▲ 디지털 ID 산업의 발전 전략 [출처=iNIS]디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등 다양하다.산업단체와 포럼은 공식적으로 표준화 조직으로 간주되지 않지만 디지털 ID 영역을 포함한 특정 영역에서는 사실상의 표준을 제공하고 있다.몇몇의 경우 이들 단체들이 추가 비준을 위해 자신들이 생산한 사양을 ISO/IEC, ITU 통신 표준화 부문(ITU-T), ETSI 등 표준 기관에 제출할 수 있다.이러한 산업단체 및 포럼에는 △인증기관브라우저 포럼(Certification Authority Browser Forum,  CA/Browser Forum) △클라우드 서명 컨소시엄(Cloud Signature Consortium, CSC) △국제자금세탁방지기구(Financial Action Task Force, FATF) △신속온라인인증(Fast Identity Online, FIDO) △국제인터넷표준화기구(Internet Engineering Task Force, IETF) △구조화 정보 표준 개발기구(오아시스)(Organization for the Advancement of Structured Information Standards, OASIS) △오픈ID(OpenID) △SOG-IS(Senior Officials Group-Information Systems Security) △W3C(World Wide Web Consortium) 등이다.오픈ID(OpenID)는 개인 및 기업의 비영리 국제 표준화 조직으로 OpenID(개방형 표준 및 분산 인증 프로토콜)를 활성화, 홍보, 보호하기 위해 노력하고 있다.오픈ID 코넥트 코어(OpenID Connect Core)는 핵심 OpenID 기능을 정의하고 있다. OpenID 기능은 OAuth 2.0 기반에 구축된 인증과 최종 사용자에 대한 정보를 전달하기 위한 클레임의 사용이다.추가적인 기술 사양 문서는 검증 가능한 자격 증명 및 검증 가능한 프리젠테이션의 발급을 확장하기 위해 작성됐다. 또한 OpenID Connect 사용에 대한 보안 및 개인 정보 보호 고려 사항에 대해 설명하고 있다.아래는 오픈ID가 발행한 'OpenID Connect Core 1.0 incorporating errata set 1' 목차 내용이다.■목차(Table of Contents)1. Introduction1.1. Requirements Notation and Conventions1.2. Terminology1.3. Overview2. ID Token3. Authentication3.1. Authentication using the Authorization Code Flow3.1.1. Authorization Code Flow Steps3.1.2. Authorization Endpoint3.1.2.1. Authentication Request3.1.2.2. Authentication Request Validation3.1.2.3. Authorization Server Authenticates End-User3.1.2.4. Authorization Server Obtains End-User Consent/Authorization3.1.2.5. Successful Authentication Response3.1.2.6. Authentication Error Response3.1.2.7. Authentication Response Validation3.1.3. Token Endpoint3.1.3.1. Token Request3.1.3.2. Token Request Validation3.1.3.3. Successful Token Response3.1.3.4. Token Error Response3.1.3.5. Token Response Validation3.1.3.6. ID Token3.1.3.7. ID Token Validation3.1.3.8. Access Token Validation3.2. Authentication using the Implicit Flow3.2.1. Implicit Flow Steps3.2.2. Authorization Endpoint3.2.2.1. Authentication Request3.2.2.2. Authentication Request Validation3.2.2.3. Authorization Server Authenticates End-User3.2.2.4. Authorization Server Obtains End-User Consent/Authorization3.2.2.5. Successful Authentication Response3.2.2.6. Authentication Error Response3.2.2.7. Redirect URI Fragment Handling3.2.2.8. Authentication Response Validation3.2.2.9. Access Token Validation3.2.2.10. ID Token3.2.2.11. ID Token Validation3.3. Authentication using the Hybrid Flow3.3.1. Hybrid Flow Steps3.3.2. Authorization Endpoint3.3.2.1. Authentication Request3.3.2.2. Authentication Request Validation3.3.2.3. Authorization Server Authenticates End-User3.3.2.4. Authorization Server Obtains End-User Consent/Authorization3.3.2.5. Successful Authentication Response3.3.2.6. Authentication Error Response3.3.2.7. Redirect URI Fragment Handling3.3.2.8. Authentication Response Validation3.3.2.9. Access Token Validation3.3.2.10. Authorization Code Validation3.3.2.11. ID Token3.3.2.12. ID Token Validation3.3.3. Token Endpoint3.3.3.1. Token Request3.3.3.2. Token Request Validation3.3.3.3. Successful Token Response3.3.3.4. Token Error Response3.3.3.5. Token Response Validation3.3.3.6. ID Token3.3.3.7. ID Token Validation3.3.3.8. Access Token3.3.3.9. Access Token Validation4. Initiating Login from a Third Party5. Claims5.1. Standard Claims5.1.1. Address Claim5.1.2. Additional Claims5.2. Claims Languages and Scripts5.3. UserInfo Endpoint5.3.1. UserInfo Request5.3.2. Successful UserInfo Response5.3.3. UserInfo Error Response5.3.4. UserInfo Response Validation5.4. Requesting Claims using Scope Values5.5. Requesting Claims using the "claims" Request Parameter5.5.1. Individual Claims Requests5.5.1.1. Requesting the "acr" Claim5.5.2. Languages and Scripts for Individual Claims5.6. Claim Types5.6.1. Normal Claims5.6.2. Aggregated and Distributed Claims5.6.2.1. Example of Aggregated Claims5.6.2.2. Example of Distributed Claims5.7. Claim Stability and Uniqueness6. Passing Request Parameters as JWTs6.1. Passing a Request Object by Value6.1.1. Request using the "request" Request Parameter6.2. Passing a Request Object by Reference6.2.1. URL Referencing the Request Object6.2.2. Request using the "request_uri" Request Parameter6.2.3. Authorization Server Fetches Request Object6.2.4. "request_uri" Rationale6.3. Validating JWT-Based Requests6.3.1. Encrypted Request Object6.3.2. Signed Request Object6.3.3. Request Parameter Assembly and Validation7. Self-Issued OpenID Provider7.1. Self-Issued OpenID Provider Discovery7.2. Self-Issued OpenID Provider Registration7.2.1. Providing Information with the "registration" Request Parameter7.3. Self-Issued OpenID Provider Request7.4. Self-Issued OpenID Provider Response7.5. Self-Issued ID Token Validation8. Subject Identifier Types8.1. Pairwise Identifier Algorithm9. Client Authentication10. Signatures and Encryption10.1. Signing10.1.1. Rotation of Asymmetric Signing Keys10.2. Encryption10.2.1. Rotation of Asymmetric Encryption Keys11. Offline Access12. Using Refresh Tokens12.1. Refresh Request12.2. Successful Refresh Response12.3. Refresh Error Response13. Serializations13.1. Query String Serialization13.2. Form Serialization13.3. JSON Serialization14. String Operations15. Implementation Considerations15.1. Mandatory to Implement Features for All OpenID Providers15.2. Mandatory to Implement Features for Dynamic OpenID Providers15.3. Discovery and Registration15.4. Mandatory to Implement Features for Relying Parties15.5. Implementation Notes15.5.1. Authorization Code Implementation Notes15.5.2. Nonce Implementation Notes15.5.3. Redirect URI Fragment Handling Implementation Notes15.6. Compatibility Notes15.6.1. Pre-Final IETF Specifications15.6.2. Google "iss" Value15.7. Related Specifications and Implementer's Guides16. Security Considerations16.1. Request Disclosure16.2. Server Masquerading16.3. Token Manufacture/Modification16.4. Access Token Disclosure16.5. Server Response Disclosure16.6. Server Response Repudiation16.7. Request Repudiation16.8. Access Token Redirect16.9. Token Reuse16.10. Eavesdropping or Leaking Authorization Codes (Secondary Authenticator Capture)16.11. Token Substitution16.12. Timing Attack16.13. Other Crypto Related Attacks16.14. Signing and Encryption Order16.15. Issuer Identifier16.16. Implicit Flow Threats16.17. TLS Requirements16.18. Lifetimes of Access Tokens and Refresh Tokens16.19. Symmetric Key Entropy16.20. Need for Signed Requests16.21. Need for Encrypted Requests17. Privacy Considerations17.1. Personally Identifiable Information17.2. Data Access Monitoring17.3. Correlation17.4. Offline Access18. IANA Considerations18.1. JSON Web Token Claims Registration18.1.1. Registry Contents18.2. OAuth Parameters Registration18.2.1. Registry Contents18.3. OAuth Extensions Error Registration18.3.1. Registry Contents19. References19.1. Normative References19.2. Informative ReferencesAppendix A. Authorization ExamplesA.1. Example using response_type=codeA.2. Example using response_type=id_tokenA.3. Example using response_type=id_token tokenA.4. Example using response_type=code id_tokenA.5. Example using response_type=code tokenA.6. Example using response_type=code id_token tokenA.7. RSA Key Used in ExamplesAppendix B. AcknowledgementsAppendix C. Notices§ Authors' Addresses

