[논문]NFC 환경에서 개인정보보호를 위한 취약점 분석 및 대책 수립 방법론

이재식; 김형주; 유한나; 박태성; 전문석

doi:10.13089/jkiisc.2012.22.2.357

NFC 환경에서 개인정보보호를 위한 취약점 분석 및 대책 수립 방법론
Analysis on Vulnerability and Establishing Countermeasure Methodologies for Privacy Protection in NFC Environments 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.22 no.2, 2012년, pp.357 - 365

이재식 (숭실대학교) , 김형주 (숭실대학교) , 유한나 (숭실대학교) , 박태성 (숭실대학교) , 전문석 (숭실대학교)

초록
AI-Helper

NFC(Near Field Communication)는 근거리 통신 규약으로, 스마트폰 등에 적용되어 그 활용 범위가 매우 넓은 기술이다. 특히, NFC 환경에서 제공되는 서비스는 이용자의 개인정보를 활용한 서비스가 많다. 이러한 서비스에서 이용되는 개인정보는 NFC 기술적 특징 및 스마트폰으로 대표되는 NFC 기기의 특징으로 인해 기존에 없었던 새로운 취약점들이 발생하고 있다. 따라서 본 논문에서는 NFC 환경에서 발생할 수 있는 개인정보와 관련된 취약점을 기술적 관리적 제도적 측면에서 분석하는 방법론 및 그에 따른 대책 수립을 위한 방법론을 제안한다. 또한 제안된 방법론을 통하여 도출된 국내 NFC 서비스의 취약점 및 그에 따른 대책을 제시하고 있다. 본 논문에서 제안된 방법론을 통하여 NFC 환경에서 개인정보보호를 위한 다양한 대책들이 수립될 것으로 기대된다.

Abstract ▼ AI-Helper

NFC(Near Field Communication),the short-distance communication protocol, is a technology with a wide range of application applied to smart phones. In particular, many of the services in NFC environments utilize users' privacy information. Privacy information used in such services leads to new vulnerability due to the very features of NFC technology and of NFC devices represented by smart phones. Therefore, the purpose of this study is to suggest a methodology that analyzes privacy vulnerability resulting from a NFC environments in technological, managerial and institutional aspects and a methodology aimed to establish a countermeasure to augment them. Also, this study will suggest vulnerability and countermeasures accordingly in domestic NFC service drawn out through the above methodologies and a countermeasure to improve the vulnerability. It is expected that various safe countermeasures for privacy protection in NFC environments will be established through the suggested methodologies.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

NFC 환경에서 개인정보를 보호하기 위하여, 본 논문에서는 개인정보보호 취약점 분석 및 그에 대한 대책을 수립 위한 방법론을 제안하였다. NFC 환경에서 발생할 수 있는 개인정보와 관련된 취약성은 기술적인 측면뿐만 아니라, 관리적·제도적 측면에서도 이루어져야 한다.
기술적·관리적·제도적 측면의 고려사항을 통하여 어떠한 부분에서 개인정보보호 이슈 및 위협이 발생할 수 있는지 분석한다.
따라서 본 논문에서는 개인정보보호 관련 법·제도 등을 고려하여 NFC 환경에서 안전하게 개인정보가 활용될 수 있도록 방법론을 제안하였다.
이러한 NFC 기술적 취약점으로 인해 발생할 수 있는 문제점은 잠재적인 개인정보를 위협하는 요소이다. 따라서, NFC 기술적 취약점을 해결할 수 있는 방안이 필요하며, 이에 본 논문에서는 NFC 개인정보보호 방법론을 통하여 이를 해결하고자 한다.
본 장에서는 NFC 개인정보보호와 관련하여 개인정보 영향평가 및 NFC 기술적 취약점과 관련된 연구를 살펴본다. 개인정보는 학자나 법률에 따라 다양하게 정의되어 있으나, 본 논문에서는 국내 개인정보보호법의 정의를 사용한다.
NFC 환경에서 개인정보를 보호하기 위해서는, NFC 환경의 개인정보 취약점을 분석하고 그에 따른 대책 수립해서 시행함으로써 개인정보에 안전한 NFC 환경을 구축해야한다. 이에 본 논문에서는 NFC 개인정보보호 취약점 분석 방법론과 NFC 개인정보보호 대책 수립 방법론을 제안한다. 우선 취약점 분석 및 대책 수립은 기술적·관리적·제도적인 3가지 측면에서 접근해야 한다.
이에 본 논문에서는 NFC 환경에서 발생할 수 있는 다양한 개인정보보호 취약점을 분석하고 대책을 수립하는 방법론을 제안한다.

