비밀번호 관련 법규에 대한 이해 및 변화의 필요성
목적 : 비밀번호에 관련된 어떤 사건 그리고 어떤 법령 이런 부분들을 검토하므로서 어떤 부분에 문제가 있고 어떻게 좀 개선해 나갈수 있을 지를 한번 검토해 보고자 함
<패스워드의 문제 사례>
콜로니얼 파이프라인 사태는 비밀번호가 어떤역할을 하는지 어떤 한계가 있는지를 극명하게 보여주는 예시
<소유기반으로 인증한 사례>
스타트업에서는 거의 대세인 노션은 로그인시 이메일을 사용하는데 이메일주소로 코드를 보내주면 그것으로 로그인하는 방식으로 이메일 즉 소유기반 인증을 실제로 사용한 사례
<고시가 법적인 효력이 생길 수 있는 경우>
크게 보면 개인정보관련 법, 금융쪽에서 사용하는 법들이 있고 그외에 정보통신관련된 법들이 있고 우리가 보통 법령하면 시행령 , 시행규칙까지를 법령이라고 하고 일반적으로 법적 강제성 또는 이런것을 법규명령이라고 하는데 법적 강제성이 있는 것을 법령까지는 되있지만, 고시는 행정규칙이라고 해서 원칙은 법의 강제성이 없음. 하지만 판례에서는 고시는 그 법령을 시행하는데 필요한 구체적인 사항을 정한 것 그리고 그 상위법령(개인정보보호법)의 위임한계를 벗어나지 않는 한 그렇게 되면 상위 법령과 결합하여 법적 구속력이 있다.
<2가지 예시>
2가지 예시가 있는데 하나는 "암호 알고리즘 및 키 길이 이용 안내서" (2018년) 이고 이것은 안정한 알고리즘으로 암호화하여야 한다. 라는 문장이 법령에 많은데 그럼 안전한 알고리즘은 뭐야 라고 할 때 이것이 수사기관에 가거나 규제기관에 가거나 법정에 가거나 다 이 "암호 알고리즘 및 키 길이 이용 안내서”를 인용합니다. 그래서 이것은 법도 아니고 고시도 아니지만 거의 법처럼 봐야 함
또 다른 사례는 패스워드 선택 및 이용안내서(2019년) 로 위에 것 만큼 중요하지 않지만 비밀번호와 관련되서 많이 사용됨
<보안관련 법령에서 패스워드 사용사례>
보안관련 법령에는 개인정보보호법, 정보통신망법, 전자거래금융법, 신용정보법, 위치정보법(유일하게 고시가없음)이 있고 여기에 다 패스워드와 관련된 규정이 있고 또 기타 법률인 고용산재보험료징수법, 공간정보관리법 등에도 패스워드에 대한 내용이 나와 있음 거의 모든 보안관련 법령에는 패스워드에 대한 내용을 다루고 세부적인 내용을 상이한데 패스워드를 만들는 법에 대한 것과 패스워드를 보호하는 방법등에 대한 명시가 있음
<시사점>
혹시 나중에 이제 비밀번호를 어떻게 사용하자라는지, 혹시 이런 정도의 비밀번호는 없앨 수 있지 않겠느냐 또는 다른 대용의 뭔가 다른 것을 만들 수 있지 않냐할 때 등 이런 비밀번호의 분류나 역할 지위들의 기능을 잘 살펴보면 그런 부분들을 찾아내는데 도움이 되지 않을까 싶고
또, 기존 법체계의 검토와 해외 사례 검토를 통해 개선 방향을 도출해서 NIST와 같이 현실에 맞지 않는 법(패스워드는 1개월, 분기별 한번씩 변경하고 어쩌고 저쪄고 등은 결국에는 인간의 머리의 한계로 포스잌에 적어서 사용하게 됨 - 이 내용은 FIDO 시험인증 프로그램 업데이트 세션에서 김재범 책임도 언급함)은 과감히 고치고(NIST는 문제가 있거나 발견되고 고치라고 변경함) 향후 패스워드의 존폐에 대해 신중히 검토하면 우리사회에 좀 더 안전하고 편리한 사용자 인증방법을 도입하는 시기가 좀 더 빨라지지 않을까 싶고, 또 지피지기면 백전백승이라고 아무리 정보화를 하는 사람이지만 현재 보안에 대한 법체계가 어떻게 되어있는지 알고 있어야 막상 일이 닥칠 경우 더 슬기롭게 대처하고 또 상식선에 알아둘 필요도 있다고 생각해서 이런 내용을 다루게 되었음
댓글 없음:
댓글 쓰기