TTA 간행물 - ICT Standard Weekly

> 표준화 참여 > TTA간행물 > ICT Standard Weekly

기술표준이슈

다운로드 (2007-43호)
트위터 페이스북 미투데이

[정보보호] 새로운 전환을 맞은 ITU-T ID 관리 표준화 동향

ITU-T에서 ID(Identity) 관리 글로벌 표준화를 추진하기 위해 2006년 12월에 창설되었던 FG IdM(Focus Group on ID Management) 활동이 2007년 9월 ITU-T SG17 회의를 계기로 대단원을 장식했으며, 그 산출물이 SG17로 넘겨졌고, 동 회의 동안 결성된 특별 그룹이 향후 표준화 추진을 위한 방향을 결정했다. FG IdM 신설을 반대했던 영국과 프랑스 등의 유럽 국가들도 인정할 만큼 FG IdM 표준화 활동은 매우 성공적이었다고 평가받고 있다. 향후 표준화 작업은 SG17를 중심으로 ITU-T 내의 여러 관련 SG들과 협력하여 수행하기로 결정되었다. 이를 위해 ID 관리 표준화 활동을 JCA(Joint Coordination Activity) IdM과 GSI(Global Standards Initiative) IdM 활동으로 전환하기로 특별 그룹 회의에서 결정하였고, ITU-T 정책 결정 그룹인 TSAG(Telecommunication Standardization Advisory Group)에 JCA IdM과 GSI IdM 신설 승인을 요구하기로 결정했다. 

 

디지털 ID 및 디지털 ID 관리 정의

디지털 ID는 어떤 사람이나 데이터 객체 등의 개체에 대한 여러 주장(Claim)에 대한 디지털 표현으로 정의된다. 예를 들어, 디지털 ID는 어떤 사람에 대한 이름을 포함하는 식별자와 주소 및 전자메일 주소 등과 같은 속성 정보로 구성된다. ID 관리는 개체 식별자(identifier), 개체 속성 정보(attribute), 그리고 사용자 이름/패스워드/공개키 암호의 개인키 등의 클리덴셜 등에 대한 전 생명 주기에 대한 안전한 관리 과정과, 개체 ID을 검증하기 위한 인증 과정을 포함한다. 관리 범위는 ID 생성, 배포, 관리, 유보, 폐지 등의 전 수명 과정에 대하여 수행된다. ID 관리를 위한 주요 구성요소는 <그림 1>과 같으며, 사용자(요구 개체)는 RP로부터 응용 서비스를 제공하며, RP(Relying Party)는 사용자에게 응용 서비스를 제공하며, IdP(Identity Provider)는 사용자에게 ID를 제공하고 개체의 ID에 대한 검증 기능을 수행한다.

 

<그림 1> ID 관리를 위한 주요 구성요소

 

FG IdM 의 주요 활동 내역

FG IdM 은 2006년 12월 만들어진 후, 지금까지 5번의 대면 회의가 개최되었으며, 대면 회의의 후속조치 마련을 위한 텔레컨퍼런스 회의를 수차례 개최하였다. FG IdM 조직은 표준분석/용어정의 작업반, 유스 케이스 작업반, 요구사항 작업반, 프레임워크 작업반 등의 4개의 작업반으로 구성되었다. 표준분석/용어 작업반에서는 ID 관리와 관련되는 주요 표준화 기구에서 이미 개발되었던 표준안을 모으고, 서로 다른 표준화 기구에서 정의된 용어를 모으고 관련 용어를 정의하였다. 유스 케이스 작업반은 사용자, 네트워크, 그리고 응용 중심 IdM 솔루션을 확인하고, 다양한 IdM 솔루션 들의 글로벌 IdM 시스템간의 갭을 분석하고, ID 속성 교환과 발견 등을 포함하는 여러 가지 유스 케이스를 제시했다. 요구사항 작업반은 글로벌 IdM 프레임워크 요구사항과 능력을 분석하고, 글로벌 IdM 솔루션을 위한 여러 가지 요구사항을 도출하였다. 프레임워크 작업반은 글로벌 프레임워크의 구성요소와 설계 원칙 등을 정의하고, 각 구성요소가 갖추어야 할 주요 기능을 제시하였다.

 

FG IdM 의 산출물

FG IdM 의 산출물은 6가지 보고서(활동 개요와 향후 활동 제안, 산출물의 개요, 기존 표준 분석/용어 정의 보고서, 유스 케이스 및 갭 분석 보고서, 글로벌 ID관리를 위한 요구사항 보고서, 글로벌 ID 관리 프레임워크)로 요약될 수 있다. 각 보고서의 내용은 다음과 같이 요약될 수 있다.

Ÿ 활동 개요와 향후 활동 제안 보고서: FG IdM 활동 결과를 요약했고, 향후 활동 방향을 SG17에 제안함

Ÿ 산출물 개요 보고서: 산출물의 주요 내용을 설명했고, 산출물의 완성도를 평가함

Ÿ 표준 분석/용어 정의 보고서: 주요 표준화 기구에 의해 개발되어 있는 기존 모든 표준을 모았고, 사용되고 있는 용어 및 연관되는 정의를 제시함

Ÿ 유스 케이스 및 갭 분석 보고서: 현존 IdM 시스템과 각 시스템간의 갭을 분석하고, 대표적인 유스 케이스를 제시하였으며, 요구사항을 도출하기 위한 기반 문서로 활용되었음

