-다음과 같이 최근 홈페이지에서 ID/PW 외에 구글, 네이버, 카카오 등을 이용하여 회원인증 사례 다수 존재
-이러한 인증사례는 OAuth 서비스로써 구글, 네이버, 카카오 등에 존재하는 회원 정보를 이용하여 다른 홈페이지나 애플리케이션의 접근권한을 부여 (Authentication+Authorization)
-3rd party 응용프로그램에 인증정보를 제공하고 싶지 않은 경우 활용
-OAuth 1.0은 유저(user), 컨슈머(consumer), 서비스 프로바이더(service provider)으로 구성되어 있으며 구현이 복잡하고 웹이 아닌 어플리케이션에서의 지원이 부족하거나 인증토큰(access token)이 만료되지 않는 등의 단점 존재
-OAuth 2.0은 OAuth 1.0을 개선하여 기능 단순화, 확장성 지원, Https 지원, 다양한 인증방식 지원 등이 가능하도록 개발
Resource owner, Client, Resource Server, Authorization Server로 구성
(개인정보보호 이슈)
-OAuth의 개념 상 많은 담당자들이 3rd party 응용프로그램에서는 개인정보를 수집하지 않는다라고 판단 때문에 개인정보처리방침에 고지 누락 사례가 발생
-하지만 각각의 서비스에 해당한 수집되는 정보는 개인정보처리방침 내 개인정보 수집 목적, 개인정보의 처리 및 보유기간 등에 고지 필요
| 간편인증 유형 | 수집되는 개인정보 |
| 구글 | 이름, 이메일 주소, 언어환경설정, 프로필 사진 |
| 네이버 | 이용자 식별자, 이름 |
| 카카오 | 회원번호 |
| 페이스북 | 이름, 프로필 사진, 이메일 주소 |
'(부제) 나는 CISO 이다 > ISMS-P 인증심사' 카테고리의 다른 글
| (ISMS-P) 개인정보처리자와 정보통신서비스 제공자 범위 (개보법) (0) | 2022.03.21 |
|---|---|
| (ISMS-P) 주요 정보시스템 패치관리 미흡 (0) | 2022.03.18 |
| (ISMS-P) 정보보호 최고책임자 지정 및 신고 대상 기관 (0) | 2022.03.04 |
| (ISMS-P) 정보보호 최고책임자(CISO) 제도 변경 (21년) (0) | 2022.01.25 |
| (ISMS-P) 3.5.3 이용내역 통지 (0) | 2021.12.10 |
댓글