최근 옥션을 비롯한 대형 웹사이트에서 사용자 정보가 유출되어 커다란 문제가 되고 있다.

 

인터넷 상의  대표적 개인 정보 유출 피해 유형과  유출 경로 그리고 현존하는 대책들을 살펴보고, 현존하는 대책들에 존재하는 문제점을 짚어본다.

 

개인정보 유출에 따른 피해 유형은 다음과 같다.

 

명의 도용: 유출된 개인정보 중 주민번호를 타 사이트 가입시 사용

계정 탈취: 대부분의 사용자들이  여러 사이트에서 동일한 id, 패스워드를  사용하므로 유출된 id, 패스워드를 이용하여 타 사이트에 로그인 가능, 로그인 후 악성글 올리기, 상거래 등 여러가지 2차 범죄 발생가능

보이스 피싱: 유출된 전화번호로 보이스 피싱(전화사기)을 통한 2차범죄 

스팸 메일 : 유출된 이메일로 스팸메일 발송

프라이버시 침해: 사생활의 민감한 정보(이메일 내용, ....) 유출로 인한 프라이버시 침해

 

인터넷 상의 개인정보 유출 경로

 

1. 웹사이트 서버의 사용자 DB유출

• 유출 경로 
  • 내부자가 사용자 DB를 악의나 실수로 외부로 유출 시킴
  • 외부의 해커가 침입하여 사용자 DB를 훔침
• 대표 사례 : 옥션, LGT등 최근 크게 문제가 되고 있는 개인정보 유출 유형이다.
• 대응 방안
  • 법제도: DB유출 내부자에 대한 처벌강화, 외부해킹 방지 투자 미비시 처벌 강화
  • 기술적: 내부자 권한관리(접근제어), 해킹방지 (파이어얼, IDS, IPS...)
  • 별도로: 주민번호 대체 수단 적용 -> 웹사이트에 주민번호가 저장되는 것을 막는다
• 검토 사항
  • 자물쇠와 열쇠의 끝없는 전쟁
  • 악의적인 내부자는 결국엔 막을 수 없다
  • 사용자의 정보를 서버에서 맘대로 관리한다는게 근본적 문제
    • 사용자의 정보는 누구의 소유인가?
  • 주민번호 대체수단: 의 id와 패스워드가 아래 수단들에 의해 누출될 경우 -> 피해 규모가 더 커진다.

2. 피싱 사이트

• 유출 경로 
  • 피싱사이트로 유도후 id, 패스워드, 기타 개인정보를 입력하게 함
• 대표 사례 : 이베이 피싱, 웹사이트에서 문제가 생겼거나, 금전적 이익을 준다고 유혹
• 대응 방안
  • 법제도: 처벌강화 (잡기도 어렵고,, 공통적인 얘기니 이후 생략)
  • 기술적: 피싱 방지 솔루션 (네가티브 리스트, 포지티브 리스트 방식, 사용자 개입요구)
• 검토 사항
  • 사용자의 판단을 요하는 피싱 방지 솔루션의 효용성 (피싱은 사용자의 판단
  • 사용자의 정보를 서버에서 맘대로 관리한다는게 근본적 문제
    • 사용자의 정보는 누구의 소유인가?

 

3. 스파이웨어/네트웍스니핑

 

• 유출 경로 
  • 사용자 PC에 설치된 스파이웨어에서 사용자가 키보드로 입력하는 id, 패스워드 혹은 파일에 저장된 정보 훔쳐 내기
  • 네트웍으로 전송되는 id, 패스워드, 개인정보 도청
• 대응 방안
  • 스파이웨어 탐지 : 일종의 백신 개념
  • 스파이웨어 방지 : 키보드 해킹방지 솔루션 
  • 전송정보 암호화 : 네트웍 스니핑 대응
• 검토 사항
  • 스파이웨어 방어는 쉽지 않다.
  • 스니핑은 암호화만하면 막을 순 있으나, 이런 류의 공격은 흔하지 않다.

