SCK Cloud Insight

최신의 클라우드 소식을 전합니다
SCK 클라우드 인사이트

blog_img@2x
All Posts

모바일 신분증, 보안 문제없을까?

그림1-Dec-10-2021-01-53-44-95-AM

20221월부터 모바일 운전면허증 제도 시범운영을 시작으로 ‘모바일 신분증’의 시대가 본격적으로 시작됩니다.

이동통신사는 최근 모바일 운전면허증 확인 서비스를 출시했으며, 삼성전자는 자사 제품인 갤럭시 S20 시리즈에 모바일 신분증 기능을 탑재해 독일서 해당 서비스를 시작했습니다.

모바일 신분증의 유형과 이에 따른 보안 이슈를 알려드립니다.

 

※ 관련기사

내년 모바일 운전면허증 나온다은행 등 신분증 대체 여부 관심 (2021.11)

행안부, “코로나19 위기, 디지털 정부혁신 가속화 계기” (2021.11)

 

신분증은 의 존재를 국가에서 증명해주는 공식적인 제도입니다. 1968년 주민등록번호 개시와 함께 발행된 주민등록증으로 오늘에 이르고 있습니다. 카드 하나에 사진과 함께 개인을 식별할 수 있는 번호로 생년월일과 성별, 출생등록지 등을 담은 주민등록번호를 부여받고 그 외에 지문과 주소를 함께 담고 있습니다.

대다수 선진국에서는 신분증의 식별번호 자체에 개인정보를 포함하지 않고 무작위로 생성되지만 우리나라 신분증 주민등록번호는 개인정보를 담고 있기에 개인정보 유출로 인한 보이스피싱이나 금융사고가 빈번하게 발생되는 부작용도 잇따르고 있습니다.

 

 

 

모바일 운전면허증 제도 시범 운영

정부는 내년 1월부터 모바일 운전면허증 제도를 시범 운영합니다. 2~3개 지역을 대상으로 시범적으로 실시한 뒤 그 성과를 토대로 전 국민 대상으로 확대할 계획입니다. 한국판 뉴딜, 디지털 경제기반 확충 차원에서 추진되는 모바일 운전면허증은 관공서·은행 등에서 실물 운전면허증과 동일하게 사용될 전망입니다. 모바일 운전면허증은 이동통신사들이 제공하고 있는 모바일 신분증 서비스와는 다른 정부의 공식적 디지털 운전면허증입니다. 정부는 모바일 운전면허증 운영을 시작으로 향후 모바일 신분증의 범위를 확대할 계획입니다. 이와 함께 지난 1월부터 운영 중인 모바일 공무원증도 블록체인 기반의 기술을 통해 기존 신분증보다 개인정보 보호를 강화했습니다. 결국 모바일 주민등록증까지 확대한다는 것이 정부의 계획입니다.

행정안전부와 한국조폐공사는 내년 1월부터 추진할 모바일 운전면허증 시범사업을 위해 지난 3월 모바일 운전면허증 서비스 구축 업무 위탁 협약을 체결하고 관련 기술개발을 추진해왔습니다. 최근 2021년 보안기술 설명회를 통해 공무원 모바일 신분증 등 디지털기술과 융합된 첨단 위변조방지 보안기술도 공개했습니다.

 

※ 관련기사

조폐공사, ‘최신 보안기술 설명회개최 (2021.11)

 

올해부터 적용 중인 모바일 공무원증과 내년 시범 서비스가 예정된 모바일 운전면허증을 통해 본격적인 모바일 신분증 시대를 열겠다는 복안입니다.

신분 확인 방식은 전용 App을 통해 이뤄집니다. 편의점, 교통단속 등에 필요한 단순 정보 확인은 물론 공공기관이나 금융기관에서 필요한 검증정보 서비스도 제공합니다. 상황에 따라 제공 정보 내용을 선택할 수 있어 편리하고 개인정보 노출 위험도 낮습니다. 경찰청과 앱 운영주체인 조폐공사 간 정보 분산방식으로 블록체인 기술 등을 적용해 보안을 강화했습니다.

