검색결과
-
[기획-암호화 이해] ④정보보안 원칙 및 암호화 사용 - 경량 암호화, DRM, 암호화폐 등정보사회의 건전성을 보장할 암호화는 △엔티티 인증(entity authentication) △디지털 서명(digital signatures) △부인 방지(non-repudiation) △경량 암호화(Lightweight cryptography) △디지털 권한 관리(Digital rights management, DRM) △전자상거래(e-commerce) 및 온라인 쇼핑(online shopping) △암호화폐(cryptocurrency) 및 블록체인(blockchain) 등에 활용된다.엔티티 인증, 디지털 서명, 부인 방지에 이어 네 번째는 경량 암호화(Lightweight cryptography)이다. 컴퓨터 계산 복잡성이 제한된 응용 프로그램 및 기술에 사용된다.제한 요소는 메모리, 전력, 컴퓨팅 리소스 등이다. 사물인터넷(Internet of Thinga, IoT) 센서 또는 스마트 홈에서 기기를 켜는 장치와 같은 액추에이터 등 제한된 장치는 경량 대칭 암호화를 활용한다.현대 디지털 세계에서 경량 암호화의 필요성이 증대되고 있다. ISO/IEC 29192는 경량 어플리케이션을 위한 다양한 암호화 기술을 지정하는 8개 부분으로 표준이 구성됐다.다섯 번째 디지털 권한 관리(Digital rights management, DRM)는 디지털 콘텐츠의 저작권을 보호하는 기술을 의미한다. DRM은 암호화 소프트웨어를 사용해 승인된 사용자만 자료에 접근하고 수정 및 배포하도록 허용한다.여섯 번째 전자상거래(e-commerce) 및 온라인 쇼핑(online shopping)은 비대칭 키 암호화를 사용해 안전한 전자상거래가 가능해지도록 하고 있다.암호화폐는 신용카드 정보 및 관련 개인정보 뿐 아니라 고객의 구매 내역, 거래 내역을 보호하며 온라인 쇼핑에서 중요한 역할을 담당한다.일곱 번째 암호화폐(cryptocurrency) 및 블록체인(blockchain)의 경우 암호화 기술을 사용해 거래를 보호하는 디지털 통화를 암호화폐라고 말한다.각 암호화폐 코인은 분산 원장 기술(distributed ledger technologies, DLTs, 예, 블록체인)을 통해 검증된다. 원장은 암호화를 사용해 서로 연결돼 지속적으로 증가하는 기록의 목록(블록)을 의미한다.
-
[기획-디지털 ID 표준] ⑤유럽표준화기구(ESOs) 및 표준 - 소속 기술위원회(TC)디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다. 유럽표준화기구(European Standardisation Organistions, ESOs), 유럽표준화위원회(European Committee for Standardization, CEN), 유럽전기기술표준화위원회(European Committee for Electrotechnical Standardization, CENELEC), 유럽전기통신표준화기구(European Telecommunication Standards Institute, ETSI) 등 디지털 ID 관련 표준을 개발하고 있는 기술위원회에 대해 살펴보면 다음과 같다.먼저 유럽전기통신표준화기구(ETSI)는 유럽의 eIDAS 규정과 전자 거래에 대한 신뢰를 제공하기 위한 국제사회의 일반 요구사항을 지원하는 다수의 표준을 발표했다.특히 ETSI 전자 서명 및 인프라 기술위원회(ETSI Electronic Signatures and Infrastructures Technical Committee)는 서비스 제공업체를 위한 정책, 보안 및 기술 요구사항에 대한 여러 표준을 제정했다.기술위원회(ETSI ESI/TC)는 디지털 서명의 형식, 생성, 검증을 위한 절차, 정책, 신뢰 앵커로서 신뢰할 수 있는 목록을 다룬다.CEN 기술위원회 224(CEN Technical Committee 224, CEN/TC 224)-MACHINE-READABLE CARDS, RELATED DEVICE INTERFACES AND OPERATIONS는 다중 부문 환경에서 보안 요소, 시스템, 운영, 개인정보 보호를 갖는 개인 식별 및 관련 개인 장치와 관련이 있다.기술위원회는 개인 식별, 관련 개인 장치의 상호운용성, 보안을 강화하기 위한 여러 표준을 발표했다. 