4. 패스워드 게싱 공격

• 유출 경로 
  • 특정 사이트에서의 사용자의 id, 패스워드를 획득하기 위해 다양한 패스워드를 시도해보는 것 (brute-force attack) 
• 대표 사례
  • 게임사이트에 대한 게싱 공격이 많다. 일단 id, 패스워드를 획득하고 나면 얻을 수 있는 이익 (게임 아이템 등)이 있기 때문. 금융사이트의 경우  id, 패스워드 만으로는 금융거래가 안되기 때문에 (추가적 보안수단요구, 인증서, OTP등) 오히려 이런류의 공격은 적다 
• 대응 방안
  • 계정 locking : 일정회수 패스워드가 틀리면 로그인을 못하게 막아버리는 방법, 정상적 사용자에게 불편을 주기 때문에 잘 안쓰임
  • 복합문자열 추가: 게싱공격자체가 프로그램을 통해 자동적으로 이뤄지므로, 이를 막기 위해, 웹사이트 가입시 일부사이트에서 요구하는 것 처럼, 화면에 문자열을 출력하고, 이를 읽어서 입력토록하는 추가 인증수단 적용
  • 강한 인증 적용: strong authentication 의 적용으로 많은 문제 해결.. 그러나 돈이 든다.
• 검토 사항
  • 사용자 불편문제가 중요
  • 돈안들이고 해결하기가 쉽지 않음

   

블로그 초보가 느낀 점 에서 블로깅 초기의 느낀 아쉬운 기능들을 쓴 적이 있다.

현재 내가 활동적인 블로거는 아니지만, 여기에 전문분야, 네이버에 낙서장 같은거, 싸이월드에 신변잡기를 올리고 있고 클럽(카페)활동은 한 두군데 하고 있다.

아직 원시인을 많이 탈피 못했으므로, 카페가 익숙하긴 하다.

문제는 상호 연계와 통합이다. 물론 각 채널 별로 다른 context와  identity, networking을 갖는다.

그렇지만, 클럽에 포스팅한 것을 싸이홈피에도 넣고 싶고, 네이버 블로그에도 올리고 싶다.

요컨대 내가 운영중인 3개의 개인 미디어와, 2개의 까페의 통합, 연계등을 고민하는 것이다.

이들은 내가 글을 쓰고 있는 것을 의미하고 단지 롬당만하는 여러개의 채널들이 있다. 홈피(카페도, 블로그도 아님), 뉴스채널, 블로그, 남의 싸이 홈피 등도 많다.

롬당만으로도 RSS 리더만 갖고 안된다. RSS를 지원하지 않는 채널들이 너무 많다.

롬당의 문제는 또 다른 차원이므로 잠시 접어두고..

내가 글을 올리는 5개의 채널에 대해 고민해 보자.

클라우드가 이것의 해답이 될 수 있을까? 3년 전의 고민을 앞으로 계속이어가 본다

인터넷 ID관리 솔루션 들은 크게 다음과 같은 것들이 있다.

• Microsoft .Net Passport  (LiveID)  => 통합 인증서버 
• 전세계에 하나의 인증서버를 두고, 여기에 등록해서 id를 만든 뒤 그 id를 이용해서 Passport 서비스에 가맹한 사이트를 모두 이용할 수 있도록 해주는 개념이다. 
• 가맹한 웹사이트에 방문해서 "Passport로 로그인" 버튼을 누르면 passport 로그인 창이 뜨고 여기서 passport id를 사용해서 로그인하면 해당 사이트에 로그인 된다.
• 가맹웹사이트에서는 패스포트에게 인증확인을 요청하고, 패스포트는 로그인을 확인후 응답을 주는 방식으로  인증 대행이 이루어 진다.
• 한번 로그인하면 그 뒤엔 "Passport로 로그인" 버튼을 누르기만 하면 로그인이 된다.
• 윈도우 계정과 passport를 연계해서 로그인할 수 있다. 즉 윈도우 로그인만 하면 passport 로그인이 같이되는 것이다.
• 별로 많은 가맹사이트를 모으지 못해 실패한것으로 판정되었으나, MSN 메신저를 가맹사이트에 하나로 두어 여기서는 계속 사용되고 있고 가입자는 3억8천만명에 이르는 세계 최대 규모의 인터넷 ID관리 솔루션이다.
• 폐쇄성, 독점성, 보안상의 취약, 유료가맹비 등으로 많은 비판을 받았으나. 최근 LiveID라는 명칭으로 변경되고 무료가맹에, 가맹자용 툴킷을 공개하여 다른 국면을 맞이 하고 있다.

