TTA 간행물 - ICT Standard Weekly

> 표준화 참여 > TTA간행물 > ICT Standard Weekly

기술표준이슈

다운로드 (2007-20호)
트위터 페이스북 미투데이

[정보보호] ID 관리 표준화 동향 및 향후 추진 방향

ITU-T(International Telecommunication Union-Telecommunication Standardization Sector)에서 ID 관리 표준화 작업을 주도하고 있는 FG IdM(Focus Group on ID management) 회의가 2007년 4월 23일에서 25일까지 두 번째 대면 회의가 제네바에서 개최되었다. 2006년 12월 SG17에 의해 만들어진 FG IdM은 2007년 9월 활동 시한으로 활발한 표준화 활동을 추진하고 있다. 통상 FG는 ITU-T 내의 한시적인 표준화 그룹으로서, 특정 표준화 주제에 대해 활동 시한을 정해 ITU-T 회원외 여러 관련 주체들의 참여를 통해 표준 산출물을 개발하고, 그 산출물이 해당 FG의 부모 연구그룹(SG, Study Group)에서 받아들여져 국제 표준으로 개발하기 위해 설립된다.

 

ID 관리 정의

ID 관리는 개체의 식별자(identifier), 개체 속성 정보(attribute), 사용자 이름/패스워드/공개키 암호 개인키 등의 클리덴셜에 대한 전 수명 주기의 안전한 관리와 개체 ID을 검증하기 위한 인증 과정을 포함한다. 관리 범위는 ID 생성, 배포, 관리, 유보, 폐지 등의 전 과정에 대하여 수행된다. 개체는 유일하게 확인될 수 있는 사물이나 사람이며, 대표적인 사례는 사용자/가입자, 디바이스/사용자 단말, 네트워크/서비스 제공자 등이다. 하나의 개체는 여러 ID를 가질 수 있고, 각 ID는 공공 영역 또는 민간영역에서 사용될 수 있다. ID 관리는 응용 레벨, 네트워크 레벨, 그리고 디바이스 레벨의 ID의 생성, 배포, 관리, 그리고 폐지까지를 포함하는 전체의 수명 과정을 포함한다.

 

ITU-T/주요 표준화 단체 표준화 현황

ID 관리와 관련되어 ITU-T 내의 활동을 살펴보면, 일반 ID 관리 프레임워크를 개발하고 있는 SG17, NGN을 위한 ID 관리 프레임워크를 개발하는 SG13, RFID를 포함한 Networked ID(NID) 표준화를 추진하고 있는 FG NID, 그리고 2006년 12월에 SG17에 의해 신설되어 표준화를 진행 중인 FG IdM 등이 존재한다. ID 관리 관련 ITU-T 이외 표준화 기구를 살펴보면, <그림 1>과 같이 식별자 등과 기반 보안 표준을 개발하고 있는 IETF(Internet Engineering Task Force), ID 연계(federation) 규격을 개발한 OASIS와 리버티 얼라이언스 프로젝트, XML 보안 표준을 개발한 W3C(WWW Consortium), 2006년 말에 연구 작업반을 신설하여 ID 관리에 대한 국제 표준을 개발하고 있는 ISO/IEC JTC1 SC27, 그리고 모바일 응용 서비스를 위한 ID 관리를 표준화하고 있는 OMA(Open Mobile Alliance) 등이 존재한다.

 

<그림 1> ITU-T/SDO 협력 관계

 

이를 좀더 구체적으로 살펴보면, ITU-T에서는 SG13을 중심으로 NGN을 위한 ID 관리 프레임워크를 개발하고 있으며, OASIS에서는 ID 연계를 위한 다양한 보안 표준(SAML v2.0, XACML v2.0 등)을 개발하였고, 리버티 얼라이언스에서도 ID 연계 프레임워크를 개발하여 OASIS SAML v2.0으로 통합되었다. 또한 IETF에서는 다양한 식별자(URI, URN 등)를 정의하였고, ISO/IEC JTC1 SC27에서는 최근 ID 관리 프레임워크라는 작업반(WG5)을 신설하고 이에 대한 프로젝트를 승인하고 관련 표준을 개발하고 있다. 이외에도 3GPP, 유럽의 ETSI TISAPN에서도 ID 관리 표준을 개발한 바 있다.

