[Daily IT News] 모바일 신분증, 보안극장, 양자기술

모바일 신분증이 실제로 서비스를 시행한다고 합니다. 우리가 쓰는 신용 카드, 플라스틱 카드들은 현금, 종이를 이용한 상품권등 다양한 가치의 화폐를 바꾸어 놓았었는데 이제 이런 신용카드들도 모바일로 들어가고 있는 추세에 신분증 역시 모바일로 들어가는 것 같습니다. 모바일 신분증을 조금 들여다 보면 분산원장의 기술로 구성되어 보안적인 측면을 확보 했다고 하지만 서비스가 확장되면 동일 선상에서 생각해야할 것이 보안 이슈가 아닌가 생각이 듭니다. 

금일(2022.01.28. 금) 신문리뷰 입니다.

 

● 전자신문

구분	헤드라인	설명
(서비스) 모바일 신분증	'모바일 운전면허증' 발급 시작	>> 모바일 신분증 시대가 개막됐다. 행정안전부와 경찰청은 27일 국민에게 제공하는 첫 모바일 신분증 '모바일 운전면허증' 시범 발급을 시작했다. 모바일 운전면허증은 도로교통법령에 따라 개인 스마트폰에 발급하는 운전면허증이다. 기존 플라스틱 운전면허증과 같은 법적 효력을 갖는다. 모바일 운전면허증은 공공·금융기관, 렌터카·차량공유 업체, 공항, 병원, 편의점, 주류판매점, 여객터미널, 숙박시설 등 기존 운전면허증이 사용되는 모든 곳에서 사용할 수 있다. 온라인 민원신청, 온라인 운전자격 증명 등을 비롯해 비대면 온라인 환경에서도 사용할 수 있는 등 국민 편의성이 높아질 것으로 전망된다. 플라스틱 운전면허증을 소지할 필요가 없어 국민 불편 해소는 물론 상대방이 필요로 하는 정보(성인여부 등)만을 제공, 주민등록번호 또는 주소 등 과도한 개인정보 노출도 방지할 수 있다. >> 모바일 운전면허증은 6개월간 서울서부 운전면허시험장 및 대전 운전면허시험장, 시험장 두 곳과 연계된 경찰서 민원실에서 발급받을 수 있다. 행안부와 경찰청은 시범 기간을 거쳐 오는 7월 전국으로 발급을 확대한다. 최초 발급 때 운전면허시험장 또는 경찰서 민원실을 방문해 대면 신원확인을 거쳐야 한다. 본인 명의의 1개 단말에만 발급받을 수 있다. 분실신고를 하면 모바일 운전면허증이 잠김 처리돼 화면상에 표시되지 않는다. >> 모바일 운전면허증 발급 방법은 두 가지이며, '모바일 신분증(운전면허증)' 앱을 설치해야 한다. 시험장에 방문해서 본인 확인 후 창구에 설치된 QR코드를 모바일 신분증 앱으로 촬영해 발급받을 수 있다. 사전 신청을 통해 기존 운전면허증을 IC 운전면허증으로 교체해서 방문 수령한 후 모바일 신분증 앱으로 인식, 본인 확인 후 발급받을 수도 있다. 창구직원 등 신원을 확인하고자 하는 사람은 '모바일 신분증 검증앱'을 내려받아 설치한 후 검증앱으로 모바일 운전면허증 QR코드를 촬영하면 진위를 확인할 수 있다. 육안 확인 때는 위변조 이미지와 구별하기 위해 모바일 운전면허증 배경 화면의 움직임과 현재 시각 표시를 확인하면 된다.