이 중 CEN 기술위원회 224 내 워킹그룹 17, 18, 19이 디지털 ID와 관련이 있다.다른 실무그룹(Working Group, WG)은 WG 17 : ‘Protection Profiles in the Context of SSCD(secure signature creation device)’ △WG 18 : ‘Biometrics’ △WG 19 : ‘Breeder Documents' 등이다. 최근 유럽 디지털 지갑 EUDI Wallet 표준을 개발하기 위해 WG 20이 임시로 구성됐다.CEN/TC 224는 다중 부문 환경에서 개인 식별 및 관련 개인 장치, 시스템, 운영 및 개인 정보 보호의 상호 운용성과 보안을 강화하기 위해 표준을 개발하고 있다.여기에는 전자 식별, 전자 서명, 지불 및 청구, 출입, 국경 통제와 같은 애플리케이션 및 서비스와 같은 작업을 포함하고 있다. 또한 △카드, 모바일 장치 및 관련 인터페이스와 같이 폼 팩터와 독립적인 보안 요소를 갖춘 개인 장치 △인증, 기밀성, 무결성, 생체 인식, 개인 데이터 및 민감한 데이터 보호를 포함한 보안 서비스 △수용 장치, 서버, 암호화 모듈과 같은 시스템 구성 요소 등도 해당된다.CEN/TC 224 다중 부문 환경은 정부·시민, 교통, 은행, 전자 보건과 같은 부문 뿐만 아니라 카드 제조업체, 보안 기술, 적합성 평가기관, 소프트웨어 제조업체와 같은 공급 측면의 소비자 및 공급자가 포함된다. 참고로 CEN 기술 위원회 224 내 실무 그룹(WG)은 다음과 같다.▷CEN/TC 224/WG 1 - ICC physical characteristics▷CEN/TC 224/WG 2 - General concepts for ICC systems▷CEN/TC 224/WG 3 - Device interface characteristics▷CEN/TC 224/WG 6 - User Interface▷CEN/TC 224/WG 7 - PIN presentation▷CEN/TC 224/WG 8 - Thin flexible cards▷CEN/TC 224/WG 9 - Telecommunication applications▷CEN/TC 224/WG 10 - Intersector electronic purse▷CEN/TC 224/WG 11 - Transport applications▷CEN/TC 224/WG 12 - Health applications▷CEN/TC 224/WG 15 - European citizen card▷CEN/TC 224/WG 16 - Application Interface for smart cards used as Secure Signature Creation Devices▷CEN/TC 224/WG 17 - Protection Profiles in the context of SSCD▷CEN/TC 224/WG 18 - Interoperability of biometric recorded data▷CEN/TC 224/WG 19 - Breeder Documents▷CEN/TC 224/WG 20 - Ad Hoc Group on European Digital Identity WalletsCEN/CENELEC 공동 기술위원회 19(CEN/CENELEC Joint Technical Committee 19)는 블록체인(Blockchain) 및 분산 원장 기술(Distributed Ledger Technologies)을 다루는 위원회다.특히 실무 그룹 1(Working Group 1) : 분산형 신원 관리(Decentralised Identity Management)는 ISO 카운터파트너 ISO 기술위원회 307( ISO Technical Committee 307)과 긴밀한 접촉을 유지하고 있다.분산형 ID 관리(decentralised identity management) 및 DLTs(Distributed Ledger Technologies)에 의해 제공되는 지원 기능을 위한 프로세스, 역할, 관행에 대한 것이다. 식별자, 키, 증거 레지스트리, 트러스트 앵커(trust anchors) 관리를 포함한다.실무그룹 2(WG 2)는 환경 지속가능성(CEN/CLC/JTC 19/WG 2 - Environmental sustainability)을 다루고 있다.