제안 방법

NFC 개인정보보호 이슈 및 위협을 고려하고, 기술적·관리적·제도적 측면에서 도출된 고려사항과 분석된 NFC 서비스 개인정보 흐름도를 이용하여 NFC 개인정보보호 취약점을 도출한다.
두 번째로 개인정보의 취급현황을 분석한다. NFC 서비스별 개인정보대책이 있는지 조사하고, 각 서비스 주체별 취급하는 개인정보를 분석한다. 마지막으로 개인정보 흐름 분석을 위하여, 개인정보 생명주기에 따른 개인정보 업무별 흐름을 분석하여 NFC 서비스에서 개인정보의 흐름을 분석할 수 있다.
NFC 환경에서 발생할 수 있는 취약점 분석을 위하여 [그림 1]과 같은 NFC 개인정보보호 취약성 분석 방법론을 제안한다. 취약점 분석은 크게 3가지 단계로 구성된다.
개인정보 관리 현황 분석단계는 평가자료 수집 단계, 개인정보 흐름 분석 단계, 개인정보침해요인 분석 및 개선방안 도출/위험도산정 단계로 나누어지며, 본 논문에서는 개인정보 흐름분석 단계를 NFC 개인정보보호 취약점 분석 방법론 중 NFC 서비스의 개인정보 흐름도 분석단계에 수정·적용하였다.
따라서 RFID 특징으로 인해 발생할 수 있는 공격 기법과 NFC 특징으로 인해 발생할 수 있는 공격 기법을 도출한다. 도출된 위협은 개인정보와 관련하여 기밀성, 무결성, 가용성, 인증의 4가지 측면에서 개인정보 관련성을 분석한다. 정보의 노출은 기밀성을 침해하며, 정보의 변경은 무결성을 침해한다.
이를 위하여 NFC 서비스와 관련된 서비스 주체를 분석하고, 서비스 흐름을 분석한다. 두 번째로 개인정보의 취급현황을 분석한다. NFC 서비스별 개인정보대책이 있는지 조사하고, 각 서비스 주체별 취급하는 개인정보를 분석한다.
첫 번째로 개인정보 생명주기에 따른 NFC 서비스 구조를 분석 한다. 이를 위하여 NFC 서비스와 관련된 서비스 주체를 분석하고, 서비스 흐름을 분석한다. 두 번째로 개인정보의 취급현황을 분석한다.
첫 번째로 NFC 기술적·환경적 특징을 분석하여 위협을 도출하고, 두 번째로 각 위협별 개인정보와 관련된 침해유형 분석을 통하여 개인정보보호 이슈 및 위협을 도출한다.
개인정보 영향평가(PIA: Privacy Impact Assessment)의 개인정보 흐름분석 단계를 수정하여 도입한 NFC 서비스 개인정보 흐름 분석 단계는 [그림 3]과 같다. 첫 번째로 개인정보 생명주기에 따른 NFC 서비스 구조를 분석 한다. 이를 위하여 NFC 서비스와 관련된 서비스 주체를 분석하고, 서비스 흐름을 분석한다.

이론/모형

본 장에서는 NFC 개인정보보호와 관련하여 개인정보 영향평가 및 NFC 기술적 취약점과 관련된 연구를 살펴본다. 개인정보는 학자나 법률에 따라 다양하게 정의되어 있으나, 본 논문에서는 국내 개인정보보호법의 정의를 사용한다. 개인정보보호법에서 정의된 개인정보란 “살아 있는 개인에 관한 정보로 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)”를 말한다[3].

성능/효과

각 취약점은 기술적·관리적·제도적 고려사항 및 NFC 서비스 개인정보 흐름도 분석을 통하여 도출되었으며, 도출에 사용된 NFC 서비스는 국내에서 제공되고 있는 서비스인 결제, 마일리지, 쿠폰, 스탬프, 예매 서비스이다.
또한 NFC 서비스별로 마련된 개인정보보호와 관련된 대책도 관리적·제도적 측면에서 검토하여 취약점을 도출 할 수 있다.
NFC 서비스별 개인정보대책이 있는지 조사하고, 각 서비스 주체별 취급하는 개인정보를 분석한다. 마지막으로 개인정보 흐름 분석을 위하여, 개인정보 생명주기에 따른 개인정보 업무별 흐름을 분석하여 NFC 서비스에서 개인정보의 흐름을 분석할 수 있다.
본 논문에서 제안한 NFC 개인정보보호 대책 수립 방법론을 통하여 [표 1]에서 도출된 취약점에 관한 대책은 [표 2]와 같다. 제시된 대책은 개인정보보호 대책 수립 적절성 및 개인정보보호 관련 법률 준수 여부가 고려되었으며, 실제로 일부 대책의 경우 분석된 NFC 서비스에 반영되어 관련된 취약점이 해결되었다.