(보안) 보안 정책	보안 극장 :20년 후	>> 암호학자이자 작가인 미국의 브루스 슈나이어는 9·11 테러 사고 2년 후에 출간한 'Beyond Fear'에서 '보안 극장'(Security Theater)이라는 새 용어를 정의했다. 실제 공격으로부터 안전함을 제공하는 대신 안전하다는 느낌을 주는 보안 정책을 일컫는다. 슈나이어는 9·11 테러 이후 강화된 공항 검색 정책을 '보안 극장'의 대표적 사례로 설명한다. 이때 미국 정부는 새로운 전신 엑스레이 스캐너를 도입하는 등 공항 검색을 강화했다. 검색 강화 이후 여행객이 6% 감소했고, 이로 인해 미국 항공산업은 경제적 손실을 입었다. 이때 도입된 많은 기술 정책은 실질적 보안 강화로 이어지지 않는다는 게 밝혀졌고, 많은 정책이 취소되기에 이른다. 이때 실행된 다양한 정책보다 비행기 조종석에 디지털 자물쇠를 설치하는 게 훨씬 적은 예산으로 보안 목적을 더욱 효과 높게 달성할 수 있다고 밝혀지기도 했다. >>  미국 국립표준기술연구소(NIST)가 2017년에 제정한 '디지털ID 가이드라인'(NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management)은 다음과 같이 패스워드 보안 정책을 정의한다. 주기적으로 패스워드 변경을 요구하지 말고 패스워드 유출 사건이 있을 때만 변경할 것. 숫자·특수문자 등 패스워드 조합 규칙을 없애고, 패스프레이즈(비밀문장)의 사용을 권장하며, 패스워드에 대한 복사 붙여넣기를 허용할 것. 이 규칙이 생기게 된 데는 사용자가 불편한 규칙을 우회하기 위해 훨씬 더 안전하지 않은 선택을 한다는 연구 결과가 큰 역할을 했다. 비싸고 귀찮고 효과적이지 않은 복잡한 패스워드 정책은 보안 극장의 가장 대표적인 예라 할 수 있다. >> 조 바이든 미국 행정부는 2021년 5월 행정 명령을 통하여 연방 정부의 보안을 강화하는 다양한 정책을 발표했다. 눈길을 끄는 부분은 정부의 소프트웨어 조달 정책에 최소한의 보안 표준을 강제하는 부분으로, 제조사는 SBOM(Software Bill of Materials, 어떤 요소로 소프트웨어가 구성되는가에 대한 설명)을 제공해야 한다. 구현까지 많은 어려움이 예상되지만 체크리스트 위주의 국내 소프트웨어 보안 평가와 대비되는 매우 좋은 정책이라고 평가한다. >> 그렇다면 어떻게 보안 정책의 함정에 빠지지 않을 수 있을까. 먼저 보안 취약점 등 전체 시스템에 대한 세밀한 분석을 통해 문제의 근원을 정확하게 이해하는 게 필수다. 현재 보안 정책의 정확한 분석도 동반돼야 한다. 특정한 보안 정책이 원래 의도대로 주어진 문제를 잘 풀고 있는지, 사용자의 우회 가능성을 높이고 있진 않은지, 더 경제적이고 효과적인 정책은 없는지 등에 대한 분석이 필수다. 시스템은 끊임없이 바뀌고 기존 보안 정책은 새로운 분석이 이뤄진다. 이를 기반으로 새로운 보안정책이 만들어지기 때문에 이런 두 가지 분석은 반복적으로 꾸준히 일어나야 한다.