-
국표원, 세계 최초 유럽연합 ‘AI법’에 대응하여 해외기술규제 지원산업통상자원부 국가기술표준원(이하 국표원)이 9월 15일(금) 국내 수출기업을 대상으로 해외기술규제 대응 설명회를 개최했다. 올해 6월 세계 최초로 채택된 유럽연합 ‘AI법’ 규제에 대응하여, 해외기술규제 동향 안내와 경쟁력 확보를 위해 실시됐다. 지난 6월, 유럽연합은 세계 최초로 인공지능 규제 법안 ‘AI법(AI ACT)’을 도입했다. 초안 승인 단계에서 의회의 압도적인 찬성을 받으며 통과되었고, 이는 AI 기술 규제의 중요한 진전으로 평가받고 있다. AI법은 사회적으로 용인될 수 없는 고위험의 AI 기술 사용을 금지하고, 보다 안전하게 개인정보를 보호한다는 목적을 가진다. 주요 법안 내용으로는 ▲감정 인식 AI 금지 ▲공공장소에서의 실시간 생체 인식 및 예측 치안 금지 ▲소셜 스코어링 금지 등이 있다. 이러한 규제는 불명확하고 부정확한 AI 판단이 가져올 문제점을 사전에 차단하는데 기여할 수 있다. 유럽연합의 AI법 뿐만 아니라 미국, 중국, 베트남 등 다른 나라 또한 사이버보안 관련 정책들을 발표하고 있다. 빠르게 발전하는 정보 보안∙네트워크 보안 등의 규제를 정립하여 국가 안보 및 국민 안전 확보에 나서고 있는 것이다. 이에 따라 국표원은 규제 대응 설명회에서 새로운 해외기술규제 및 각 국가의 정보보안 내용에 대해 안내했다. 또한 수출에 어려움을 겪는 기업에게 컨설팅을 제공하고 상담부스를 운영했다. 국표원은 위와 같은 수출기업 지원활동을 통해, 수출기업의 경쟁력을 확보하고 무역장벽을 해소하기 위한 노력을 멈추지 않겠다고 밝혔다. 더불어 지속적으로 변화하는 해외규제에 신속하게 대처하고 불합리한 규제에는 적극적으로 대응하겠다고 전했다. 글로벌 기술패권 경쟁이 가속화되는 현상황에서 정보 전달 및 규제 대응 활동의 중요성은 더욱 확대될 전망이다.
-
[기획-암호화 이해] ①통신 비밀 및 보안을 확보하기 위한 암호화(cryptography)?암호화(encryption, 暗號化)는 텍스트를 읽을 수 있는 형식에서 이해할 수 없는 형식으로 뒤섞는 암호화 프로세스를 말한다. 일반적으로 사용되는 암호화는 비밀 또는 개인 메시지를 암호 텍스트로 보내기 위한 방식이다. 암호화는 군사 비밀의 유지부터 금융 데이터를 인터넷을 통해 안전하게 전송하는 것까지 다양한 용도로 활용된다.컴퓨터 시스템과 네트워크 정보보안을 위한 코드와 암호가 사용돼 저장 중이거나 전송 중인 민감한 상업 정보에 대한 무단 접근으로부터 보호하기 위해 모든 정보를 암호화한다.개인정보 보호, 데이터 기밀성, 데이터 무결성 및 인증을 보장하는데 중요한 역할을 담당한다. 오늘날 전 세계적으로 거래 대부분이 온라인으로 처리될 뿐 아니라 개인적이고 직업적인 의사소통 역시 온라인으로 이뤄지며 암호화는 더욱 중요해졌다.참고로 승인된 수신자가 암호 텍스트를 수신받아 읽을 수 있는 형식으로 다시 해독하는 것을 암호해독(descrambling or decryption)이라 한다. 제3자가 읽지 못하도록 방지하기 위해 암호화 키를 사용해 수행된다.