▲ 디지털 ID 산업의 발전 전략 [출처=iNIS]디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등 다양하다.산업단체와 포럼은 공식적으로 표준화 조직으로 간주되지 않지만 디지털 ID 영역을 포함한 특정 영역에서는 사실상의 표준을 제공하고 있다.몇몇의 경우 이들 단체들이 추가 비준을 위해 자신들이 생산한 사양을 ISO/IEC, ITU 통신 표준화 부문(ITU-T), ETSI 등 표준 기관에 제출할 수 있다.이러한 산업단체 및 포럼에는 △인증기관브라우저 포럼(Certification Authority Browser Forum,  CA/Browser Forum) △클라우드 서명 컨소시엄(Cloud Signature Consortium, CSC) △국제자금세탁방지기구(Financial Action Task Force, FATF) △신속온라인인증(Fast Identity Online, FIDO) △국제인터넷표준화기구(Internet Engineering Task Force, IETF) △구조화 정보 표준 개발기구(오아시스)(Organization for the Advancement of Structured Information Standards, OASIS) △오픈ID(OpenID) △SOG-IS(Senior Officials Group-Information Systems Security) △W3C(World Wide Web Consortium) 등이다.구조화 정보 표준 개발기구(Organization for the Advancement of Structured Information Standards, OASIS)는 공급업체와 사용자의 컨소시엄으로 시작됐다.오늘날 사이버보안(cybersecurity), 블록체인(blockchain), 사물인터넷(internet of things, IoT), 비상 경영(emergency management), 클라우드 컴퓨팅(cloud computing) 등 프로젝트를 발전시키는 대규모 비영리 표준 조직이다.오아시스는 '디지털 서명 서비스 핵심 프로토콜, 요소, 바인딩'과 같은 디지털 서명과 관련된 프로토콜, 프로필 등 기술 사양을 개발해왔다.오아시스는 ISO에 협력하고 있는 조직으로 각 기술위원회(TC) 또는 분과위원회(SC)가 다루는 문제에 대해 기술위원회(TC) 또는 분과위원회(SC)의 업무에 효과적으로 기여하는 조직(A liaisons)이다.기여하고 있는 기술위원회 및 분과위원회는 다음과 같다.▷ISO/IEC JTC 1/SC 6 시스템 간 통신 및 정보 교환▷ISO/IEC JTC 1/SC 34 문서 설명 및 처리 언어▷ISO/IEC JTC 1/SC 38 클라우드 컴퓨팅 및 분산 플랫폼▷ISO/IEC JTC 1/SC 40 IT 서비스 관리 및 IT 거버넌스▷ISO/TC 12 수량 및 단위▷ISO/TC 37 언어 및 용어▷ISO/TC 37/SC 5 번역, 통역 및 관련 기술▷ISO/TC 46/SC 4 기술적 상호 운용성▷ISO/TC 154 상업, 산업 및 행정 분야의 프로세스, 데이터 요소 및 문서▷ISO/TC 184/SC 4 산업 데이터▷ISO/TC 211 지리정보/지리학또한 오아시스는 2005년 10월 21일 Working Draft 34에서 Digital Signature Service Core Protocols, Elements, and Bindings Version 1.0을 발표했다.이후 2019년 12월 11일 'Digital Signature Service Core Protocols, Elements, and Bindings Version 2.0 Committee Specification 02'가 발표됐다.버전 2.0의 목차를 살펴보면 다음과 같다.■목차(Table of Contents)1 Introduction.........................................................................................................................................101.1 IPR Policy .........................................................................................................................................101.2 Terminology ......................................................................................................................................101.2.1 Terms and Definitions ...............................................................................................................101.2.2 Abbreviated Terms ....................................................................................................................101.3 Normative References ......................................................................................................................101.4 Non-Normative References ..............................................................................................................121.5 Typographical Conventions ..............................................................................................................131.6 DSS Overview (Non-normative) .......................................................................................................132 Design Considerations .......................................................................................................................152.1 Version 2.0 goal [non-normative]......................................................................................................152.2 Transforming DSS 1.0 into 2.0 .........................................................................................................152.2.1 Circumventing xs:any ................................................................................................................152.2.2 Substituting the mixed Schema Attribute ..................................................................................162.2.3 Introducing the NsPrefixMappingType Component.............................................................162.2.4 Imported XML schemes ............................................................................................................162.2.5 Syntax variants..........................................................................................................................172.2.6 JSON Syntax Extensions ..........................................................................................................172.3 Construction Principles .....................................................................................................................172.3.1 Multi Syntax approach...............................................................................................................172.4 Schema Organization and Namespaces ..........................................................................................182.5 DSS Component Overview...............................................................................................................192.5.1 Schema Extensions...................................................................................................................193 Data Type Models ..............................................................................................................................213.1 Boolean Model..................................................................................................................................213.2 Integer Model....................................................................................................................................213.3 String Model......................................................................................................................................213.4 Binary Data Model ............................................................................................................................213.5 URI Model.........................................................................................................................................213.6 Unique Identifier Model.....................................................................................................................213.7 Date and Time Model .......................................................................................................................213.8 Lang Model .......................................................................................................................................214 Data Structure Models........................................................................................................................224.1 Data Structure Models defined in this document..............................................................................224.1.1 Component NsPrefixMapping ...................................................................................................224.1.1.1 NsPrefixMapping – JSON Syntax ......................................................................................................224.1.1.2 NsPrefixMapping – XML Syntax ........................................................................................................224.2 Data Structure Models defined in this document..............................................................................234.2.1 Component InternationalString..................................................................................................234.2.1.1 InternationalString – JSON Syntax ....................................................................................................234.2.1.2 InternationalString – XML Syntax.......................................................................................................244.2.2 Component DigestInfo...............................................................................................................244.2.2.1 DigestInfo – JSON Syntax .................................................................................................................244.2.2.2 DigestInfo – XML Syntax ...................................................................................................................254.2.3 Component AttachmentReference............................................................................................254.2.3.1 AttachmentReference – JSON Syntax...............................................................................................254.2.3.2 AttachmentReference – XML Syntax.................................................................................................264.2.4 Component Any.........................................................................................................................264.2.4.1 Any – JSON Syntax ...........................................................................................................................274.2.4.2 Any – XML Syntax .............................................................................................................................274.2.5 Component Base64Data ...........................................................................................................274.2.5.1 