[참고] NIST 디지털 ID 가이드라인 주요 내용

 

● 보안 뉴스

구분	헤드라인	설명
(보안) 양자기술	과기정통부, 10대 필수전략기술인 양자기술 육성 본격 추진한다	>>  양자기술은 미래시대 전 산업을 혁신적으로 뒤바꿀 국면 전환자로 주목받고 있어 세계 각국과 글로벌 기업들이 앞다퉈 투자하고 있으며, 그간 과기정통부도 지난 2021년 5월 한미 정상회담에서의 양국 간 협력 논의와 더불어 ‘양자연구개발투자전략’ 수립(2021.4.)·‘국가 10대 필수전략기술 지정’(2021.12.) 등을 통해 지속 지원을 확대해 왔다. >> 양자암호통신 시범 사업 성과 (26개 시범 구축, 상용화) 2020년부터 디지털 뉴딜의 일환으로 추진한 ‘양자암호통신 인프라구축 사업’을 통해 대중소기업이 협업해 현대중공업, 강원도청, 순천향대병원 등 26개 공공·민간 수요기관에 양자암호통신망을 시범 구축했다. 이러한 실제 망 운영 레퍼런스를 바탕으로 국가융합망 구축 사업(행정안전부)에 양자암호통신기술을 적용하기로 했고(SKT), 나아가 통신3사는 양자암호통신·양자내성암호 기업간거래(B2B) 시범요금제를 마련하는 등 초기 시장을 창출하는 성과를 거뒀다. (국제표준화) SKT·KT는 유럽전기통신표준화기구(ETSI, SKT), 국제전기통신연합(ITU-T, KT) 등에서 양자암호통신 분야 국제표준을 제안·채택(2021.12.)되며, 해외시장에 국내 장비가 진출할 수 있는 초석도 마련했다. 이러한 양자암호통신의 확산은 통신 도청의 원천적 차단 등 물리적 보안을 혁신적으로 향상시키고, 양자기술에 대한 민간의 참여와 관심을 높여 연구-산업 선순환 생태계의 기반이 될 것으로 기대된다. >> 양자센서 등 핵심 원천기술 확보 및 산업화 성과 (양자중력‧심자도센서) 한국표준과학연구원(KRISS)은 세계 최고 수준의 양자중력센서 기술과 산업화 단계에 들어선 초전도 기반 심자도 센서 기술이전 성과를 발표하고 관련 기술을 전시했다. 양자중력센서는 아주 미세한 중력 변화를 감지할 수 있어 무(無)GPS 상황에서의 위치 탐색이나 지각변동 등 지질연구, 싱크홀 탐색으로 재난안전 대응 등을 가능하게 할 기술로 기대된다. 양자심자도센서는 심장질환 진단 정확도와 진단 범위를 확대하는 등 향후 심장질환 치료에 큰 기여를 할 수 있는 기술로, 국내의료벤처(ACMG)에 기술이전을 완료(2021년)하고 상용화 추진 중이다. (양자암호통신·자기장센서) 한국전자통신연구원(ETRI)은 유선 양자암호통신 기술 국내 최초 개발(2012)·무선양자암호통신 기술 국내 최초 개발(2016)을 하고, 현재 통신사 등 산학연과 협력해 양자암호통신기술의 집적화를 위한 연구와 차세대 양자암호통신 기술개발을 추진하고 있다. 이번 행사에서는 이와 관련한 양자광원생성기·양자암호통신 집적화칩 등을 전시하고, 현재 추진 중인 고도화 과제를 설명했다. 또한, 한국과학기술연구원(KIST)은 현대중공업에 적용 중인 양자암호시스템과 미래에 양자MRI, 반도체 설계 등에 활용 가능한 초고정밀 양자 자기장 센서 원천기술을 전시했다. >> 2022년 양자기술 육성 예산 및 추진 계획 과기정통부는 양자기술 집중 육성을 위해 2022년에는 양자통신·센서·컴퓨팅 핵심 원천기술 개발과 인력 양성, 기술 사업화 등을 위해 작년 대비 약 2배 수준으로 투자를 확대(2021년 488억원→2022년 814억원)하고 국제 협력을 가속화한다. 이를 통해 양자인터넷을 위한 핵심기술개발과 첨단산업연계형 양자센서 개발, 50큐빗급 한국형 양자컴퓨터 개발과 같이 미래 양자기술을 선도할 연구개발 과제가 추진된다. 이에 더해 지난 5월 한·미 정상회담을 통해 논의한 양국의 협력 구체화를 위해 그간 KISTI와 미국 아르곤 국립연구소와의 LoI 체결 등이 이뤄졌으며, 향후 구체화가 진행될 예정이다.

금일 주목할 기사는 양자 기술 관련 기사입니다.
양자 기술은 아직 국내에서는 잘 들어 나지는 않지만 글로벌적으로는 이 패러다임의 패권을 잡기위해 국가적인 측면 뿐만아니라 기업적인 측면에서도 경쟁이 치열한 상황입니다. 이에 국내에서도 양자와 관련된 국가 전략을 내놓고 있는 상황인데요, 국가적인 측면에서 전략들, 현 상황들 같이 눈여겨 보셨으면 합니다.

그리고 주목할 기사는 보안극장 관련 기사입니다.
보안 극장(Security theater)이라는 용어는 개인적으로는 처음 들어보는데요, 보안을 위해서 더 많은 행위들을 하기는 하지만 실질적인 보안 행위는 아니고, 비용은 더 높게 사용된는 그런 현상을 이야기 합니다. 물론 이런 행위를 통해서 보안을 강화할 수는 있겠지만 사실 이런 헛점을 알게 된다면 오히려 더 보안에 쉽게 노출 되지 않을까 하는 생각입니다. 이런 문제로 조금 더 실질적은 보안 고민해보자라는 기고문이고, 한번 인지만 하셔도 좋으실꺼 같습니다.