-
ETRI, 완전동형암호 연산 가속기 칩 개발국내 연구진이 기존 암호방식을 대체할 수 있는 기술을 확보했다. 데이터를 보낼 때 암호화해서 보내고 데이터를 사용할 때 다시 암호를 풀어서 계산하던 것에서 암호를 풀 필요 없이 바로 계산하는 기술이다. 즉 재식별 절차 없이도 암호데이터 그대로 안전하게 데이터를 주고받고 고속으로 계산할 수 있는 전용 처리 장치 기술 개발에 성공했다. 한국전자통신연구원(ETRI)은 데이터를 암호화한 상태로 사생활을 보장하면서 머신러닝 등에 적용할 수 있고 양자컴퓨터 해킹도 견딜 수 있는 성능을 지닌 완전동형암호 연산 가속기 칩을 개발했다고 6일 밝혔다. 연구진은 본 기술이 상용화되면 클라우드 데이터 센터 서버에 장착될 수 있고 개인정보 보장이 가능한 인공지능 반도체 등에도 활용할 수 있을 것으로 보고 있다. 본 기술을 개발함으로써 향후 동형암호 가속기 전용 칩 및 소프트웨어 개발 플랫폼 관련 연구에도 탄력이 붙을 전망이다. 이를 통해 국방, 공공, 의료, 금융, 산업 등 보안과 통계 및 인공지능 응용이 동시에 요구되는 곳에서 데이터를 암호화된 상태로 다양한 융합 서비스에 직접 적용이 가능할 전망이다. 완전동형암호 기술은 암호화된 데이터를 추가로 재식별화 등 과정 없이 그대로 처리할 수 있다는 장점이 있다. 이에 따라 차세대 암호 기술로 불리면서 양자 컴퓨팅에서 암호가 깨지지 않는 내성 암호의 성질도 있어 안전성이 크게 보장된다. 기존 암호 기술은 암호화된 데이터를 바로 연산할 수 없었다. 비밀 키를 사용, 데이터를 복호화해 원래의 정보로 바꾼 뒤 다시 암호화해서 전달해야만 했다. 이 경우 비밀키는 물론 원래의 정보가 노출될 수밖에 없는 한계가 있었다. 따라서 민감 정보를 담고 있는 데이터를 연산 처리하는 용도로는 적합하지 않았다. ETRI가 개발한 완전동형암호 하드웨어 연산 가속기 칩 핵심기술은 정보를 암호화하면 암호문이 수천 비트(bit)의 계수를 갖는 수만 차수 이상의 다항식들로 표현되는 동형암호의 고유한 특성에 적합한 전용 하드웨어 연산 처리 장치다. 따라서 데이터가 암호화된 상태, 즉 고차 다항식 간에 덧셈, 뺄셈, 곱셈, 나눗셈 등 연산을 빠르게 처리한다. 암호화된 데이터를 바로 연산하고 그 결괏값만 암호를 풀어서 데이터를 볼 수 있게 되는 원리다. 아무도 원래의 데이터를 볼 수 없어서 데이터 프라이버시가 확실히 보장된다. 데이터를 암호문으로 만들면 수천 비트 정도로 큰 크기의 데이터를 수만 개 갖는 다항식으로 바뀌게 되어 계산량이 기하급수적으로 증가한다. 따라서 64비트 수준의 데이터를 처리하는 중앙처리장치(CPU)나 그래픽처리장치(GPU)로 계산하기에는 구조도 적합하지 않고 시간도 많이 소요되어 동형암호를 활용하는데 어려웠다. 따라서 연구진이 개발한 칩 기술은 그동안의 문제점을 해결해서 동형암호를 활용할 수 있도록 동형암호 특성을 반영한 동형처리유닛(HPU)의 핵심기술을 개발한 셈이다. 연구진은 이번 개발한 칩 핵심기술을 바탕으로 향후 동형암호 전용 시스템온칩(SoC)을 구현해서 실용화한다는 계획이다. 아울러 다양한 동형암호 알고리즘의 호환성을 제공하면서도 원하는 암호 강도를 조절할 수 있는 등의 조건을 만족시키기 위한 연구를 계속 이어갈 계획이다. 또한 암호문의 산술연산 워드의 크기와 다항식의 차수가 달라도 간단한 설정을 통해 하나의 칩에서 유연하게 고속으로 연산할 수 있고 다양한 알고리즘 호환성과 가변 워드·차수를 지원하는 PIM 구조의 HPU 칩도 구현키로 했다. 향후 동형암호 SoC를 탑재해 동형암호가 적용된 동영상을 동형암호가 적용된 인공지능 모델로 실시간 수준으로 추론할 수 있는 완전동형암호 하드웨어 가속기로 확장한 플랫폼까지 개발할 예정이다. ETRI는 향후 본 기술이 개발되면 ▲완전동형암호 HW 가속기 칩셋 ▲프라이버시 보장 데이터 서버에 내장되는 가속기 ▲동형암호 라이브러리, 인공지능 등에 활용할 응용 SW 등이 주요 성과가 될 것이라고 밝혔다. 연구진은 ETRI가 원천기술 ‘동형암호의 HW고속처리 요소기술’과 ‘암호 데이터베이스 질의응답 기술’ 등을 보유하고 있어서 본 기술을 개발할 수 있었다고 설명했다. 박성천 ETRI 보안SoC융합연구실장은 “유망기술로 손꼽히던 동형암호 고속연산 칩 핵심기술을 연구해 동형암호의 실용화를 앞당길 수 있는 계기를 마련한 데 큰 의미가 있다”며 “본 기술로 세계적인 수준의 성능을 개발하고 사업화해 우리나라가 신 보안기술을 선도하는 데 더욱 노력하겠다.”라고 말했다. 연구진은 향후 기술 개발을 통해 클라우드 컴퓨팅 서비스 회사나 데이터베이스 관리시스템 기업, 팹리스 기업, 서버 탑재 동형암호 가속기 개발사, 마이데이터 프라이버시 보장 서비스 기업, 공공 및 국방 등 민감 데이터 활용 사업화 기업 등에 기술이전 할 계획이다.