 

• OpenID   => url기반 솔루션
  • Url-based 솔루션의 대표 주자이다.
  • Passport와 달리 누구나 인증서비스 제공자가 될 수 있다. 심지어 사용자 자신이 만들어서 사용할 수 있다.
  • 인증서비스제공자를 찾아기 위해 id에 url을 붙여서 id를 만든다. 
  • 웹사이트에 방문해서 url이 포함된 id를 입력하면, 웹사이트는 url을 이용, 해당 인증서비스 제공자를 찾아가서 인증확인을 요청한다.
  • 사용자는 인증서비스 제공자에서 로그인하면 인증결과를 웹사이트로 돌려준다. 이런식으로 웹사이트에 로그인하게 된다.
  • 핵심은 id에 url이 포함되어 있기때문에 인증서비스 제공자와 웹사이트간의 사전 가맹관계가 없어도 인증대행서비스가 가능하다는 점이다.
  • 최근 많은 사용자와 웹사이트를 확보하고 있다. 전세계적으로 5천개 이상의 웹사이트에서 사용가능하다고 한다.

 

• Microsoft Cardspace => Client side 솔루션
  • Client 기반 솔루션의 대표주자이다 (PC에 설치된 프로그램을 이용한 인터넷 ID관리)
  • Client기반 솔루션은 웹사이트에 등록된 id와 패스워드를 클라이언트마다 저장해 두고 로그인시 자동 입력해주는 방식으로 로그인 및 패스워드관리 문제를 해결하고, 개인정보도 저장해 두었다가 자동입력해주는 방식으로 동작한다.
  • 이방식의 장점은 웹사이트를 수정할 필요가 없다는 것이다.
  • Microsoft에서 Windows Vista에 탑재해 출시한 Cardspace는 이러한 client기반 솔루션중 하나인데, 웹사이트를 수정할 필요가 있는 점이 특이하다.
  • Cardspace는 저장된 id/pw 혹은 개인정보를 카드의 형태로 사용자에게 보여준다.
  • 사용자는 카드를 이용해서 웹사이트에 가입하고 로그인하고 이용하게 된다.
  • 카드 중 어떤 것은 다른 웹사이트에서 발급해 준 것이다. 즉 다른 웹사이트에 발급된 정보가 사용자를 거쳐, 웹사이트에 전송될 수 있는 것이다.  
  • 이를 통해, 인증대행이라든지, 사용자 정보 전송을 달성할 수 있다.

 

• EIDMS  => id 연계  기반 솔루션
• Liberty는 원래 조직(기업)간 id연계를 위해 개발된 기술이다
• 양쪽이 한 사람에 대한 id를 상호 연계하면, 한쪽에서 로그인후 다른쪽에는 추가로그인없이(인증확인을 통해) 이용할 수 있고, 한쪽에서 다른쪽에게 그 사람에 대한 개인정보를 전송해서 이용할 수 있게 된다.
• 한사람이 두개 사이트에 보유한 서로다른 id연계를 통해 이러한 목적을 달성할 수도 있고, 한사람이 하나의 유일한 id만을 사용함을 통해 달성할 수도 있다. Liberty는 둘중에 id 연계에 기반한 솔루션이다.
• 이렇게 조직간 id 연계를 위해 개발된 기술을 인터넷 ID관리에 적용하여 이용하는 솔루션 중 대표적인 것은 ETRI에서 개발한 EIDMS이다.
• EIDMS에서는 인증대행 및 사용자 정보를 제공하는 IDP가 있고, IDP와 ID 연계를 통해 인터넷 ID 서비스를 이용하는 가맹 웹사이트인 SP가 있다.
• IDP와 SP는 각각 개별적으로 사용자 관리(id, 개인정보 등록등)를 수행하지만, id연계를 통해 IDP에서 로그인한 사용자가 가맹SP에서 추가적 로그인없이 사용할 수 있는 SSO를 이용할 수도 있고, IDP 나 타 SP에 저장된 사용자 정보를 서로 교환할 수도 있다.

위의 4가지 유형에 포함되는 몇가지 솔루션들이 더 있지만 대표적인 것들은 위와같다.


 

• Enterprise I&AM  (Identity & Access Management)
  Enterprise I&AM 은 하나의 조직(기업 등)에서 사용하는 ID 및 권한관리 솔수션이다. 다루고 있는 문제는 인터넷 ID의 그것과 유사하나 대상이 조직내부 또는 조직내부와 외부의 연동에 촛점을 맞추고 있다.