 

 

 

점차 커지는 디지털 신분증 시장

현재 개발이 진행중이거나 서비스가 진행되고 있는 디지털 신분증은 네 가지로 구분됩니다.

 

첫번째. PASS 모바일 운전면허증

이동통신 3사가 공동으로 제공하는 본인인증 서비스로 패스(PASS)에서 본인인증을 거치면 나타나는 QR코드를 조회해서 운전면허증 정보를 확인할 수 있습니다. 출력되는 화면이 별도의 정보가 아닌 QR코드이기 때문에 개인정보가 노출될 일은 없다는 게 개발사 측의 설명입니다.

현재 이동통신 3사를 통해 제공 중인 모바일 운전면허증의 경우, 운전면허증을 완전히 대체하는 기술이 아닌, 운전면허 확인 서비스입니다. 용도는 운전자격 검증, 성인여부 검증, 신원확인 등이지만, QR코드 및 바코드 검증절차가 필수적이며, 제휴된 곳에서만 사용이 가능합니다. 즉 완전한 신분증 대체는 아니라고 할 수 있습니다.

 

두번째. 모바일 공무원증

행안부가 제공하는 모바일 공무원증은 DID(Decentralized Identifie) 기술이 적용된 자기주권 신원증명의 모바일 신분증입니다. ‘자기주권 신원증명이란 현재 보편적으로 이용되고 있는 중앙집중식 신원증명과 대조되는 개념으로 신원정보의 소유 및 이용권한을 신원주체인 개인이 갖는 것을 의미합니다. 모바일 신분증 소유자는 자신의 신분증을 스마트폰에 발급받아 보관하면서 신원확인 요청이 있을 때 본인의 판단에 따라 제공 여부를 결정할 수 있습니다. 신분증 사용 이력은 본인만 확인할 수 있도록 개인 스마트폰에 저장되며 중앙서버에는 저장되지 않습니다. 모바일 공무원증은 출입인증뿐만 아니라 공직자 통합메일, 정부부처 업무포털, 온나라 영상회의, 모바일 메신저 바로톡, 정부원격근무서비스(GVPN) 로그인 등 온라인 인증 기능까지 포함하고 있습니다.

 

세번째. 정부 인증 모바일 운전면허증

통신사가 주도가 되었던 PASS와는 다르게 정부가 주도하는 모바일 신분증입니다. 2022년부터 시범적용 예정으로 행정안전부가 PASS 앱과 다른 별도의 앱을 제공할 계획입니다. 이 사업은 행정안전부가 사업을 총괄하고 경찰청·도로교통공단과 협력하며 한국조폐공사가 사업계획 수립과 사업관리 전반을 추진하는 방식으로 추진되고 있습니다. 모바일 운전면허증 서비스 구축 시 정부24의 전자증명서 지갑, 보건복지부의 전자출입명부(KI-PASS), 마이데이터 지갑 등 공공서비스 연계 기능도 함께 개발될 계획입니다. 모바일 운전면허증 서비스를 이용하려면 운전면허시험장에 방문해 모바일 앱을 내려받고 신청서를 작성한 뒤 현장 담당자에게 제시하며 담당자가 신원 확인과 신청인 조회를 거쳐 QR코드를 생성하면 모바일 기기에 디지털 형태의 운전면허증을 발급받을 수 있습니다.

