Korean Identity Management(KIM)

미국의 카네기멜론대학에서 SSN(Social Security Number)의 취약성에 대한 논문을 발표하였습니다. 이 결과는 7월 29일에 열리는 BlackHat 2009에서 소개될 예정입니다. 아마 월말에는 크게 이슈화될 것 같습니다.

individual's date and state of birth are sufficient to guess his or herSocial Security number with great accuracy. The study findings willappear this week in the online Early Edition of the Proceedings of theNational Academy of Science, and will be presented on July 29 at theBlackHat 2009 information security conference in Las Vegas. Additionalinformation about the study and some of the issues it raises isavailable at http://www.ssnstudy.org.

논문에 따르면 생일과 태어난 장소에 따라 SSN이 결정될 확률이 높으며, 실제로 테스트한 결과 1000번 시도에 8.5% 정도로 9자리를 모두 추측할 수 있다고 합니다. 어떤 경우는 10번도 안되어 추측하기도 했습니다.

They were able to identify all nine digits for 8.5 percent of those individuals born after 1988 in fewer than 1,000 attempts

for instance, they needed 10 or fewer attempts to predict all ninedigits for one out of 20 SSNs issued in Delaware in 1996. Sensitivedetails of the prediction strategy were omitted from the article.

SSN은 우리나라의 주민등록번호와 유사한 것이지만, 9자리이고 세금 추적 및 개인 식별 용도입니다. 또한 모든 국민이 일괄적으로 발급받지 않습니다. 중복번호도 간혹있다고 합니다. 하지만 발급자만 알기 때문에, 식별(identification) 용도로 사용되며 일부 사이트인 경우에는 인증 정보(authentication)로도 사용된다고 합니다. 문제는 SSN은 여러 사이트에 흩어져 노출되기 쉽고, 앞에서 언급한 것처럼 생일과 태어난 장소 같은 정보를 이용하여 추측도 가능하다는 것입니다.

The statistical patterns and the birth information can be used topredict Social Security numbers because the Social SecurityAdministration's methods for assigning numbers, based in part ongeography, are well-known.

앞자리 5개 정도는 거의 국내 주민번호와 같이 쉽게 도출된다고 합니다. 나머지 정보까지 추측하기는 어렵다고 안심할 수도 있지만, 피싱 메일과 같은 방법을 이용하여 5자리를 보여주고 나머지 4자리만 입력하도록 하면 쉽게 얻을 수 있습니다. 사용자 입장에서는 이미 5자리를 아니까 나머지 4자리는 확인차 물어본다고 생각할 수 있죠.

A fraudster who knows just the first five digits of an individual'snumber might use a phishing email to trick the person into revealingthe last four digits. Or, a fraudster could use networks of compromisedcomputers, or "botnets," to repeatedly apply for credit cards in aperson's name until hitting the correct nine-digit sequence.

이 문제를 막기 위해서는 SSN을 인증 수단으로 사용하지 말자고 저자는 언급했습니다. 패스워드 뿐만 아니라 OTP나 공인인증서를 이용한 투팩터(two-factor) 인증이 필요합니다. 보안을 요구하는 일부 사이트가 SSN으로 사용자를 식별한다는 사실이 신기하네요.

Methods to consider include two-factor authentication, similar to thePIN number/card combinations used for bank accounts, and digitalcertificates.

레퍼런스
[1] http://www.eurekalert.org/pub_releases/2009-07/cmu-cmr070109.php
[2] http://www.pnas.org/content/early/2009/07/02/0904891106.full.pdf+html