2008년 09월 02일
대리운전과 ID 관리
title; "대리운전, 이것이 궁금하다"
link; http://media.daum.net/society/nation/jeolla/view.html?cateid=100009&newsid=20080902171015492&p=nocut&RIGHT_COMM=R9
고객이 대리운전을 부르면 대리운전기사가 찾아옵니다. 하지만 그 기사는 고객의 전화번호를 모릅니다. 대리운전 업체가 제공한 가상번호를 통해 연락하는 것이죠. 기사가 가상번호로 전화를 걸면 고객의 실제 번호로 연결되는 구조입니다.
하지만 대리운전 기사는 정말 고객의 전화번호를 모른다. 고객이 대리운전을 요청하면 회사에서는 해당 고객의 전화번호를 가공의 '임시번호'로 만들어 기사에게 전송한다.
이런 기술이 개발된 까닭은 고객의 차번호, 전화번호, 집주소가 누군가에게 노출되는 걸 꺼려하기 때문입니다. 그리고 대리운전업체에서도 기사가 고객정보를 모아서 타 업체로 옮기거나, 고객과 다툼이 생겼을 때 기사들이 해꼬지를 하는 경우를 피할 수도 있습니다.
이 기사를 읽다 보니 '주민번호 대체기술'이 먼저 떠오르네요. 주민번호 대체기술은 제목 그대로 주민등록번호의 노출을 피하기 위해 제시된 기술입니다. 피치 못하게 모든 인터넷 사이트에서 본인확인을 해야 되고, 그 본인확인 수단으로 주민등록번호를 입력받기 때문에 문제가 생겼습니다. 사이트가 해킹을 당하거나 내부 직원이 고객의 주민등록정보를 노출하는 것이죠.
SAML과 같은 ID 관리 표준에서도 가상id 개념을 사용합니다. 실제로 한 고객이 A사이트에서 a, B사이트에서 b라고 id를 만들었지만, 두 사이트를 묶으면서 c라는 가상화된 id(pseudonym)를 사용합니다. 그러면 A, B 사이트는 a,b id가 상대방 사이트에서 무슨 id와 매칭되는지 모르는 원리입니다.
XRI(eXtensive Resource Identifier)라는 표준에서도 추상화된 식별자를 사용하여 실제 고객의 정보를 숨깁니다. 가령 ayo라는 고객의 전화번호는 =ayo/(+phone.number) 로 표현되고 실제 전화번호는 ayo 라는 고객이 승인해야지만 연결됩니다.
요즘처럼 의식하지 못한 사이에 개인정보가 많이 노출되는 환경에서는, 개인정보를 추상화시켜 관리할 필요가 있다고 봅니다. 이런 시나리오를 생각해 볼 수 있겠죠. 한 사이트에 회원 가입을 하면서 임시로 만든 전화번호를 등록시켜 둡니다. 만일 해당 사이트에 내 전화번호를 줄 마음이 없다면 그 즉시 임시 전화번호의 링크를 끊어버립니다. 그러면 그 전화번호는 더이상 유효하지 않게 되죠. 반대로 내 전화번호와 링크시킨 그 전화번호로 스팸이나 보이스피싱이 오게 된다면, 그 즉시 해당 사이트를 신고할 수 있습니다. 개인정보를 제대로 관리하지 못한 책임을 물을 수 있겠죠. 지금까지는 개인정보를 그대로 사용했기 때문에 대처할 수 없었지만, 이제는 원인을 찾아서 대처할 수 있습니다.
link; http://media.daum.net/society/nation/jeolla/view.html?cateid=100009&newsid=20080902171015492&p=nocut&RIGHT_COMM=R9
고객이 대리운전을 부르면 대리운전기사가 찾아옵니다. 하지만 그 기사는 고객의 전화번호를 모릅니다. 대리운전 업체가 제공한 가상번호를 통해 연락하는 것이죠. 기사가 가상번호로 전화를 걸면 고객의 실제 번호로 연결되는 구조입니다.