Base64Data – JSON Syntax..............................................................................................................284.2.5.2 Base64Data – XML Syntax................................................................................................................294.2.6 Component SignaturePtr...........................................................................................................304.2.6.1 SignaturePtr – JSON Syntax..............................................................................................................314.2.6.2 SignaturePtr – XML Syntax................................................................................................................324.2.7 Component Result.....................................................................................................................334.2.7.1 Result – JSON Syntax .......................................................................................................................334.2.7.2 Result – XML Syntax .........................................................................................................................344.2.8 Component OptionalInputs........................................................................................................344.2.8.1 OptionalInputs – JSON Syntax ..........................................................................................................354.2.8.2 OptionalInputs – XML Syntax.............................................................................................................354.2.9 Component OptionalOutputs.....................................................................................................354.2.9.1 OptionalOutputs – JSON Syntax........................................................................................................354.2.9.2 OptionalOutputs – XML Syntax..........................................................................................................364.2.10 Component RequestBase .......................................................................................................364.2.10.1 RequestBase – JSON Syntax..........................................................................................................364.2.10.2 RequestBase – XML Syntax ............................................................................................................364.2.11 Component ResponseBase ....................................................................................................374.2.11.1 ResponseBase – JSON Syntax .......................................................................................................374.2.11.2 ResponseBase – XML Syntax .........................................................................................................384.3 Operation requests and responses ..................................................................................................384.3.1 Component SignRequest ..........................................................................................................384.3.1.1 SignRequest – JSON Syntax.............................................................................................................384.3.1.2 SignRequest – XML Syntax ...............................................................................................................394.3.2 Component SignResponse .......................................................................................................394.3.2.1 SignResponse – JSON Syntax ..........................................................................................................404.3.2.2 SignResponse – XML Syntax ............................................................................................................414.3.3 Component VerifyRequest ........................................................................................................414.3.3.1 VerifyRequest – JSON Syntax...........................................................................................................414.3.3.2 VerifyRequest – XML Syntax .............................................................................................................424.3.4 Component VerifyResponse .....................................................................................................434.3.4.1 VerifyResponse – JSON Syntax ........................................................................................................434.3.4.2 VerifyResponse – XML Syntax ..........................................................................................................434.3.5 Component PendingRequest ....................................................................................................444.3.5.1 PendingRequest – JSON Syntax.......................................................................................................444.3.5.2 PendingRequest – XML Syntax .........................................................................................................454.4 Optional data structures defined in this document ...........................................................................454.4.1 Component RequestID..............................................................................................................454.4.1.1 RequestID – JSON Syntax ................................................................................................................454.4.1.2 RequestID – XML Syntax...................................................................................................................454.4.2 Component ResponseID ...........................................................................................................454.4.2.1 ResponseID – JSON Syntax..............................................................................................................464.4.2.2 ResponseID – XML Syntax................................................................................................................464.4.3 Component OptionalInputsBase ...............................................................................................464.4.3.1 OptionalInputsBase – JSON Syntax ..................................................................................................474.4.3.2 OptionalInputsBase – XML Syntax ....................................................................................................474.4.4 Component OptionalInputsSign ................................................................................................484.4.4.1 OptionalInputsSign – JSON Syntax ...................................................................................................494.4.4.2 OptionalInputsSign – XML Syntax .....................................................................................................514.4.5 Component OptionalInputsVerify ..............................................................................................524.4.5.1 OptionalInputsVerify – JSON Syntax .................................................................................................534.4.5.2 OptionalInputsVerify – XML Syntax ...................................................................................................554.4.6 Component OptionalOutputsBase ............................................................................................564.4.6.1 OptionalOutputsBase – JSON Syntax ...............................................................................................564.4.6.2 OptionalOutputsBase – XML Syntax..................................................................................................564.4.7 Component OptionalOutputsSign .............................................................................................574.4.7.1 OptionalOutputsSign – JSON Syntax ................................................................................................574.4.7.2 OptionalOutputsSign – XML Syntax...................................................................................................584.4.8 Component