프라이버시 강화 연합 신원 관리 모델

초록

본 논문은 연합 신원 관리 환경에서 서비스 제공자 간 사용자 데이터 연계와 관찰을 차단하기 위한 세 가지 프라이버시 요구사항(링크 제한, 관찰 제한, 비공개)을 정의하고, 허브‑스포크 구조와 서비스 브로커를 활용한 기술적 제어 방안을 제시한다.

상세 분석

이 논문은 기존 연합 인증 프로토콜(SAML, OpenID Connect 등)이 사용자 식별자를 직접 전달하거나 중앙 아이덴티티 제공자(IdP)가 서비스 제공자(SP)와의 상호작용을 완전하게 추적할 수 있다는 점을 문제시한다. 이를 해결하기 위해 저자는 ‘제한된 링크 가능성(Limit d Linkability)’, ‘제한된 관찰성(Limited Observability)’, ‘비공개(Non‑Disclosure)’라는 세 가지 핵심 프라이버시 목표를 설정한다. 첫 번째 목표는 두 SP가 제3자(서비스 브로커)의 개입 없이는 동일 사용자를 연결할 수 없도록, 사용자마다 SP별 일회성 페어와이즈 가명(pseudonym)을 생성한다는 것이다. 두 번째 목표는 IdP가 사용자가 어떤 SP에 접근했는지를 알 수 없게 하기 위해, 인증 흐름에 중간 브로커를 삽입하고, 인증 토큰에 최소한의 메타데이터만 포함시킨다. 세 번째 목표는 속성 제공자(Attribute Provider, AP)가 SP에 제공하는 속성값을 IdP가 볼 수 없도록, 속성을 암호화하거나 ‘암호화된 어트리뷰트 토큰(Encrypted Attribute Token)’ 형태로 전달한다. 기술적으로는 (1) SAML Assertion에 포함되는 SubjectIdentifier를 SP‑전용 해시값으로 변환하고, (2) 토큰 서명에 사용되는 키를 브로커가 관리하며, (3) 속성 암호화에선 공개키 기반 암호화(PKE)를 활용해 AP가 SP의 공개키로 속성을 암호화하고, IdP는 해당 암호문을 해독할 권한이 없도록 설계한다. 또한, 사용자 동의 관리 모듈을 도입해 속성 제공 전 사용자에게 명시적 동의를 요구하고, 동의 로그를 투명하게 기록한다. 논문은 이러한 설계가 GDPR·CCPA 등 데이터 보호 규제와 일치함을 강조하고, 성능 평가에서는 인증 지연이 기존 방식 대비 10~15% 정도 증가하지만, 프라이버시 보호 효과가 크게 향상된다고 결론짓는다.