하지만 대리운전 기사는 정말 고객의 전화번호를 모른다. 고객이 대리운전을 요청하면 회사에서는 해당 고객의 전화번호를 가공의 '임시번호'로 만들어 기사에게 전송한다.
이런 기술이 개발된 까닭은 고객의 차번호, 전화번호, 집주소가 누군가에게 노출되는 걸 꺼려하기 때문입니다. 그리고 대리운전업체에서도 기사가 고객정보를 모아서 타 업체로 옮기거나, 고객과 다툼이 생겼을 때 기사들이 해꼬지를 하는 경우를 피할 수도 있습니다.
이 기사를 읽다 보니 '주민번호 대체기술'이 먼저 떠오르네요. 주민번호 대체기술은 제목 그대로 주민등록번호의 노출을 피하기 위해 제시된 기술입니다. 피치 못하게 모든 인터넷 사이트에서 본인확인을 해야 되고, 그 본인확인 수단으로 주민등록번호를 입력받기 때문에 문제가 생겼습니다. 사이트가 해킹을 당하거나 내부 직원이 고객의 주민등록정보를 노출하는 것이죠.
SAML과 같은 ID 관리 표준에서도 가상id 개념을 사용합니다. 실제로 한 고객이 A사이트에서 a, B사이트에서 b라고 id를 만들었지만, 두 사이트를 묶으면서 c라는 가상화된 id(pseudonym)를 사용합니다. 그러면 A, B 사이트는 a,b id가 상대방 사이트에서 무슨 id와 매칭되는지 모르는 원리입니다.
XRI(eXtensive Resource Identifier)라는 표준에서도 추상화된 식별자를 사용하여 실제 고객의 정보를 숨깁니다. 가령 ayo라는 고객의 전화번호는 =ayo/(+phone.number) 로 표현되고 실제 전화번호는 ayo 라는 고객이 승인해야지만 연결됩니다.
요즘처럼 의식하지 못한 사이에 개인정보가 많이 노출되는 환경에서는, 개인정보를 추상화시켜 관리할 필요가 있다고 봅니다. 이런 시나리오를 생각해 볼 수 있겠죠. 한 사이트에 회원 가입을 하면서 임시로 만든 전화번호를 등록시켜 둡니다. 만일 해당 사이트에 내 전화번호를 줄 마음이 없다면 그 즉시 임시 전화번호의 링크를 끊어버립니다. 그러면 그 전화번호는 더이상 유효하지 않게 되죠. 반대로 내 전화번호와 링크시킨 그 전화번호로 스팸이나 보이스피싱이 오게 된다면, 그 즉시 해당 사이트를 신고할 수 있습니다. 개인정보를 제대로 관리하지 못한 책임을 물을 수 있겠죠. 지금까지는 개인정보를 그대로 사용했기 때문에 대처할 수 없었지만, 이제는 원인을 찾아서 대처할 수 있습니다.
이 글과 관련있는 글을 자동검색한 결과입니다 [?]
- [명의도용] SKT 등 이통사 고객정보 무더기 노출 by 조대리
- 나는 제대로 털렸군 by natsue
- 뒷북도 이런 뒷북이 없죠. by 南無
- 갖가지 광고전화 응대 by 텐(天)
# by | 2008/09/02 22:03 | CardSpace | 트랙백 | 덧글(4)
사용자는 하나의 이메일만 사용하지만, 용도/서비스별로 가상의 이메일들을 발급하고, 특정 이메일은 특정 서비스에서 온 메일만 받을 수 있게 하여, 해당 서비스에서 내 이메일을 외부로 유출하여도 스팸의 걱정이 없게 하는거지요. 또는, 뭐 10-15일 간 유효한 이메일 등도 있구요.
거의 12시간동안 쫍은데 앉아서 왔더니 완전 피곤하네요 ㅋㅋ
좋은 자료 많이 집어 가겠습니다.
근데 여기 와서도 일해야할듯 쩝...직장인란 ㅠㅠ