Ÿ 글로벌 ID관리를 위한 요구사항 보고서: <그림 2>와 같이 공통 글로벌 IdM 모델과 평면 등의 기능 그룹, 사용성 및 규모 가변성 등 기능그룹, 보안성 기능그룹, 상호연동성 기능그룹, 적법한 관리 기관에 대한 발견 기능그룹, 정책 집행과 개인정보보호를 위한 정책 등의 감사 및 호환성 기능그룹, 클리덴셜 등 속성 제공 기능 그룹 등에 대한 다양한 요구사항을 도출하였고, 특히 개인 식별 가능 정보에 대한 요구사항을 포함함

Ÿ 글로벌 ID 관리 프레임워크 보고서: 플랫폼 독립이면서 확장 가능한 IdM 프레임워크 제시함

 

<그림 2> 요구사항 기능그룹

 

4개의 FG IdM 산출물 보고서 중 프레임워크 보고서를 제외하고 나머지 3개의 보고서는 완성도가 높아서 ITU-T SG17 연구과제 6에서는 유스 케이스 보고서와 요구사항 보고서를 기반으로 두 개의 표준화 아이템(X.idmgap, X.idmr)을 채택하였고, 향후 ITU-T 권고안으로 개발될 것으로 예측된다. 또한 용어 정의도 SG17 연구과제 6에서 지속적으로 업그레이드 될 것이다. 그리고 ITU-T SG13에서도 유스 케이스 보고서를 근거로 Y.IdMsecurity 드래프트 권고안을 개발하고 있고, NGN에 적합한 요구사항과 프레임워크 등을 정의하는 등 네트워크 중심 IdM 표준이 개발될 것이다. 또한 ISO/IEC JTC1 SC 27과 SG 6와의 공통 국제 표준 또는 권고안 개발을 위한 제안이 협력 문서를 통해 제안되었다.

 

IdM 표준화 활동 추후 방향

이번 SG17 회의 특별 그룹 회의에서 결정된 주요 사항은 IdM 표준화에 대한 향후 추진 방향을 결정하는 것이었다. 당초 FG IdM 산출물 보고서에서 제안한 추후 활동 방향은 산출물의 완성도를 제고하기 위하여 FG IdM 활동을 2008년 4월까지 확장하는 방안이 제시되었다. 그러나 토의 결과 기존 ITU-T 내의 관련 SG 에서 넘겨 받아 국제 표준 개발을 지속적으로 수행하기로 결정했다. 결론적으로 특별 그룹은 다음과 같은 다섯 가지 추후 활동을 ITU-T 최종 정책 의결 그룹인 TSAG에 제안하기로 결정했다.

Ÿ SG 17은 SG 13과 협력하여 지속적인 IdM 표준화 작업을 추진하기로 결정하였고, SG17 연구과제 6이 기존 산출물을 ITU-T 권고안으로 만드는 작업을 수행할 것임

Ÿ SG 17은 조인트 라포처 그룹 회의를 통해 SG 13 등의 관련 연구과제와 협력하여 향후 표준화 작업을 추진하기로 하고, 첫 회의는 2007년 12월 회의를 개최할 것임

Ÿ SG 13/2를 포함하는 ITU-T 유관 SG, ISO/IEC JTC 1 SC 6/27/37 등의 국제 표준 개발 기구로 현재 개발된 산출물 보고서의 내용을 알리고, 기 개발된 산출물에 대한 피드백을 받는 등을 요구하는 협력 문서를 보내기로 결정함

Ÿ SG 17은 표준화 활동에 대한 조정 역할을 수행하기 위한 JCA-IdM 신설을 TSAG에 승인할 것을 요구하고, 이 요구는 12월 TSAG 회의에서 결정될 예정임

Ÿ SG 17은 표준화 활동의 조정된 장을 제공하는 IdM-GSI 신설을 TSAG에 승인할 것을 요구함

 

결론적으로, ITU-T SG 17은 SG 13과 SG 2와 협력하여 표준화를 추진할 것이며, 또한 ISO/IEC JTC 1/SC 27과 SC 6 들과 표준안의 공동 개발 가능성을 타진하기로 결정했다.

 

국내 성과 및 향후 대응 방안

한국정보보호진흥원은 FG IdM에 “중복 가입을 검출하기 위한 검출 메커니즘”을 제안하여 유스 케이스 보고서에 반영하는 성과를 얻었고, 한국전자통신연구원은 “사용자 중심의 ID 교환 방법”과 “부가가치 모델”에 대한 기고서를 발표한 바 있다. 특히 이번 9월 SG 17 회의에서 한국전자통신연구원이 제안한 “사용자 중심의 IdM” 표준화 아이템이 연구과제 6에서 채택되었고, JCA IdM 의장그룹에 재섭(ETRI, 한국)의장이 선정되는 등 추후 활동을 위한 기반을 구축한 것으로 평가되고 있다. 우리나라는 2007년부터 사용자 중심의 ID 관리 시스템에 대한 국제공동 연구 개발을 추진하고 있고, 추후에 네트워크 중심 ID 관리 시스템에 대한 기술 개발 가능성을 고려할 필요가 있는 것으로 판단된다. 전반적으로 우리나라가 ID 관리를 위한 국제 표준화를 주도하기 위한 기반이 마련되었다고 판단되며, 향후 국내외 시장 규모와 성장률이 매우 클 것으로 예상되는 ID 관리에 대한 표준화에 국내 산업체, 정부출연 연구기관, 그리고 학계의 적극적이며 지속적인 관심과 참여가 필요한 시점이다.

염흥열 (순천향대 교수, ITU-T SG 17 부의장, ITU-T SG 17 WP 3 의장, hyyoum@sch.ac.kr)

* 본 글은 저자의 의견일 뿐 TTA 기관의 입장과는 무관합니다.