블로그

개인정보 보호 문제

로리 맥비티 썸네일
로리 맥비티
2016년 11월 28일 게시
친애하는 존

요즘 소비자들이 관심을 갖는 두 가지 "P"는 성능과 개인 정보 보호입니다. 전자는 점점 더 모바일화되는 세상, 즉 메모리, 컴퓨팅, 네트워크 등의 리소스가 제한된 플랫폼에 의해 주도됩니다. 후자는 침해에 대한 선정적인 뉴스로 인해 소비자들의 인식이 높아져 항상 그러한 편지(또는 이메일)로 이어졌습니다. 그것은 마치 "친애하는 존"에게 보내는 편지와 같으며, 그것을 받으면 마음이 몹시 아플 것입니다.

소비자들은 상호작용하는 브랜드가 개인 정보 보호와 데이터 안전을 보장하기 위해 최선을 다하고 있다는 확신을 원합니다. 우리는 더 빠른 속도를 원하지만, 더 안전한 속도도 원합니다.

대부분의 소비자는 처음부터 보안 프로토콜과 암호화에 대해 자세히 알지 못합니다. 사실, 대부분의 IT 전문가들은 둘의 차이를 말해줄 수 없습니다. 하지만 그들은 특정 암호가 안전하지 않다는 사실(또는 암호가 처음에 안전한 HTTP와 어떻게 관련이 있는지)을 이해할 필요가 없고, CA 신뢰가 어떻게 작동하는지, 중간자 공격이 실제로 어떻게 작동하는지도 이해할 필요가 없습니다. 그들이 알아야 할 것은 여러분이 안전한 거래에 아무도 개입하지 않도록 최선을 다하고 있으며, 그들이 입력하는 모든 편지를 아무도 감시하지 않는다는 것입니다.

PFS가 등장했습니다. 완벽한 전방 비밀성.

물론 PFS는 암호나 알고리즘이 아니라, 키를 처리하는 방법입니다. 이 방식은 세션당 한 번만 생성되는 임시 키(즉, 버릴 수 있는 키)를 사용합니다. 앱 보안 맥락에서 이는 Heartbleed가 공개된 후 중요해졌습니다. 개인 키를 "훔치고" 잠재적으로 거래를 해독할 수 있게 되었기 때문입니다.

PFS는 파티에 한 사람만 사용할 수 있는 일회용 패스코드와 비슷합니다. 모든 사람이 동일한 비밀번호를 사용하는 것이 아니라, 각 사람은 자신만의 개인 비밀번호를 부여받고, 호스트인 본인만이 이를 진짜인지 확인할 수 있습니다. 즉, 밥이 앨리스와 비밀번호 를 공유하더라도 앨리스가 비밀번호를 재사용하고 있기 때문에 그녀가 초대받지 않았다는 것을 알 수 있습니다.

행복한 pfs

소비자에게 데이터 개인 정보 보호에 대한 기업의 의지를 확신시켜 주는 것이 무엇보다 중요합니다.  2016년 베이마드 연구소에서 실시한 이 주제에 대한 설문조사를 생각해 보세요. 결제 중 포기한 이유 중 18%는 "사이트에 내 신용카드 정보를 맡길 수 없어서"라고 답했습니다. 동일한 조사에서 사이트에 표시된 다양한 "인증 마크"에 대한 신뢰도 인식을 테스트했으며, 2016년에 가장 "신뢰"를 불러일으키는 인증 마크가 SSL 인증 마크가 아니라 신뢰 인증 마크였다는 놀라운 사실을 발견했습니다. 이러한 인장은 반드시 업계 표준이거나 인정받는 것은 아니었습니다. 많은 사례는 소비자 데이터와 거래의 안전을 보장하기 위한 회사의 노력을 상징적으로 표현한 것일 뿐입니다.

완벽한 전방 비밀성(PFS)은 "개인적" 특성으로 인해 거래의 안전성을 높여주는 기술적 방법입니다. PFS를 채택하고 기술을 통해 거래 안전성을 높이기 위한 조치를 취했다는 사실을 소비자에게 알리면 더 큰 수준의 신뢰를 얻을 수 있고 포기로 인한 최종 이익에 미치는 부정적 영향을 줄일 수 있습니다.

물론, 기업 측에서 우려하는 점은 안전성을 높이면 성과가 떨어지는 경우가 많다는 것입니다. 결국, 세션별로 키를 생성하는 것은 인프라와 애플리케이션에 부담을 줄 수 있습니다. 그 결과 앱 속도가 느려져 소비자에게 실망감을 주고 수익 손실도 발생합니다.

이를 해결하기 위해 적절한 서비스로 PFS를 구현하는 것이 좋습니다. 이는 서버보다 상위에 있고 소비자 안전을 위해 필요한 까다로운 암호화 계산을 처리하도록 특별히 구축되었기 때문에 더 큰 규모와 성능을 제공합니다. 이처럼 특수 목적으로 구축된 보안 서비스는 계산 속도를 높이고 성능을 개선하는 특수 하드웨어(맞춤형 및 상용 하드웨어 모두)를 활용하도록 설계되어 소비자에게 보다 안전하고 빠른 환경을 보장합니다.

PFS는 소비자뿐만 아니라 기업 자산도 보호하는 좋은 방법입니다. 개인 정보를 얻는 데 드는 비용이 증가하고 공격자에게 덜 매력적인 표적으로 여겨지지만, 동시에 소비자에게는 회사가 최신 기술을 사용하여 개인적이고 사적인 데이터를 안전하게 보호하는 데 관심이 있다는 확신을 줄 수 있습니다.

개인정보 보호도 중요하지만 성과도 중요합니다. 안전을 위해 속도를 희생할 필요는 없습니다. 적절한 아키텍처 위치에 적절한 서비스를 선택하기 위해 구현 과정에서 주의와 고려를 기울이면, 더 높은 보안 표준을 채택하더라도 성능을 유지할 수 있습니다.