-
[중국] 국가인터넷금융협회(NIFA), 인터넷 기반 금융을 선도할 국가표준 4가지 발표중국 국가인터넷금융협회(National Internet Finance Association of China, 中国互联网金融协会, NIFA)에 따르면 인터넷 기반 금융 성장을 선도할 국가표준 4가지를 발표했다.정부가 산업 감독 및 표준화를 개선하기 위해 개인 소비신용부터 오픈 소스 금융 소프트웨어 개발에 이르는 인터넷 금융 부분을 규제하기 위한 목적이다.개인 소비신용 정보 공개와 관련된 표준은 해당 부문에 종사하는 국내 참여자의 정보 공개 행동에 대한 관련 요구사항 및 내용을 규정하고 있다. 실무자 정보 및 연간 대출이자률 등 주요 사업 정보가 포함된 구체적인 정보가 공개된다.따라서 NIFA는 관련 실무자들에게 정보 공개 행동을 표준화하고 정보 투명성을 더욱 향상시킬 수 있는 지침을 제공하고 있다.오픈소스 소프트웨어 테스트 표준은 오픈소스 소프트웨어 도입 전 금융기관의 평가를 효과적으로 규제하기 위함이다. 또한 금융기관이 품질 개선을 위한 기술적 경로를 선택할 수 있도록 돕는게 목적이다.인터넷 금융 부문 지능형 위험 예방과 통제 기술에 관한 표준은 기술 어플리케이션이 인터넷 금융 시나리오에서 충족해야 되는 기술 프레임워크, 기능 요구사항, 보안 및 운영 요구사항을 지정하는 관련 기준을 포함한다.이른바 개인 식별 기술(personal identification technology)에 관한 표준이 중요해진 셈이다. 온라인 금융활동이 증가하면서 개인식별 기술에 대한 요구사항이 높아져 표준이 제정됐다.개인 식별 기술 표준은 개인정보 보호, 정보보안, 데이터 보안, 거래 편의성 간 군형을 달성하기 위한 기술 프레임워크, 자격증명에 대한 기술적 요구사항, 인터넷 금융 제공자의 식별 및 보안에 대한 기술 요구사항을 설명한다.최근 핀테크 등 급속한 발전으로 신용위험, 사기위험, 정보보안 위험 등이 확대되고 있다. 2022년 6월 기준 국내 인터넷 금융시장 규모는 인터넷 기반 지급결제, 온라인 대출, 자산관리, 보험, 증권, 금융 등 총 27조5000억 위안으로 연평균 18.6% 성장했다.따라서 규제 당국은 인터넷 금융 플랫폼 기관의 안정적인 운영과 소비자의 정당한 권익을 보호하기 위해 다양한 조치를 도입하는 중이다.