• 조직 내의 신규 진입자에게 각 정보시스템 (인트라넷, 인사관리, 등등)에 id 생성 및 초기 정보 등록 -> provisioning
• 여러 개의 정보시스템에서 사용하는 패스워드 또는 추가적인 강력한 인증수단 (pki, 생체등)의 관리 -> password management, strong authentication
• 한번 로그인으로 여러 정보시스템을 추가 로그인 없이 이용하기 -> single sign on
• 각 정보시스템에서의 사용자의 이용권한을 관리 -> access management
• 조직 내부의 시스템들 간  (커다란 조직의 경우) 또는 타 조직의 시스템 간의 sso나 타 조직에서 접근해온 사용자에 대한 권한관리 등을 위한 id 연계  -> id federation
• ID관리 전반에 대한 감사 기록 -> audit
• 다음 그림은 Enterprise ID관리의 구성요소를 나타낸 것

          

• Enterprise I&AM과 인터넷 ID 관리의 차이점
  • EIAM은 단일 기업(조직)에 도입되는 단위의 솔루션이다.
  • 기업 내에서 id관리에 따른 비용절감을 목적으로 한다.
  • 기업 내에 사용되는 정보시스템을 대상으로 하므로 권한관리나 감사기록의 보안성에 많은 초점이 맞춰져 있다.
  • 기업들이 도입할 동기가 분명하므로, 큰 시장이 형성되어 있고, 도입도 활발하고 그만큼 많은 솔루션들이 출시되어 있다.

 

 

• 인터넷 상의 identity관련 문제는 다음과 같다.
• 웹사이트에 새로 가입할 때 id,패스워드 등록 및 개인정보 입력 불편
• 반복되는 로그인 및 사용되는 패스워드 기억 불편
• 등록한 개인정보나 id, 패스워드의 안전성 문제
• 한곳에서 생성된 개인정보를 다른 사이트에서 이용할 수 없는지..
• 등록해 놓은 개인정보가 변경되었을 때 반영 방법(예, 주소변경)

 

International Journal

l  "Efficient and Secure Self-organized Public Key Management for Mobile Ad hoc Networks", Daeseon Choi, Younho Lee, Yongsu Park, Seunghun Jin, Hyunsoo Yoon, IEICE Transaction on Communications, Vol.E91-B, No.11, Nov. 2008

l  "An Efficient Trust Evaluation in Ad Hoc Network", Seunghun Jin, Chanil Park, Daeseon Choi, Kyoil Jung, Hyunsoo Yoon, ETRI Journal Vol.27, No. 4, August 2005

 

International Conference

l  "An User Friendly Internet Identity Management System", Daeseon Choi, Seunghun Jin, Hyunsoo Yoon,  ICACT 2008, Korea, Feburary, 2008

l  "Personalized Identity Agent for User-Centric IdM", Seunghyun Kim, Hankyu Ko, Daeseon Choi, Suehyung Kim, Seunghun Jin, ICACT 2008, Korea, Feburary, 2008

l  "Trust Management for User-Centric Identity Management on the Internet", Daeseon Choi, Seunghun Jin, Hyunsoo Yoon, ISCE2007, USA, June, 2007

l  "Identity Centric Management of Distributed UCC", Daeseon Choi, Seunghun Jin, Hyunsoo Yoon, IUC2006, Korea, December 2006
l  "A Personal Information Leakage Prevention Method on the Internet", Daeseon Choi, Seunghun Jin, Hyunsoo Yoon, ISCE2006, Russia, June 2006

l  "A Method for Preventing the leakage of the Personal Information on the Internet", Daeseon Choi, Seunghun Jin, Hyunsoo Yoon, ICACT2006, Korea, January 2006

l  "Reputation based public key management for mobile ad hoc network", Daeseon Choi, Seunghun Jin, Hyunsoo Yoon, The 8th World Multiconference on Systemics, Cybernetics and Informatics, USA, July 2004

l  "Single Sign On and Access Control for network security service", Taesung Kim, Jonghyuk Roh, Daeseon Choi, Youngsub Cho, Seunghun Jin, The 8th World Multiconference on Systemics, Cybernetics and Informatics, USA, July 2004

l  "Fully Self Organized Public Key Management for Mobild Adhoc Network", Daeseon Choi, Seunghun Jin, Hyunsoo Yoon, PARA'04 Workshop on State-of-the-art in Scientific Computing, Denmark, June 2004