OptionalOutputsVerify ...........................................................................................584.4.8.1 OptionalOutputsVerify – JSON Syntax ..............................................................................................594.4.8.2 OptionalOutputsVerify – XML Syntax.................................................................................................604.4.9 Component ClaimedIdentity ......................................................................................................614.4.9.1 ClaimedIdentity – JSON Syntax.........................................................................................................614.4.9.2 ClaimedIdentity – XML Syntax...........................................................................................................624.4.10 Component Schemas..............................................................................................................624.4.10.1 Schemas – JSON Syntax ................................................................................................................624.4.10.2 Schemas – XML Syntax...................................................................................................................634.4.11 Component IntendedAudience................................................................................................634.4.11.1 IntendedAudience – JSON Syntax...................................................................................................634.4.11.2 IntendedAudience – XML Syntax.....................................................................................................644.4.12 Component KeySelector .........................................................................................................644.4.12.1 KeySelector – JSON Syntax ............................................................................................................654.4.12.2 KeySelector – XML Syntax ..............................................................................................................664.4.13 Component X509Digest ..........................................................................................................664.4.13.1 X509Digest – JSON Syntax.............................................................................................................664.4.13.2 X509Digest – XML Syntax ...............................................................................................................674.4.14 Component PropertiesHolder..................................................................................................674.4.14.1 PropertiesHolder – JSON Syntax.....................................................................................................674.4.14.2 PropertiesHolder – XML Syntax.......................................................................................................684.4.15 Component Properties ............................................................................................................684.4.15.1 Properties – JSON Syntax ...............................................................................................................684.4.15.2 Properties – XML Syntax .................................................................................................................694.4.16 Component Property ...............................................................................................................694.4.16.1 Property – JSON Syntax..................................................................................................................694.4.16.2 Property – XML Syntax ....................................................................................................................704.4.17 Component IncludeObject.......................................................................................................704.4.17.1 IncludeObject – JSON Syntax..........................................................................................................714.4.17.2 IncludeObject – XML Syntax............................................................................................................724.4.18 Component SignaturePlacement ............................................................................................724.4.18.1 SignaturePlacement – JSON Syntax ...............................................................................................724.4.18.2 SignaturePlacement – XML Syntax .................................................................................................734.4.19 Component DocumentWithSignature......................................................................................744.4.19.1 DocumentWithSignature – JSON Syntax.........................................................................................744.4.19.2 DocumentWithSignature – XML Syntax...........................................................................................744.4.20 Component SignedReferences ...............................................................................................754.4.20.1 SignedReferences – JSON Syntax ..................................................................................................754.4.20.2 SignedReferences – XML Syntax ....................................................................................................754.4.21 Component SignedReference.................................................................................................764.4.21.1 SignedReference – JSON Syntax....................................................................................................764.4.21.2 SignedReference – XML Syntax......................................................................................................774.4.22 Component VerifyManifestResults ..........................................................................................774.4.22.1 VerifyManifestResults – JSON Syntax.............................................................................................774.4.22.2 VerifyManifestResults – XML Syntax ...............................................................................................784.4.23 Component ManifestResult .....................................................................................................784.4.23.1 ManifestResult – JSON Syntax........................................................................................................784.4.23.2 ManifestResult – XML Syntax..........................................................................................................794.4.24 Component UseVerificationTime.............................................................................................804.4.24.1 UseVerificationTime – JSON Syntax ...............................................................................................804.4.24.2 UseVerificationTime – XML Syntax..................................................................................................814.4.25 Component AdditionalTimeInfo...............................................................................................814.4.25.1 AdditionalTimeInfo – JSON Syntax..................................................................................................814.4.25.2 AdditionalTimeInfo – XML Syntax....................................................................................................824.4.26 Component VerificationTimeInfo.............................................................................................834.4.26.1 VerificationTimeInfo – JSON Syntax................................................................................................834.4.26.2 VerificationTimeInfo – XML Syntax ..................................................................................................834.4.27 Component AdditionalKeyInfo.................................................................................................844.4.27.1 AdditionalKeyInfo – JSON Syntax....................................................................................................844.4.27.2 