 

네번째. 디지털 카드

디지털카드는 자격증, 신분증, 보증서, 입장권, 멤버십 등 다양한 분야의 카드를 디지털 지갑에 보관할 수 있는 서비스입니다. 대표적인 것이 디지털 사원증입니다. 디지털 사원증은 사원증을 출입키 클라우드 시스템과 연동하여 디지털화한 디지털 카드입니다. 디지털 사원증과 출입통제시스템 간 통신 기술로 스마트폰을 이용한 업무 공간 출입문 개폐, 사무기기 이용, 사내 카페 이용, 직원 대상 카카오톡 채널 메시지 발송 등의 기능을 제공합니다. 카카오는 자격 증명과 사무실 출입, 보안기기 접근이 가능한 디지털 사원증 서비스를 구축해, 내년 상반기 외부 파트너 대상으로 오픈할 예정이며, 한국산업인력공단이 발급하는 국가기술자격증 495종과 카카오프렌즈 콜라보 상품 보증서, KT 위즈, 삼성 라이온즈 등 KBO 리그 구단 멤버십을 디지털카드로 제공하고 있습니다.

 

 

 

디지털 신분증의 보안 문제는?

디지털 신분증은 우리 생활에 깊숙이 다가오고 있는데 보안에 대한 우려는 없을까요?

디지털로 발행된 신분증이 특정 중앙서버에 저장된 상황에 해킹 사고가 발생하면 외부로 유출될 수도 있지만, 앞서 설명한 것처럼 신분증 사용 과정에서 발생할 수 있는 사생활 침해 우려를 최소화하기 위해 자기주권 신원증명(Self-Sovereign Identity) 개념을 적용함으로써 정보 유출을 사전에 차단할 수 있다는 게 정부의 입장입니다. 또한 화면 자동캡처 방지 기술을 적용해 신분증 도용과 개인정보 유출을 막겠다는 것입니다.

모바일 신분증은 정부가 발급하여 공신력을 부여하되, 블록체인을 기반으로 하는 분산ID(DID, Decentralized IDentity) 기술을 적용해 온라인에서 모바일 신분증 사용과 검증에 타인 또는 기관이 개입할 수 없도록 함으로써 사생활 침해 및 감시사회 우려를 해소하겠다는 것입니다.

 

모바일 운전면허증을 주관하고 있는 조폐공사는 모바일 신분증 등 디지털 기술과 융합된 첨단 위변조방지 보안기술을 공개해 주목을 받았으며, 모바일 신분증 분야에서는 올해부터 적용중인 모바일 공무원증과 내년초 시범 서비스가 예정된 모바일 운전면허증에 적용된 보안기술을 시연했습니다.

 

내년부터 단말기에서 모바일 신분증을 선보일 예정인 삼성전자는 스마트폰 전용 보안 시스템 녹스 볼트(Nox Vault)를 공개했습니다. 녹스 볼트는 암호와 생체인식 정보 같은 가장 민감한 데이터를 안전하게 격리하고 기기 외부로 유출되지 않도록 하는 다중 보안 체계로, 단순한 칩셋 레벨의 보호를 넘어 제조 단계부터 전체 기기를 보호하도록 설계돼 모든 부품과 계층에 대한 보안을 제공합니다. 또한 녹스 볼트는 정보를 자체 칩에 격리시켜 소프트웨어 기반 공격을 방지하고 하드웨어 침해로부터 보호하며, 애플리케이션의 암호화된 정보를 분리해 물리적 공격으로부터 민감한 데이터를 보호하고, 녹스 볼트 스토리지를 통해 데이터를 안전하게 격리하고 저장합니다. 이런 보안성을 바탕으로 삼성은 독일 정부와 함께 디지털 신분증(ID)을 갤럭시 스마트폰에 저장하는 서비스를 선보이기도 했습니다.

 

※ 관련기사

삼성 개발자 컨퍼런스 2021 개최... AI·IoT·보안 플랫폼 혁신, TV·모바일 생태계 강화 전략 공개(2021.10)

삼성전자, '삼성 개발자 콘퍼런스 2021' 개최(2021.10)

 

 

(출처: AhnLab 보안매거진 12월호 ‘내년부터 선보일 모바일 신분증, 보안 문제는 없나?’)

SCK_Cloud Insight
SCK_Cloud Insight
언제나 유용한 Digital 소식과 클라우드 소식을 전합니다.

Related Posts