I. 서론
NFC(Near Field Communication)는 13.56-Mhz RF(Radio Frequency) 주파수 영역에서 약 10cm 이하의 짧은 거리로 동작하는 비접촉식 근거리통신을 위한 기술이다[1]. NFC 기술은 호환성 및 범용성을 위하여 다양한 국제표준 기술을 지원하고 있어[2], 그 활용 범위가 점차 확대되고 있다.
NFC 환경에서 제공되는 서비스는 다양한 개인정보를 활용하는 형태로 전개될 것으로 예상된다. 특히 스마트폰 등을 이용한 NFC 서비스는 위치정보와 같은 사용자에게 민감한 개인정보가 서비스에 포함되어 이용될 수 있다. NFC 기술의 특성상 간단한 터치만으로 서비스가 제공되며, 서비스가 이루어지는 동일 그룹 내에서 사용자의 NFC 서비스 이용패턴이 공유 되는 경우, 공유 정보를 이용하여 기존에 수집된 정보 이외의 새로운 사용자 맞춤형 정보를 생성할 수 있다. 이러한 맞춤형 정보는 사용자의 NFC 서비스 이용패턴을 기반으로 생성된 민감한 개인정보이다. 이와 같이 NFC 환경에서는 사용자의 개인정보가 수집·활용 되는 다양한 경우가 발생한다.
이에 본 논문에서는 NFC 환경에서 발생할 수 있는 다양한 개인정보보호 취약점을 분석하고 대책을 수립하는 방법론을 제안한다.
본 논문의 구성은 다음과 같다. 1장에서는 본 논문에 대한 소개와 구성을 설명하고, 2장에서는 개인정보의 정의 및 개인정보보호 영향평가와 NFC 기술에 대한 취약점을 살펴본다. 3장에서는 NFC 개인정보보호 방법론을 취약점 분석과 대책 수립의 측면에서 제안하였고, 4장에서는 제안된 방법론을 활용하여 도출된 결과물을 소개하고, 5장에서 결론을 내린다.
II. 관련 연구
본 장에서는 NFC 개인정보보호와 관련하여 개인정보 영향평가 및 NFC 기술적 취약점과 관련된 연구를 살펴본다. 개인정보는 학자나 법률에 따라 다양하게 정의되어 있으나, 본 논문에서는 국내 개인정보보호법의 정의를 사용한다. 개인정보보호법에서 정의된 개인정보란 “살아 있는 개인에 관한 정보로 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)”를 말한다[3]. 즉, 개인과 직접 관련이 없는 정보도 넓은 의미에서 개인정보가 될 수 있다.
2.1 개인정보 영향평가(PIA : Privacy Impact Assessment)
개인정보 영향평가란, 개인정보를 활용하는 새로운 정보시스템의 도입이나 개인정보 취급이 수반되는 기존 정보 시스템의 중대한 변경 시 동 시스템의 구축·운영·변경 등이 프라이버시에 미치는 영향(impact)에 대하여 사전에 조사·예측·검토하여 개선 방안을 도출하는 체계적인 절차를 말한다[4]. 개인정보 영향평가는 사전분석 단계, 개인정보 관리현황 분석 단계, 영향평가 결과 정리 단계로 진행된다. 개인정보 관리 현황 분석단계는 평가자료 수집 단계, 개인정보 흐름 분석 단계, 개인정보침해요인 분석 및 개선방안 도출/위험도산정 단계로 나누어지며, 본 논문에서는 개인정보 흐름분석 단계를 NFC 개인정보보호 취약점 분석 방법론 중 NFC 서비스의 개인정보 흐름도 분석단계에 수정·적용하였다. 개인정보 영향평가의 개인정보 흐름분석은 개인정보 취급 현황분석, 개인정보 흐름표 작성, 개인정보 흐름도 작성, 시스템구조도 작성으로 평가절차가 나누어진다.
2.2 NFC(Near Field Communication) 기술적 취약점
NFC 기술은 13.56Mhz RF 주파수 영역에서 동작하기 때문에 기존의 RFID 환경에서 일어날 수 있는 기술적 취약점과 비슷한 유형의 위협이 발생한다. NFC 기술적 취약점은 도청(Eavesdropping), 데이터 변조(Corruption)·수정(Modification)·삽입(Insertion), 중간자 공격(Man-in-the-Middle-Attack) 등이 있다[5]. 또한 NFC는 NDEF(NFC Data Exchange Format) 메시지 교환 포맷을 이용하여 메시지를 교환할 수 있고, 교환되는 데이터는 RTD(Record Type Definition) 형태로 이루어진다. RTD는 레코드 타입에 따라 다양한 종류가 있으며, NDEF 메시지의 무결성 보장을 위하여 NDEF Signature RTD의 적용이 가능하다. 하지만 NDEF Signature RTD를 적용하여 NDEF를 이용하는 경우도 NFC 기기의 칩셋에 따라 전자서명을 할 수 있는 범위가 달라 무결성이 완벽히 보장된다고 할 수 없다[6].