 

ITU-T FG IdM은 일반적인 ID 관리 프레임워크를 개발하는 것을 목적으로 하고 있으며, 일반 IdM 프레임워크 개발, 자동화되고 분산된 ID 의 발견 및 ID 연계/구현 수단 등의 작업 범위로 연구되고 있다. 예상되는 산출물은 ID 관리를 위한 용어 정의, 기존 표준 현황 파악, 각 구성 요소간에 정보 흐름 등을 정의하는 다양한 유스 케이스에 대한 분석, 유스 케이스(use cases) 시나리오를 근거로 하여 도출된 IdM 요구사항, 데이터 모델과 스키마를 포함하는 일반 IdM 프레임워크를 개발하고자 하는 문서를 도출하고, 기존 표준들의 미비점 분석을 통해 향후 새로 개발해야 할 표준항목 도출, 프라이버시 가이드라인과 모범사례에 대한 보고서, 그리고 프레임워크와 요구사항을 포함할 것이다. FG IdM 은 <그림 2>과 같이 표준분석/용어 작업반, 유스 케이스 작업반, 요구사항 작업반, 그리고 프레임워크 작업반 등의 4개의 작업반으로 구성되어 있다. 표준분석/용어 작업반에서는 ID 관리와 관련되는 주요 표준화 기구와 이들 표준화 기구에서 개발되었던 표준들의 종류를 분석하고 관련 표준화 자료를 모으며, 서로 다른 SDO에서 정의된 용어 차이점을 연구한다. 유스 케이스 작업반은 사용자, 네트워크, 그리고 응용 중심 IdM 솔루션의 일치 방법과 다양한 IdM 솔루션 들 간에 ID 속성 교환과 발견을 포함하는 유스 케이스를 분석 및 연구한다. 이 작업반의 결과는 공통의 IdM 요구사항을 도출하는데 이용될 수 있다. 요구사항 작업반은 여러 다양한 솔루션들의 일치와 연관되는 IdM 프레임워크 요구사항과 능력을 분석하고, 기존 IdM 솔루션 간에 요구사항의 차이를 확인한다. 마지막으로 프레임워크 작업반은 글로벌 프레임워크의 블록도를 개발하고, 기존 IdM 프레임워크 간에 차이점을 파악한다. 여기서는 컴포넌트(component) 간에 상호 연동과 다양한 IdM 솔루션 간에 ID 속성을 교환하는 것을 포함한다. 

 

<그림 2> FG IdM 구조

 

지금까지 FG IdM 관련 회의는 2번의 회의가 개최되었다. 첫 번째 회의는 2007년 2월 13일에서 16일까지 제네바에서 개최되었고, 여기서는 OASIS, 리버티 얼라이언스, ISO 등의 다양한 글로벌 ID 관리 공동체의 대표 간에 첫 번째 정보 교환이 이루어졌고, 다양한 IDM 방법에 대한 수렴 작업을 시작했고, FG의 결과는 SG17과 SG13 ID 관리 작업에 입력하기로 합의했다. 두 번째 회의는 4월 23일에서 25일까지 제네바에서 개최되었으며, 이번 회의에서는 두 가지 결과 문서가 나왔다. 첫 번째 문서는 유스케이스 분석 결과 보고서이고, 다른 하나는 IdM 관련 기존 표준화기구들이 개발 완료한 표준목록인 리빙 리스트이다. 2007년 9월까지 ID 관련 기존 표준 분석 및 용어 차이 확인, 유스케이스 정의, 요구사항 도출, 프레임워크, 그리고 프라이버시 등의 최소한 5가지 산출물이 개발될 예정이다. 또한 SG13에서도 Y.IdMsecurity 표준초안이 발표되었고, 여기서는 NGN 한정 ID 관리 요구사항과 프레임워크 등을 정의하고 있다. 또한 ISO/IEC JTC1 SC27에서는 ID 관리에 대한 프로젝트를 신설하고, 초안을 개발하고 있으며, ITU-T SG17 연구과제 6과 공동 표준을 개발할 것으로 예측되고 있다.

 

향후 추진방향

FG IdM의 경우, 2007년 9월 제네바 회의까지 두 번의 대면 회의를 개최될 예정이며, 다음 회의는 5월 중순 미국 마운틴 뷰에서 개최되며, 그 다음 회의는 7월 중순 일본 동경에서 개최될 예정이다. 또한 이에 더하여 리버티 얼라이언스와 합동 회의가 6월과 7월 각각 미국에서 열릴 예정이다. 그리고 마지막 FG 회의는 2007년 9월에 제네바에서 개최되며, 최종 산출물이 ITU-T SG17 제네바 회의에 보고될 것으로 예측된다. ID 관리는 차세대 통신망을 위한 매우 중요한 연구 주제이다. 현재까지 다양한 표준화 기구에서 ID 관리를 개발되어 왔으나, ITU-T에서는 기존의 여러 표준들을 고려한 일반적인 글로벌 IdM을 요구사항과 프레임워크를 개발하고 있다. 우리나라도 인터넷 상에서 본인확인을 위한 i-PIN이 주민번호를 대체하면서 온라인상에 본인확인 기능을 갖는 우리나라 고유의 ID 관리 시스템이므로 이에 대한 국내외 표준화 추진이 요구되며, 또한 사용자 중심의 ID 관리와 개인정보 공유 기술에 대한 국내외 표준화 추진이 필요하며, 이를 위한 추진 전략의 개발이 필요한 시점이라고 할 수 있다.

염흥열 (순천향대 교수, ITU-T SG 17 부의장, ITU-T SG 17 WP 3 의장, hyyoum@sch.ac.kr)

* 본 글은 저자의 의견일 뿐 TTA 기관의 입장과는 무관합니다.