AdditionalKeyInfo – XML Syntax......................................................................................................854.4.28 Component ProcessingDetails ................................................................................................864.4.28.1 ProcessingDetails – JSON Syntax...................................................................................................864.4.28.2 ProcessingDetails – XML Syntax.....................................................................................................874.4.29 Component Detail....................................................................................................................874.4.29.1 Detail – JSON Syntax ......................................................................................................................884.4.29.2 Detail – XML Syntax ........................................................................................................................894.4.30 Component SigningTimeInfo...................................................................................................894.4.30.1 SigningTimeInfo – JSON Syntax......................................................................................................894.4.30.2 SigningTimeInfo – XML Syntax........................................................................................................904.4.31 Component SigningTimeBoundaries ......................................................................................904.4.31.1 SigningTimeBoundaries – JSON Syntax .........................................................................................904.4.31.2 SigningTimeBoundaries – XML Syntax............................................................................................914.4.32 Component AugmentedSignature...........................................................................................914.4.32.1 AugmentedSignature – JSON Syntax..............................................................................................914.4.32.2 AugmentedSignature – XML Syntax ................................................................................................924.4.33 Component ReturnTransformedDocument .............................................................................934.4.33.1 ReturnTransformedDocument – JSON Syntax ................................................................................934.4.33.2 ReturnTransformedDocument – XML Syntax ..................................................................................934.4.34 Component TransformedDocument........................................................................................934.4.34.1 TransformedDocument – JSON Syntax...........................................................................................934.4.34.2 TransformedDocument – XML Syntax .............................................................................................934.5 Request/Response related data structures defined in this document..............................................944.5.1 Component InputDocuments.....................................................................................................944.5.1.1 InputDocuments – JSON Syntax .......................................................................................................944.5.1.2 InputDocuments – XML Syntax..........................................................................................................954.5.2 Component DocumentBase ......................................................................................................964.5.2.1 DocumentBase – JSON Syntax.........................................................................................................964.5.2.2 DocumentBase – XML Syntax ...........................................................................................................974.5.3 Component Document ..............................................................................................................974.5.3.1 Document – JSON Syntax .................................................................................................................974.5.3.2 Document – XML Syntax ...................................................................................................................984.5.4 Component TransformedData...................................................................................................984.5.4.1 TransformedData – JSON Syntax......................................................................................................994.5.4.2 TransformedData – XML Syntax......................................................................................................1004.5.5 Component DocumentHash ....................................................................................................1004.5.5.1 DocumentHash – JSON Syntax.......................................................................................................1014.5.5.2 DocumentHash – XML Syntax.........................................................................................................1024.5.6 Component SignatureObject ...................................................................................................1024.5.6.1 SignatureObject – JSON Syntax......................................................................................................1034.5.6.2 SignatureObject – XML Syntax........................................................................................................1044.6 Referenced Data Structure Models from other documents ............................................................1044.6.1 Component NameID................................................................................................................1044.6.1.1 NameID – JSON Syntax ..................................................................................................................1054.6.1.2 NameID – XML Syntax ....................................................................................................................1064.6.2 Component Transforms...........................................................................................................1064.6.2.1 Transforms – JSON Syntax .............................................................................................................1064.6.2.2 Transforms – XML Syntax ...............................................................................................................1074.6.3 Component Transform ............................................................................................................1074.6.3.1 Transform – JSON Syntax ...............................................................................................................1074.6.3.2 Transform – XML Syntax .................................................................................................................1084.7 Element / JSON name lookup tables..............................................................................................1095 Data Processing Model for Signing ..................................................................................................1185.1 Processing for XML Signatures ......................................................................................................1185.1.1 Sub process ‘process references’...................................................................................1185.1.2 Sub process ‘create XML signature’ ..............................................................................1205.1.2.1 XML Signatures Variant Optional Input IncludeObject...............................................................1205.2 Processing for CMS Signatures......................................................................................................1215.2.1 Sub process ‘process digest’ ...........................................................................................1215.2.2 Sub process ‘create CMS signature’ ..............................................................................1225.3 General