이러한 NFC 기술적 취약점으로 인해 발생할 수 있는 문제점은 잠재적인 개인정보를 위협하는 요소이다. 따라서, NFC 기술적 취약점을 해결할 수 있는 방안이 필요하며, 이에 본 논문에서는 NFC 개인정보보호 방법론을 통하여 이를 해결하고자 한다.
III. NFC 환경에서의 개인정보보호를 위한 방법론
NFC 환경에서 개인정보를 보호하기 위해서는, NFC 환경의 개인정보 취약점을 분석하고 그에 따른 대책 수립해서 시행함으로써 개인정보에 안전한 NFC 환경을 구축해야한다. 이에 본 논문에서는 NFC 개인정보보호 취약점 분석 방법론과 NFC 개인정보보호 대책 수립 방법론을 제안한다. 우선 취약점 분석 및 대책 수립은 기술적·관리적·제도적인 3가지 측면에서 접근해야 한다. 이는 단순히 기술적인 문제뿐만 아니라 관리적·제도적 측면으로 인한 문제점도 발생할 수 있기 때문이다. 특히 국가별로 개인정보 관련 법률이 있는 경우, 이는 반드시 지켜야 하는 사항이기 때문에 주의해야 한다.
기술적 측면은 NFC 기술의 특성에 따른 부분을 의미하며, 제도적 측면은 법과 같이 반드시 지켜야 하는 측면과 NFC 서비스 업체 등의 자체적인 개인정보 보호 정책 수립 등을 의미한다. 관리적 측면은 제도적 측면으로 수립된 정책의 관리가 잘 이루어지고 있는지 등을 의미한다.
3.1 NFC 개인정보보호 취약점 분석 방법론
NFC 환경에서 발생할 수 있는 취약점 분석을 위하여 [그림 1]과 같은 NFC 개인정보보호 취약성 분석 방법론을 제안한다. 취약점 분석은 크게 3가지 단계로 구성된다. 첫 번째로 기술적·관리적·제도적 측면에서 고려사항을 도출하는 단계, 두 번째로 NFC 서비스 개인정보 흐름을 분석하는 단계, 마지막으로 이들을 취합하여 NFC 개인정보보호 취약점을 도출하는 단계로 구성된다.
[그림 1] NFC 개인정보보호 취약점 분석 방법론
3.1.1 기술적·관리적·제도적 측면 고려사항 도출
기술적·관리적·제도적 측면의 고려사항을 통하여 어떠한 부분에서 개인정보보호 이슈 및 위협이 발생할 수 있는지 분석한다. [그림 2]는 이러한 고려사항 도출 방법을 보여준다. 기술적 고려사항의 예로 일반적인 보안 기술 고려사항인 기밀성, 무결성, 가용성의 정보보안 3대 원칙과 익명성보장 및 접근제어 등을 고려할 수 있다. 또한 NFC 기술·환경적 요인으로 발생할 수 있는 RF 물리적 특성 및 NFC 동작모드, NFC 데이터교환 포맷인 NDEF, NDEF Record의 무결성을 보장하는 NDEF Signature RTD 등을 고려할 수 있다. 제도적 고려사항의 예로 개인정보보호의 대책 수립여부 및 적절성, 개인정보보호 관련 법률의 준수 여부 등이 있다.
[그림 2] 기술적·관리적·제도적 고려사항 도출 방법
국내의 경우 대표적인 관련 법률로 개인정보보호법, 위치정보보호법, 정보통신망 이용 및 촉진에 관한 법률 등이 있으며 법령은 아니지만 RFID 프라이버시 보호 가이드라인 등도 함께 고려할 수 있다. 또한 취급되는 개인정보의 적절성 및 취급정보별 접근 권한의 설정 등도 제도적 고려사항이 될 수 있다. 관리적 고려사항의 예로 내부자의 관리 통제 및 관리자의 대책 준수 여부 등이 있다. 특정 고려사항은 각 측면에서 공통된 하나 이상의 측면을 가질 수 있다. 개인정보의 도용은 기술적·관리적 고려사항일 수 있으며, 취급정보의 오·남용은 관리적·제도적 고려사항일 수 있다. 또한 검증되지 않은 기술도입은 기술적·관리적 고려사항이 될 수 있다.
