 강력한 방어선이라는 점을 강조한다.현대는 전 세계가 상호 연결돼 있어 보안의 중요성이 매우 높다. 보안에 취약한 개인이 침해를 당했을 경우 재정 손실 뿐 아니라 평판 손상으로도 이어질 수 있기 때문이다.잘 구성되고 강력한 디지털 ID 프레임워크의 구현을 통해 개인은 데이터가 안전하다는 사실을 파악하게 된다. 또한 디지털 거래를 자신감 있게 수용하며 조직은 다양한 규제 요구사항을 준수하게 된다.이러한 프레임워크는 데이터 프라이버시 및 보안 유지에 대한 실사를 입증할 수 있다. 유럽연합(EU)의 일반 데이터 보호 규정(General Data Protection Regulation, GDPR), 캘리포니아 소비자 개인 정보 보호법(California’s Consumer Privacy Act, CCPA), 미국의 건강 보험 양도 및 책임에 관한 법률(Health Insurance Portability and Accountability Act, HIPAA)과 같은 법률의 핵심이다.포괄적인 디지털 ID 시스템은 민감한 데이터 접근을 관리하고 추적할 수 있다. 재정 보고 및 감사를 위한 사베인스-옥슬리법(Sarbanes-Oxley Act, SOX)과 같은 규정에 따른 요구 사항을 준수하기 위함이다.또한 카드 결제를 처리하는 비즈니스를 위한 PCI DSS((Payment Card Industry Data Security Standard))와 같은 결제 보안 표준도 디지털 ID 시스템을 필요로 한다. 정부기관, 기업 등이 규정들을 준수하고 있다는 것을 입증해야 이용자로부터 신뢰를 얻을 수 있다.
-
[인도] 플립카트 그룹(Flipkart Group), BIS 인디아로부터 ISO/IEC 27001 인증 획득인도 벵갈루루에 본사를 둔 전자상거래업체인 플립카트 그룹(Flipkart Group)에 따르면 클리어트립(Cleartrip) 및 플립카트 헬스 플러스(Flipkart Health+)가 BSI(British Standards Institution) 인디아로부터 ISO/IEC 27001:2022 인증을 획득했다.ISO 인증 획득은 클리어트립과 플립카트 헬스 플러스가 정보 보안(information security), 사이버 보안(cybersecurity), 개인 정보 보호(privacy protection)에 대해 노력한다는 것을 입증한다.Cleartrip과 Flipkart Health+는 독립 감사기관인 BSI India로부터 1단계, 2단계의 두 단계에 걸친 감사를 통해 국제 표준을 준수하고 있음을 검증받았다. 사용자 정보를 보호하고 최고 수준의 데이터 프라이버시를 보장하기 위한 노력도 인증 받았다.또한 Flipkart Health+는 자체 개인 정보 관리 시스템(Privacy Information Management System)에 대한 ISO/IEC 27701:2019 인증도 받았다.ISO/IEC 27001:2022는 국제표준화기구(International Organization for Standardization, ISO)에 의해 발행된 개정된 표준이다.정보 보안, 사이버 보안, 개인정보 보호를 다루고 있는 정보 보안 경영시스템(Information Security Management System, ISMS)을 구현하기 위해 가장 널리 인정받고 국제적으로 공인된 표준 중 하나다. ISO/IEC 27701:2019는 정보 보안 경영 시스템(ISMS)을 다음 단계로 끌어올릴 수 있는 개인정보 관리 시스템(Privacy Information Management System, PIMS) 표준이다. 개인정보 보호를 다루고 있는 27001의 요구사항과 27002 내의 참조 제어 및 지침에 대한 확장판이다.