Processing ........................................................................................................................1235.3.1 Multi-Signature Creation..........................................................................................................1235.3.2 Sub process ‘add Timestamp’..............................................................................................1235.3.2.1 Processing for CMS signatures time-stamping ................................................................................1245.3.2.2 Processing for XML Timestamps on XML signatures ......................................................................1245.3.2.3 Processing for RFC 3161 Timestamps on XML signatures .............................................................1256 Data Processing Model for Verification ............................................................................................1266.1 Processing for XML Signature Verification .....................................................................................1276.1.1 Sub process ‘retrieve XML signature’ ..........................................................................1276.1.2 Sub process ‘recalculate references’ ..........................................................................1286.1.3 Sub process ‘verify XML signature’ ..............................................................................1296.1.3.1 Processing for RFC 3161 timestamp tokens on XML Signatures ....................................................1296.1.3.2 Processing for XML timestamp tokens on XML signatures..............................................................1306.2 Processing for CMS Signature Verification ....................................................................................1306.2.1 Sub process ‘retrieve CMS signature’ ..........................................................................1316.2.2 Sub process ‘verify CMS signature’ ..............................................................................1316.2.2.1 Processing for RFC 3161 Timestamp tokens on CMS Signatures...................................................1326.3 General Processing ........................................................................................................................1326.3.1 Multi-Signature Verification .....................................................................................................1326.3.2 Sub process ‘augment Signature’ ...........................................................................................1336.3.3 Sub process ‘timestamp Signature’.........................................................................................1346.3.4 Task ‘build VerifyResponse’ ....................................................................................................1357 Asynchronous Processing Model .....................................................................................................1377.1 Asynchronous-only Processing ......................................................................................................1377.2 Enforcing Asynchronous Processing..............................................................................................1388 DSS Core Bindings...........................................................................................................................1398.1 HTTP POST Transport Binding ......................................................................................................1398.2 SOAP 1.2 Transport Binding ..........................................................................................................1398.3 Security Bindings ............................................................................................................................1409 DSS-Defined Identifiers ....................................................................................................................1419.1 Signature Type Identifiers...............................................................................................................1419.1.1 XML Signature.........................................................................................................................1419.1.2 XML TimeStampToken............................................................................................................1419.1.3 RFC 3161 TimeStampToken...................................................................................................1419.1.4 CMS Signature ........................................................................................................................1419.1.5 PGP Signature.........................................................................................................................1419.2 ResultMinors...................................................................................................................................14110 Security Considerations ...................................................................................................................14310.1 Well-Known Attack Vectors ..........................................................................................................14310.1.1 XML Parsing Vulnerabilities [non-normative] ........................................................................14310.1.2 XML Canonicalization Vulnerabilities [non-normative]..........................................................14310.1.3 Injection Attacks [non-normative] ..........................................................................................14310.1.4 JSON Deserialization Through Evaluation Attacks [non-normative].....................................14311 Conformance ....................................................................................................................................14511.1 Conformance as a DSS version 2.0 document ............................................................................14511.1.1 Conformance for JSON format..............................................................................................14511.1.2 Conformance for XML format ................................................................................................14511.1.3 Conformance for DSS Server................................................................................................14511.1.4 Conformance for DSS Client .................................................................................................145Appendix A. Acknowledgments ................................................................................................................146Appendix B. Index of Components and Elements ....................................................................................147Appendix C. List of Figures .......................................................................................................................148Appendix D. Revision History....................................................................................................................149

▲ 디지털 ID 산업의 발전 전략 [출처=iNIS]디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등 다양하다.산업단체와 포럼은 공식적으로 표준화 조직으로 간주되지 않지만 디지털 ID 영역을 포함한 특정 영역에서는 사실상의 표준을 제공하고 있다.몇몇의 경우 이들 단체들이 추가 비준을 위해 자신들이 생산한 사양을 ISO/IEC, ITU 통신 표준화 부문(ITU-T), ETSI 등 표준기관에 제출할 수 있다.이러한 산업단체 및 포럼에는 △인증기관브라우저 포럼(Certification Authority Browser Forum,  CA/Browser Forum) △클라우드 서명 컨소시엄(Cloud Signature Consortium, CSC) △국제자금세탁방지기구(Financial Action Task Force, FATF) △신속온라인인증(Fast Identity Online, FIDO) △국제인터넷표준화기구(Internet Engineering Task Force, IETF) △구조화 정보 표준 개발기구(오아시스)(Organization for the Advancement of Structured Information Standards, OASIS) △오픈ID(OpenID) △SOG-IS(Senior Officials Group-Information Systems Security) △W3C(World Wide Web Consortium) 등이다.국제인터넷표준화기구(Internet Engineering Task Force, IETF)는 1986년 설립됐다. 인터넷 관련 표준 개발 기구(standards development organization, SDO)다.IETF는 인터넷 사용자, 네트워크 운영자, 장비 공급업체가 자주 채택하는 자발적인 표준을 만들어 인터넷 개발 궤적을 형성하는데 도움을 주고 있다.특히 IETF가 발행한 대부분의 의견 요청(requests for comments, RFCs)은 데이터 교환(data exchanges) 및 형식(formats)을 다루고 있으며 전자 서명(electronic signatures), PKI, 신뢰 서비스 분야 구성요소로 간주되고 있다.