l  "A Location Privacy Protection Mechanism for Smart Space", Youngsub Cho, Sangrae Cho, Daeseon Choi, Seunghun Jin, Kyoil Jung, Chihang Park, LNCS 2908: Information Security Applications, March 2004

l  "A Location Privacy Protection Mechanism for Smart Space", Youngsub Cho, Sangrae Cho, Daeseon Choi, Seunghun Jin, Kyoil Jung, Chihang Park, WISA2003, Korea, August 2003

l  "New Security Paradigm for Application Security Infrastructure", Seunghun Jin, Sangrae Cho, Daeseon Choi, Jaechul Ryu, ICOIN 2003, Korea, Feburary 2003

l  "An Information Security Model for the Next Generation Application Service", Daeseon Choi, Sangrae Cho, Seunghun Jin, Kyoil Jung, IWAP 2002, Taiwan, October 2002

l  "A Wireless PKI System Using Password Based MAC", Daeseon Choi, Heesun Kim, Taesung Kim, Jonghyuk Roh,  Youngsub Cho, Seunghun Jin, IWAP 2001, Korea, October 2001

 

Domestic(KOREA)

l  "인터넷 개인 정보 유출과 전자ID지갑", 주간기술동향, IITA, 2008년 1월

l  "url-based Identity Management 기술동향", 최대선, 진승헌, 주간기술동향, IITA, 2007년 5월

l  "인터넷 개인정보 유출 차단기술" 최대선, 진승헌, 윤현수, NCS 2005 논문집, 2005년 12월

l  "인터넷 개인정보 유출 차단 방법" 최대선, 진승헌, 윤현수, 정보보학회 동계학술대회 논문집, 2005년 12월

l  "인터넷 ID관리 서비스", 최대선, 진승헌, 정교일, ETRI 전자통신동향분석, 2005년 2월

l  "인터넷 SSO를 위한 Federated Identity 기술", 조영섭, 최대선, 김태성, 진승헌, 차세대 통신소프트웨어학술대회 논문지, 2004년 12월

l  "인터넷 ID관리 서비스" , 정보보호학회지, 최대선, 조상래, 김승현, 진승헌, 정교일, 2004년 11월

l  "P2P를 이용한 전자거래 프라이버시 보장 기법", 최대선, 조상래, 진승헌, 여광재, 2003 정보과학회 충청지부 추계학술대회, 2003년 12월

l  "프라이버시 보장형 P2P 상거래 시스템", 최대선, 진승헌, 윤현수,  통신소프트웨어 학술대회논문집, 2003년 7월

l  "공인 Web SSO 도입 방안에 관한 연구", 최대선, 김태성, 진승헌, 정보과학회 춘계학술대회 논문집, 2003년 4월

l  "통합 어플리케이션 정보보호 기반구조", 최대선, 진승헌, 정교일, 정보보호학회 학회지 제12권 5호, 2002년 11월

l  "SAML기반의 SSO및 B2B", 최대선, 진승헌, 한국정보처리학회 추계학술대회 논문집, 2002년 12월

l  "TSP SDK 구현", 원형석, 노종혁, 최대선, 진승헌, 한국정보과학회 추계학술대회 논문집, 2002년 10월

l  "통합형 암호API의 설계와 구현", 김태성, 노종혁, 최대선, 원형석, 진승헌, 한국정보과학회 학술대회, 2002년 10월

l  "차세대 어플리케이션 서비스를 위한 정보보호 모델", 최대선, 김태성, 조상래, 진승헌, 정보보호학술발표회논문집, 2002년 7월

l  "Collaboratvie VA모델”,  노종혁, 김태성, 최대선, 진승헌, 정교일, 2001정보과학회 추계 학술발표논문집: pg 751-753(2001년 10월 20일)

l  “WAP을 위한 무선 PKI 시스템 개발”, 최대선, 김희선, 조영섭, 진승헌, 조현숙, 정보보호와 암호에 관한 학술대회(WISC2001) 논문집: pg 692-703(2001년 9월 7일)

l  “통합형 global 공개키 기반구조 시스템”, 김태성, 노종혁, 최대선, 조영섭, 진승헌,통신소프트웨어 학술대회 논문집: (2001년7월 26일)