-
[기획-디지털 ID 도입국가] ③베트남 정부, 10월 중 시민 신원증명법 초안 발표 예정베트남 정부에 따르면 2023년 10월까지 시민 신원증명법 초안(Law on Citizen Identification)을 발표할 계획이다. 초안을 완성한 후 2024년 7월 1일 시행할 예정이다.초안에서 제안된 또 다른 중요 정책은 e-ID의 개발이다. 베트남 법무행정사법개혁부는 지난 4월 시민의 신분증 데이터가 디지털 신원증명(Digital Identity) 및 해당 e-ID 계정, e-ID 카드를 만드는데 사용된다고 밝혔다.현재 전자 식별 및 인증 시스템은 VNeID 앱이 1일 1억8000만 건 방문을 수용하도록 설계됐다. 공안부는 지정된 사람만이 자신의 의무 범위 내에서 국민의 개인정보에 접근할 수 있도록 e-ID 시스템 보안을 보장하고 있다.배정된 담당자는 지문이나 얼굴 인증을 통해 데이터 소유자로부터 승인을 받아야 된다. ID 카드가 도난당했다하더라도 범죄자가 카드에 저장된 데이터를 악용하지 못하며 피해자는 계속 e-ID 카드를 사용할 수 있다.베트남은 공공 서비스에 대한 접근성을 개선하기 위한 노력으로 2021년 칩 기반 신분증을 발급했다. 첫 번째로 의료 서비스에 적용했으며 2022년 전자계약 플랫폼을 출시했다.전자계약 플랫폼은 국가 신분증의 광범위한 채택으로 비즈니스 계약을 위한 온라인 증명, 인증, 조회가 가능하다. 산업통상부(MoIT) 전자상거래 및 디지털경제부 산하 전자계약 인증기관인 CeCA(Certified e-Contract Authority)에서 운영 중이다.칩 기반 ID 카드는 포털 인증에 성공적으로 사용되고 있다. MoIT는 데이터 연결 및 공유에 대해 공안부와 지속적으로 협력하고 있다. 참고로 지난 3월 칩 기반 생체인식 여권(biometric passport)을 발급하기 시작했다.
-
웹사이트 엔지니어링, 새로운 표준으로 관리한다인터넷이 처음 개발된 지 30년이 지났지만, 전세계적으로 10억개 이상의 웹사이트가 생성되었다. 모바일을 통한 웹 트래픽 또한 그 수치의 반 이상을 기록했다. 유저들의 선호가 인터넷 디바이스로 변하면서, AI 및 안전성∙개인정보 보호에 대한 개념이 웹사이트에 적극 도입되기 시작했다. 이러한 흐름에 따라 IEC는 새로운 표준을 소개했다. 시스템 및 소프트 엔지니어링에 관한 ISO/IEC/IEEE 23026 표준이다. ISO/IEC/IEEE 23026은 시스템∙소프트웨어∙서비스 정보에 대한 웹사이트의 엔지니어링 및 관리에 관한 표준이다. ISO/IEC/IEEE 23026 표준은 웹사이트의 수명주기에 대한 엔지니어링 및 관리 요소를 요구한다. 더불어 개인정보 데이터, 안전성, 접근성 및 이용가능성에 대한 요소가 포함되어 있다. 인트라넷 및 엑스트라넷 환경에 대한 전략, 설계, 엔지니어링, 테스트 및 검증 및 관리에 대해서도 다룬다. 이 표준을 개발한 IEC 기술 위원회의 의장인 Sundeep Overoi는 인터넷 및 통신 기술의 급속한 발전이 웹사이트 엔지니어링과 관리를 단순화하고 복잡하게 만들었다고 말했다. 그는 "ICT 시스템, 소프트웨어 및 서비스에 대한 정보 웹 사이트의 안전하고 효과적인 관리를 위해 이러한 변화는 필수적이다."라며, “이 표준은 최적의 사용자 경험을 보장하고 웹 운영의 생산성을 향상시키는데 필요한 지침을 제공하기 위해 만들어졌다.”라고 전했다.