▲ 디지털 ID 산업의 발전 전략 [출처=iNIS]유럽 연합(European Union, EU)는 1999년 전자 서명(electronic signatures)에 대한 최초의 프레임워크(framework)를 제공하는 지침 1999/93/EC(Directive 1999/93/EC)를 발표했다.하지만 지침의 범위가 제한적이었으며 단지 지침일 뿐이라는 사실로 인해 EU 회원국들은 국내법을 다르게 변경할 수 있었다.2014년 '전자 식별, 인증 및 신탁 서비스 규정(electronic identification, authentication and trust services, eIDAS)인 'Regulation (EU) No 910/2014'가 발표되면서 유럽연합(EU) 디지털 시장에 큰 활력을 불어넣게 됐다.eIDAS 규정은 모든 회원국에 직접 적용되며 전자 서명 뿐만 아니라 디지털 신원의 훨씬 더 넓은 영역을 다루고 있다.eIDAS 규정은 두개의 파트로 구성돼 있으며 Part 1은 EU의 다양한 회원국이 제공하는 전자 식별 수단에 대해 설명하고 있다.이러한 수단은 동일한 수준 또는 낮은 수준의 보증에서 전자 식별 사용을 허용하는 다른 회원국의 프로세스에 참여하는 한 회원국의 전자 ID를 가진 누군가의 신원을 확인할 수 있다.Part 2에서 eIDAS 규정은 전자 거래를 지원하는 데 사용할 수 있는 다양한(적격) 신탁 서비스를 지정하고 있다.자격을 갖춘 신탁 서비스가 규정 요구 사항 준수 측면에서 기반을 두고 있는 회원국에 의해 감독된다는 것이다. 자격을 갖춘 신탁 서비스는 모든 회원국에서 인정된다.eIDAS 규정에 대한 몇 년간의 경험과 검토가 진행된 이후 2021년 6월 규정 업데이트에 대한 eIDAS 2.0 제안이 나왔다.eIDAS 2.0 제안은 초안 단계에 있지만 몇 가지 새로운 요소를 담고 있다. 그 중 가장 중요한 것은 EU 디지털 지갑(Digital Identity Wallet, EUDI Wallet)이다.EUDI Wallet을 통해 각 EU 시민들은 디지털 방식으로 식별 가능하며 EUDI 지갑 소유자는 공유 정보를 선택할 수 있게 됐다.지갑 사용시 유럽 전역에서 이해할 수 있는 형식의 운전 면허증이나 일부 대학 학위 소지 증명에 사용할 수 있는 속성 증명을 수집 및 공유할 수 있다.업데이트 제안된 eIDAS 2.0은 속성의 적격 증명을 위한 새로운 적격 신뢰 서비스도 포함된다. 원격 전자 적격 서명 및 봉인(Seal) 생성 장치 관리, 전자 문서의 전자 보관, 전자 원장에 전자 데이터 기록 등이다.eIDAS 2.0은 개인에 대한 모든 것을 무기한 공개하는 단일하고 엄격한 ID를 시행하는 대신 모든 식별 정보에 대한 통제권을 전적으로 개인의 손에 맡기는 유연한 자기 주권 ID(self-sovereign identity, SSI)를 잠재적으로 사용할 수 있다.SSI는 공공 및 민간 파트너십 프레임워크 모두에서 모든 식별 정보에 대한 통제권을 해당 최종 사용자의 손에 전적으로 맡기는 것이다.암호화 증명의 사용을 활용함으로써 이러한 SSI는 모든 정보를 공개할 필요 없이 특정 거래에 필요한 개인의 특정 관련 요소만 확인할 수 있는 기능을 제공할 수 있다.암호화 증명을 활용함으로써 SSI는 모든 정보를 공개할 필요 없이 특정 거래에 필요한 개인 관련 요소를 특정 항목만 검증할 수 있도록 기능을 제공할 수 있다.이 제안은 기존 eIDAS가 찾고 있는 높은 수준의 신뢰성을 제공하는 동시에 소비자의 개인정보를 보호하고 있다. eIDAS 2.0은 분산화된 블록체인 정신과 결합해 소비자 개인정보 보호와 보안의 정점을 대표하고 있다.

▲ 디지털 ID 산업의 발전 전략 [출처=iNIS]정보사회의 건전성을 보장할 암호화는 △엔티티 인증(entity authentication) △디지털 서명(digital signatures) △부인 방지(non-repudiation) △경량 암호화(Lightweight cryptography) △디지털 권한 관리(Digital rights management, DRM) △전자상거래(e-commerce) 및 온라인 쇼핑(online shopping) △암호화폐(cryptocurrency) 및 블록체인(blockchain) 등에 활용된다.엔티티 인증, 디지털 서명, 부인 방지에 이어 네 번째는 경량 암호화(Lightweight cryptography)이다. 컴퓨터 계산 복잡성이 제한된 응용 프로그램 및 기술에 사용된다.제한 요소는 메모리, 전력, 컴퓨팅 리소스 등이다. 사물인터넷(Internet of Thinga, IoT) 센서 또는 스마트 홈에서 기기를 켜는 장치와 같은 액추에이터 등 제한된 장치는 경량 대칭 암호화를 활용한다.현대 디지털 세계에서 경량 암호화의 필요성이 증대되고 있다. ISO/IEC 29192는 경량 어플리케이션을 위한 다양한 암호화 기술을 지정하는 8개 부분으로 표준이 구성됐다.다섯 번째 디지털 권한 관리(Digital rights management, DRM)는 디지털 콘텐츠의 저작권을 보호하는 기술을 의미한다. DRM은 암호화 소프트웨어를 사용해 승인된 사용자만 자료에 접근하고 수정 및 배포하도록 허용한다.여섯 번째 전자상거래(e-commerce) 및 온라인 쇼핑(online shopping)은 비대칭 키 암호화를 사용해 안전한 전자상거래가 가능해지도록 하고 있다.암호화폐는 신용카드 정보 및 관련 개인정보 뿐 아니라 고객의 구매 내역, 거래 내역을 보호하며 온라인 쇼핑에서 중요한 역할을 담당한다.일곱 번째 암호화폐(cryptocurrency) 및 블록체인(blockchain)의 경우 암호화 기술을 사용해 거래를 보호하는 디지털 통화를 암호화폐라고 말한다.각 암호화폐 코인은 분산 원장 기술(distributed ledger technologies, DLTs, 예, 블록체인)을 통해 검증된다. 원장은 암호화를 사용해 서로 연결돼 지속적으로 증가하는 기록의 목록(블록)을 의미한다.