후속연구

4장의 NFC 개인정보보호 방법론 활용방안에서 살펴본 NFC 개인정보 보호 취약점 및 대책은 국내에서 서비스 되고 있는 일부 서비스를 대상으로 도출된 취약점 및 대책의 예시이다. 따라서 예시에 포함되지 않은 NFC 서비스는 도출된 취약점 이외의 다른 취약점이 존재할 수 있으나, 제안된 방법론을 통하여 쉽게 새로운 취약점을 발견하고 그에 대한 대책을 마련할 수 있을 것으로 기대한다.
본 장에서는 본 논문에서 제안한 NFC 개인정보보호 방법론을 활용하여 분석된 NFC 개인정보보호 취약점 및 대책 예시를 설명한다[7]. 분석된 NFC 개인정보보호 취약점과 대책을 활용하여 NFC 개인정보보호 가이드라인 및 수칙 등과 같은 내용을 도출하였고, 이를 활용하여 NFC 서비스 사업자가 NFC 환경에서 개인정보에 안전한 NFC 서비스를 제공할 수 있을 것으로 기대한다. 이와 관련된 자세한 내용은 참고문헌[7]을 참조하기 바란다.

질의응답

핵심어	질문	논문에서 추출한 답변
	NFC 서비스 개인정보 흐름을 분석하는 단계에서는 무엇을 분석하는가?	의 개인정보 흐름분석 단계를 수정하여 도입한 NFC 서비스 개인정보 흐름 분석 단계는 [그림 3]과 같다. 첫 번째로 개인정보 생명주기에 따른 NFC 서비스 구조를 분석 한다. 이를 위하여 NFC 서비스와 관련된 서비스 주체를 분석하고, 서비스 흐름을 분석한다. 두 번째로 개인정보의 취급현황을 분석한다. NFC 서비스별 개인정보대책이 있는지 조사하고, 각 서비스 주체별 취급하는 개인정보를 분석한다. 마지막으로 개인정보 흐름 분석을 위하여, 개인정보 생명주기에 따른 개인정보 업무별 흐름을 분석하여 NFC 서비스에서 개인정보의 흐름을 분석할 수 있다.
	NFC는 어떤 기술인가?	NFC(Near Field Communication)는 13.56-Mhz RF(Radio Frequency) 주파수 영역에서 약 10cm 이하의 짧은 거리로 동작하는 비접촉식 근거리통신을 위한 기술이다[1]. NFC 기술은 호환성 및 범용성을 위하여 다양한 국제표준 기술을 지원하고 있어[2], 그 활용 범위가 점차 확대되고 있다.
	NFC 기술적 취약점에는 무엇이 있는가?	56Mhz RF 주파수 영역에서 동작하기 때문에 기존의 RFID 환경에서 일어날 수 있는 기술적 취약점과 비슷한 유형의 위협이 발생한다. NFC 기술적 취약점은 도청(Eavesdropping), 데이터 변조(Corruption)·수정(Modification)·삽입(Insertion), 중간자 공격(Man-in-the-Middle-Attack) 등이 있다[5]. 또한 NFC는 NDEF(NFC Data Exchange Format) 메시지 교환 포맷을 이용하여 메시지를 교환할 수 있고, 교환되는 데이터는 RTD(Record Type Definition) 형태로 이루어진다.

참고문헌 (7)

ISO/IEC, "ISO/IEC 18092, Information technology - Telecommunications and information exchange between systems - Near Field Communication - Interface and Protocol (NFCIP-1)", 2004.
ISO/IEC, "ISO/IEC 21481, Information technology - Telecommunications and information exchange between systems - Near Field Communication - Interface and Protocol-2 (NFCIP-2)", 2005.
법제처, 개인정보보호법, 2011.
행정안전부, 한국인터넷진흥원, 공공기관 개인정보 영향평가 수행 안내서(개정판), 2011.
Ernst Haselsteiner, Klemens Breitfuß, "Security in Near Field Communication( NFC)", Workshop on RFID Security RFIDsec, 2006.
Michael Roland, Josef Langer, Josef Scharinger, "Security Vulnerabilities of the NDEF Signature Record Type", Workshop on Near Field Communication, 2011.
숭실대학교 산학협력단, NFC 개인정보보호 대책 연구, 한국인터넷진흥원, 2012.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증