한국전자통신연구원(원장 최문기 www.etri.re.kr)은 일상생활에서 신용카드, 신분증 등을 넣고 다니는 지갑처럼 디지털시대에 각종 전자인증 정보 및 개인 정보를 언제 어디서나 저장하고 이용할 수 있는 사이버상의 ‘전자 ID지갑 기술’을 개발했다고 밝혔다.
사용자가 여러 웹사이트에 가입하다 보면, 각 사이트의 아이디와 패스워드를 웹사이트 마다 다르게 설정하지 않고 기억하기 쉽게 동일한 아이디와 패스워드를 사용하는 경우가 적지 않다. 만일 악의적인 공격자가 한 취약한 사이트로부터 아이디와 패스워드를 얻게 된다면, 이를 이용해 다른 여러 사이트들까지도 도용된 ID로 쉽게 로그인할 수 있어 공격당한 사용자는 돌이킬 수 없는 재앙을 맞게 된다.
그러나 전자 ID지갑을 사용하면 사용자가 패스워드를 기억할 필요도 없고, 각 사이트마다 안전한 비밀키가 자동으로 생성되므로, 이러한 문제를 근본적으로 해결할 수 있다. 이 기술은 인터넷 환경에서 웹사이트에 가입하고 로그인하는 작업을 몇 번의 클릭만으로 작업할 수 있게 해준다.
또한 피싱, 파밍 사이트 문제 등을 해결하고, 사용자가 가입한 사이트 목록 및 가입시 사용한 아이디, 프로파일 정보, 지불 정보 등을 간편하게 관리할 수 있는 기능도 제공한다. 특히 이러한 정보를 카드형태로 표현, 사용자가 편리하게 선택해 사용할 수 있게 한다.
전자 ID지갑은 최근 이슈가 되고 있는 인터넷상에서의 주민등록번호 오남용 문제를 해결하기 위해 정부에서 추진 중인 아이핀(i-PIN)의 사용자 편리성을 향상시키고, 최근에 떠오르는 인증 기술인 카드스페이스(CardSpace), 오픈ID 인증 방법을 지원한다. 더불어 전자 ID지갑은 사용자의 중요 정보를 웹사이트 간에 안전하게 공유할 수 있는 기능도 제공한다.
이를 이용하면 한 사이트의 정보를 다른 사이트에서 사용할 수 있게 되는데, 이 때 발생할 수 있는 개인정보 노출 문제 및 프라이버시 문제를 사용자 중심의 공유 방식을 사용함으로 해결해 준다.
ETRI는 이 방식에 대한 국내·외 특허를 출원했으며, 지난해 9월 중순 스위스 제네바에서 개최된 ITU-T 회의에서 국제 표준(표준명 : 자기통제 강화형 디지털 아이덴티티 공유 프레임워크)으로 채택됐다. 전자 ID지갑의 공유 기능을 활용하면 다양한 부가 서비스도 창출할 수 있을 전망이다.
한편 전자 ID지갑은 인증, 공유기능뿐 아니라 웹 환경에서 간편하게 전자결제를 수행할 수 있도록 해주고, 전자 ID지갑 데이터를 안전한 서버에 백업하여 주는 서비스를 제공한다. 그리고 모바일 단말기용 전자 ID지갑을 휴대폰에 탑재해 휴대폰으로 웹서핑을 할 때 간편하게 사이트 가입 및 로그인할 수도 있고, PC방처럼 안전하지 못한 장소에서 웹사이트에 로그인할 때 모바일 전자 ID지갑의 OTP 및 SMS 기능을 이용해 사용자 정보 노출을 방지할 수 있다.
진승헌 디지털ID보안연구팀장은 “전자 ID지갑을 통해 정부에서 추진하고 있는 인터넷상의 주민번호 대체수단인 아이핀의 편의성과 안전성을 향상시켜 아이핀 보급을 활성화할 수 있다”며 “상호인증기술 기반의 안전하고 편리한 사용자 로그인 기능을 제공해 피싱과 파밍 공격으로부터 사용자의 정보를 안전하게 지킬 수 있다”고 설명했다.
전자 ID기술은 2007년 5월부터 마이크로소프트, 한국정보보호진흥원과 공동연구로 시작했으며, 2008년 말 국내 관련 산업체에 5건의 기술이전을 한 가운데 2009년 중반부터 단계적으로 상용화가 진행될 전망이다.