l  “Attribute Certificate과 PMI모델”, 조영섭, 최대선, 진승헌, 정교일,한국통신학회 하계 종합학술대회 논문집: pg 1933-1936 (2001년 7월 6일)

l  “속성인증기술과 PMI”,      조영섭, 최대선, 진승헌, 윤이중,한국통신정보보보학회 학회지: (2000년 12월 12일)

l  “ETRI CMS의 인증기관 운영 모델과 정책 관리”, 조상래, 최대선, 진승헌, 윤이중, 정보보호학술 발표회 논문집: (2000년11월 3일)

l  “ETRI CMS”, 최대선,조영섭,진승헌,윤이중,정보보호학술 발표회 논문집: (2000년11월 3일)

 

Current Project

       자기통제강화형 전자ID지갑 시스템 개발                   2007.4 ~ 현재    지식경제부



Accomplished Projects

@ ETRI

• e-identity 보호용 공통보안서비스 플랫폼 개발       2004.3 ~ 2007.2    정보통신부
• 능동형 보안관리시스템 기술 개발                        2003.1 ~ 2003.12   정보통신부
• 통합형 Global PKI 기술 개발                              2001.1 ~ 2003.12   정보통신부
• 무선인터넷 정보보호시스템 개발                         2000.4 ~ 2001.4    정보통신부
• 금융망보안대책 및 인증서버개발                         1999.7 ~ 2000.10   증권전산, 금융결제원
• 전자보증서기반 정보보호시스템개발                    1999.7 ~ 2000.12   정보통신부

@ Hyundai

• 신공항경비보안시스템                       1999.3 ~ 1999.6     신공항건설공단
• 육군 Wargame 시스템                       1998.12~1999.2     육군교육사령부 
• 체신금융분산시스템                          1998.1 ~ 1998.10   정보통신부
• 한국전력 네트웍관리시스템                1997.11~1998.1     한국전력
• 현대자동차 SNA gw 시스템               1997.6 ~ 1997.10    현대자동차

@ POSTECH

• 철강특허 정보검색 시스템                 1995.2 ~ 1997.2     포항제철
• 한국어 형태소 분석기 개발                1995.2 ~ 1996.2     한국과학재단

@ ETRI

- Information Security
- Privacy Protection
- Identity Management
- Public Key Infrastructure

@ KAIST

- Ad hoc Network Security
- Sensor Network

@ Hyundai

- Middle ware
- SNA network

@ POSTECH

- Natural Language Processing
- Information Retrieval

@ Personal interests

- Web 2.0
- Customized Service
- Personal Information Service

 

• 1999 ~ Present    Senior Research Staff, Information Security Div., ETRI 
• 1998 ~ 1999       Software Engineer, Hyundai Information Technology 
  1997 ~ 1998       Software Engineer, Hyundai Electronics 
• 2009                   Ph. D. Computer Science Div. EECS Dept, KAIST
  1997                   M.S. Computer Science, POSTECH
• 1995                   B.S. Computer Scient, Dongguk Univ. 

• Address            Information Security Div., ETRI
                         161 Kajung-dong, Yusung-gu, Taejeon, 305-350, KOREA   
• E-Mail               sunchoi AT etri re kr
• Phone               82-42-860-I3O8
• Fax                   82-42-860-5611

 

Source: User Centric Identity #1 by HP's Archie Reed

Summary

User Centric Identity Challenge 는  개인정보 수집자 (Aggregatior) Choicpoint, Lexis 같은 회사들이 규제와 관계없이 활동중 (KT 소디스 비슷하군)

저자의 제안은

- User experience : microsoft's cardspace 와 sxip solution  -> 다만 현재의 규제(금융권 인증 방법)가 Identity관련 기능을 분리하여 일관된 UE를 제공하는데 장애물이 되고 있음

- Privacy Management : User centric data 에 대한 privacy policy insurance 측면에서 접근하고 있다. (정작 hp솔루션은 개인이 아닌 조직 단위 정책 설정 기능 밖에 없는 모양)

Comment

포커스가 안맞는 엉뚱한 글. HP 솔루션을 설명하기 위해, 엉뚱한 도입부를 갖고 있음

HP의 privacy management는 ETRI의 privacy controller 개념과 유사함

정책기반 centralized privacy management에 대한 필요성이 부각되고 있는 듯하고, ETRI의 현재까지 개발 방향은

매우 타당한 것으로 생각됨

Idea

??