3.1.2 NFC 서비스 개인정보 흐름 분석
개인정보 영향평가(PIA: Privacy Impact Assessment)의 개인정보 흐름분석 단계를 수정하여 도입한 NFC 서비스 개인정보 흐름 분석 단계는 [그림 3]과 같다. 첫 번째로 개인정보 생명주기에 따른 NFC 서비스 구조를 분석 한다. 이를 위하여 NFC 서비스와 관련된 서비스 주체를 분석하고, 서비스 흐름을 분석한다. 두 번째로 개인정보의 취급현황을 분석한다. NFC 서비스별 개인정보대책이 있는지 조사하고, 각 서비스 주체별 취급하는 개인정보를 분석한다. 마지막으로 개인정보 흐름 분석을 위하여, 개인정보 생명주기에 따른 개인정보 업무별 흐름을 분석하여 NFC 서비스에서 개인정보의 흐름을 분석할 수 있다.
[그림 3] NFC 서비스 개인정보 흐름 분석 방법
3.1.3 NFC 개인정보보호 이슈 및 위협 도출
NFC 개인정보보호 이슈 및 위협 도출은 [그림 4]와 같이 이루어진다. 첫 번째로 NFC 기술적·환경적 특징을 분석하여 위협을 도출하고, 두 번째로 각 위협별 개인정보와 관련된 침해유형 분석을 통하여 개인정보보호 이슈 및 위협을 도출한다. NFC 기술은 13.56Mhz 영역의 무선주파수를 이용하여 통신하므로 기존의 RFID 환경에서 일어날 수 있는 기술적·환경적 위협과 비슷한 유형의 위협이 발생한다. 따라서 RFID 특징으로 인해 발생할 수 있는 공격 기법과 NFC 특징으로 인해 발생할 수 있는 공격 기법을 도출한다. 도출된 위협은 개인정보와 관련하여 기밀성, 무결성, 가용성, 인증의 4가지 측면에서 개인정보 관련성을 분석한다. 정보의 노출은 기밀성을 침해하며, 정보의 변경은 무결성을 침해한다. 서비스 방해나 거부는 가용성을 침해하며, 도용 및 오·남용은 인증을 침해하는 유형이다.
[그림 4] NFC 개인정보보호 이슈 및 위협 도출 방법
3.1.4 기술적·관리적·제도적 취약점 도출
NFC 개인정보보호 이슈 및 위협을 고려하고, 기술적·관리적·제도적 측면에서 도출된 고려사항과 분석된 NFC 서비스 개인정보 흐름도를 이용하여 NFC 개인정보보호 취약점을 도출한다. 특히 관리적·제도적 취약점 도출을 위하여 해당분야의 관련 전문가의 자문을 구하거나, 개인정보와 관련된 법률 및 대책 등을 활용하여 보다 객관적인 기술적·관리적·제도적 취약점을 도출할 수 있다. 또한 NFC 서비스별로 마련된 개인정보보호와 관련된 대책도 관리적·제도적 측면에서 검토하여 취약점을 도출 할 수 있다.
3.2 NFC 개인정보보호 대책 수립 방법론
NFC 개인정보보호 취약점 분석을 통하여 도출된 기술적·관리적·제도적 취약점은 [그림 5]와 같은 방법을 통하여 모든 측면에서의 대책을 수립한다. 기술적 취약점은 해당 기술을 대체할 수 있는 기술이 있는 경우 이를 활용하고, 그렇지 않은 경우 기술개발을 통하여 취약점을 해결한다. 만약 기술적 취약점을 해결할 수 없는 경우 제도적 변경을 통하여 해당 기술 이외의 다른 기술을 이용하거나 기술적 취약점이 해결될 때까지 잠정적인 서비스 중단 등을 한다. 제도적 취약점이 존재하는 경우 해당 제도의 변경을 통하여 취약점을 해결한다. 관리자의 부주의로 인한 취약점이 발생한 경우 해당 관리자의 징계 및 교육 등을 통하여 취약점을 해결할 수 있으며 그렇지 않은 경우 제도의 변경을 통하여 관련 취약점을 해결한다. 취약점 해결 후 다른 측면의 취약점이 존재하는 경우 다시 처음으로 돌아가서 취약점을 해결한다.