-
[인도] 플립카트 그룹(Flipkart Group), BIS 인디아로부터 ISO/IEC 27001 인증 획득인도 벵갈루루에 본사를 둔 전자상거래업체인 플립카트 그룹(Flipkart Group)에 따르면 클리어트립(Cleartrip) 및 플립카트 헬스 플러스(Flipkart Health+)가 BSI(British Standards Institution) 인디아로부터 ISO/IEC 27001:2022 인증을 획득했다.ISO 인증 획득은 클리어트립과 플립카트 헬스 플러스가 정보 보안(information security), 사이버 보안(cybersecurity), 개인 정보 보호(privacy protection)에 대해 노력한다는 것을 입증한다.Cleartrip과 Flipkart Health+는 독립 감사기관인 BSI India로부터 1단계, 2단계의 두 단계에 걸친 감사를 통해 국제 표준을 준수하고 있음을 검증받았다. 사용자 정보를 보호하고 최고 수준의 데이터 프라이버시를 보장하기 위한 노력도 인증 받았다.또한 Flipkart Health+는 자체 개인 정보 관리 시스템(Privacy Information Management System)에 대한 ISO/IEC 27701:2019 인증도 받았다.ISO/IEC 27001:2022는 국제표준화기구(International Organization for Standardization, ISO)에 의해 발행된 개정된 표준이다.정보 보안, 사이버 보안, 개인정보 보호를 다루고 있는 정보 보안 경영시스템(Information Security Management System, ISMS)을 구현하기 위해 가장 널리 인정받고 국제적으로 공인된 표준 중 하나다. ISO/IEC 27701:2019는 정보 보안 경영 시스템(ISMS)을 다음 단계로 끌어올릴 수 있는 개인정보 관리 시스템(Privacy Information Management System, PIMS) 표준이다. 개인정보 보호를 다루고 있는 27001의 요구사항과 27002 내의 참조 제어 및 지침에 대한 확장판이다.
-
[기획-디지털 ID 정책] ①디지털 ID 워킹그룹(DIWG), 디지털 ID 시스템 상호 운용성에 대한 원칙 발표글로벌 차원에서 디지털 ID(Digital Identity)를 연구하는 DIWG(Digital Identity Working Group)에 따르면 전 세계 8개 DGX(Digital Government Exchange) 회원국과 디지털 ID 전문가들이 워킹그룹에 참여하고 있다.DIWG는 상호 인정되고 상호운영할 수 있는 디지털 ID 시스템 및 인프라 개발에 대한 국제적인 협업을 지원하기 위해 11개의 핵심 원칙을 수립했다.11개 핵심 원칙은 △개방성 △투명성 △재사용성 △사용자 중심성 △포용성 △접근성 및 다국어 △보안 및 개인정보 보호 △기술 중립성 및 데이터 이식성 △관리 단순성 △정보 보존성 △효과성 및 효율성 등이다.현재 디지털 ID 환경 전반에 걸친 기존 정책, 법적 및 기술적 프레임워크와 DIWG 참여 8개국의 특정 디지털 ID 솔루션 및 사용 사례에 대한 비교 조사를 기반으로 원칙을 정했다. DIWG에 참여한 8개국은 캐나다, 영국, 네덜란드, 핀란드, 오스트레일리아, 뉴질랜드, 싱가포르, 이스라엘이다.워킹 그룹의 목표는 자유무역협정(FTA), 유사한 양자 또는 다자간 무역협정의 맥락에서 무역 기회를 향상시키기 위해 상호 인식 및(또는) 상호운용 가능한 디지털 ID 및 인프라를 가능케하는 경로를 개발하는 것이다.대부분의 국가는 현재 상호 인식 및 상호운영성에 대해 단계적으로 접근하고 있다. 따라서 워킹 그룹은 디지털 ID 및 인프라의 상호 인식과 상호운용성을 안내하는 공통 원칙을 중요하게 인식한다.이러한 기조는 정책 및 법적 프레임워크, 기술 상호운용성 및 표준의 조정으로 이어진다. DIWG의 원칙은 상호운용성을 촉진하고 코로나19(Covid-19)로부터의 회복을 위해 무역 및 여행을 위한 글로벌 국경 개방을 포함해 잠재적인 이점을 실현하는 데 도움이 된다.개인정보보호, 투명성, 공정성, 사람 중심 가치 등을 포함해 기존에 국제적으로 인정된 원칙 또는 지침을 고려함으로써 데이터 관리 및 개인정보 보호에 세심한 주의를 기울이고 있다.글로벌 디지털 ID 표준, ID 보증 수준, 책임 프레임워크를 포함해 신뢰 프레임워크와 디지털 ID 시스템의 지속 가능한 상호 운용성을 보장하기 위해 국가 간 다른 정책 및 법적 프레임워크를 조정해야 한다.상호운용성은 국가, 공공, 민간 부문 간 책임에 대한 기본 비즈니스 모델과 프레임워크에 대한 공통 이해를 통해 디지털 ID 시스템에서 민간의 역할을 고려한다.