[그림 5] NFC 개인정보보호 대책 수립 방법론
IV. NFC 개인정보보호 방법론 활용방안
본 장에서는 본 논문에서 제안한 NFC 개인정보보호 방법론을 활용하여 분석된 NFC 개인정보보호 취약점 및 대책 예시를 설명한다[7]. 분석된 NFC 개인정보보호 취약점과 대책을 활용하여 NFC 개인정보보호 가이드라인 및 수칙 등과 같은 내용을 도출하였고, 이를 활용하여 NFC 서비스 사업자가 NFC 환경에서 개인정보에 안전한 NFC 서비스를 제공할 수 있을 것으로 기대한다. 이와 관련된 자세한 내용은 참고문헌[7]을 참조하기 바란다.
4.1 NFC 개인정보보호 취약점 분석 예시
본 논문에서 제안한 NFC 개인정보보호 취약점 분석 방법론을 통하여 도출된 취약점은 [표 1]과 같다. 각 취약점은 기술적·관리적·제도적 고려사항 및 NFC 서비스 개인정보 흐름도 분석을 통하여 도출되었으며, 도출에 사용된 NFC 서비스는 국내에서 제공되고 있는 서비스인 결제, 마일리지, 쿠폰, 스탬프, 예매 서비스이다. 또한 [그림 4]의 개인정보보호 이슈 및 위협 도출 방법을 통하여 도출된 취약점도 기술적 취약점에 포함하였다.
[표 1] 국내 NFC 서비스 취약점 분석표 예시
4.2 NFC 개인정보보호 대책 수립 예시
본 논문에서 제안한 NFC 개인정보보호 대책 수립 방법론을 통하여 [표 1]에서 도출된 취약점에 관한 대책은 [표 2]와 같다. 제시된 대책은 개인정보보호 대책 수립 적절성 및 개인정보보호 관련 법률 준수 여부가 고려되었으며, 실제로 일부 대책의 경우 분석된 NFC 서비스에 반영되어 관련된 취약점이 해결되었다.
[표 2] 국내 NFC 서비스 취약점에 따른 대책 예시
V. 결론
NFC 환경에서 개인정보를 보호하기 위하여, 본 논문에서는 개인정보보호 취약점 분석 및 그에 대한 대책을 수립 위한 방법론을 제안하였다. NFC 환경에서 발생할 수 있는 개인정보와 관련된 취약성은 기술적인 측면뿐만 아니라, 관리적·제도적 측면에서도 이루어져야 한다. 특히, 국내의 경우 개인정보보호법의 시행과 함께 법·제도적인 측면에서 개인정보의 관리는 매우 엄격하고 안전하게 다루어져야 할 것이다. 따라서 본 논문에서는 개인정보보호 관련 법·제도 등을 고려하여 NFC 환경에서 안전하게 개인정보가 활용될 수 있도록 방법론을 제안하였다. 4장의 NFC 개인정보보호 방법론 활용방안에서 살펴본 NFC 개인정보 보호 취약점 및 대책은 국내에서 서비스 되고 있는 일부 서비스를 대상으로 도출된 취약점 및 대책의 예시이다. 따라서 예시에 포함되지 않은 NFC 서비스는 도출된 취약점 이외의 다른 취약점이 존재할 수 있으나, 제안된 방법론을 통하여 쉽게 새로운 취약점을 발견하고 그에 대한 대책을 마련할 수 있을 것으로 기대한다.
References
- ISO/IEC, "ISO/IEC 18092, Information technology - Telecommunications and information exchange between systems - Near Field Communication - Interface and Protocol (NFCIP-1)", 2004.
- ISO/IEC, "ISO/IEC 21481, Information technology - Telecommunications and information exchange between systems - Near Field Communication - Interface and Protocol-2 (NFCIP-2)", 2005.
- 법제처, 개인정보보호법, 2011.
- 행정안전부, 한국인터넷진흥원, 공공기관 개인정보 영향평가 수행 안내서(개정판), 2011.
- Ernst Haselsteiner, Klemens Breitfuß, "Security in Near Field Communication( NFC)", Workshop on RFID Security RFIDsec, 2006.
- Michael Roland, Josef Langer, Josef Scharinger, "Security Vulnerabilities of the NDEF Signature Record Type", Workshop on Near Field Communication, 2011.
- 숭실대학교 산학협력단, NFC 개인정보보호 대책 연구, 한국인터넷진흥원, 2012.