▲ 디지털 ID 산업의 발전 전략 [출처=iNIS]정보사회의 건전성을 확보하기 위한 암호화(Cryptography)는 정보보안의 핵심 원칙인 기밀성(confidentiality), 무결성(integrity), 가용성(availability) 중 기밀성과 무결성을 확보하는데 매우 중요한 도구다.데이터 기밀성은 데이터가 승인되지 않은 당사자에게 공개되지 않도록 보장하는 것을 말한다. 암호화와 같은 암호화 기술은 데이터 기밀성을 보호하기 위해 사용될 수 있다. 정당한 해독 키(key)를 갖고 있지 않은 사람은 데이터를 읽을 수 없다.데이터 무결성은 데이터가 변조되거나 손상되지 않았음을 확인해준다. 데이터 무결성과 관련된 국제표준 ISO/IEC 9797은 메시지 인증 코드 계산을 위한 알고리즘을 지정한다.암호화는 주요 정보 보안 목표 외에도 △엔티티 인증(entity authentication) △디지털 서명(digital signatures) △부인 방지(non-repudiation) △경량 암호화(Lightweight cryptography) △디지털 권한 관리(Digital rights management, DRM) △전자상거래(e-commerce) 및 온라인 쇼핑(online shopping) △암호화폐(cryptocurrency) 및 블록체인(blockchain) 등에도 사용되고 있다.첫 번째, 엔티티 인증(entity authentication)은 비밀에 대한 지식을 확인해 발신자의 신원을 증명하는 것을 말한다. ISO/IEC 9798는 엔티티 인증 및 프로토콜, 기술 등을 지정하는 일련의 국제표준이다.이를 달성할 수 있는 다양한 암호화 기반 메커니즘과 프로토콜이 있다. 대칭 시스템(symmetric systems), 디지털 서명(digital signatures), 영지식 기술(zero-knowledge techniques), 체크섬(checksums) 등이 대표적이다.두 번째, 디지털 서명(digital signatures)은 데이터가 서명자로부터 생성됐으며 변경되지 않았음을 확인함으로서 데이터의 신뢰성을 확인하는 데 사용된다. 디지털 서명은 이메일 메시지, 전자 문서, 온라인 결제 등에 활용된다.디지털 서명 체계를 지정하는 국제표준에는 ISO/IEC 9796, ISO/IEC 14888, ISO/IEC18370, ISO/IEC 20008 등이 있다.세 번째, 부인 방지(non-repudiation)는 디지털 서명과 같은 암호화 기술을 사용해 메시지를 보낸 사람과 받은 사람이 각각 메시지슬 수발신했다는 사실을 부인할 수 없도록해 보장하기 위해 사용된다.부인 방지에는 송신 부인 방지, 송달 부인 방지, 수신 부인 방지 등이 있다. 표준 ISO/IEC 13888은 부인 방지 서비스 제공을 위한 기술, 즉대칭 및 비대칭 기술을 설명한다.

▲ 디지털 ID 산업의 발전 전략 [출처=iNIS]디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다. 유럽표준화기구(European Standardisation Organistions, ESOs), 유럽표준화위원회(European Committee for Standardization, CEN), 유럽전기기술표준화위원회(European Committee for Electrotechnical Standardization, CENELEC), 유럽전기통신표준화기구(European Telecommunication Standards Institute, ETSI) 등 디지털 ID 관련 표준을 개발하고 있는 기술위원회에 대해 살펴보면 다음과 같다.먼저 유럽전기통신표준화기구(ETSI)는 유럽의 eIDAS 규정과 전자 거래에 대한 신뢰를 제공하기 위한 국제사회의 일반 요구사항을 지원하는 다수의 표준을 발표했다.특히 ETSI 전자 서명 및 인프라 기술위원회(ETSI Electronic Signatures and Infrastructures Technical Committee)는 서비스 제공업체를 위한 정책, 보안 및 기술 요구사항에 대한 여러 표준을 제정했다.기술위원회(ETSI ESI/TC)는 디지털 서명의 형식, 생성, 검증을 위한 절차, 정책, 신뢰 앵커로서 신뢰할 수 있는 목록을 다룬다.CEN 기술위원회 224(CEN Technical Committee 224, CEN/TC 224)-MACHINE-READABLE CARDS, RELATED DEVICE INTERFACES AND OPERATIONS는 다중 부문 환경에서 보안 요소, 시스템, 운영, 개인정보 보호를 갖는 개인 식별 및 관련 개인 장치와 관련이 있다.기술위원회는 개인 식별, 관련 개인 장치의 상호운용성, 보안을 강화하기 위한 여러 표준을 발표했다. 이 중 CEN 기술위원회 224 내 워킹그룹 17, 18, 19이 디지털 ID와 관련이 있다.다른 실무그룹(Working Group, WG)은 WG 17 : ‘Protection Profiles in the Context of SSCD(secure signature creation device)’ △WG 18 : ‘Biometrics’ △WG 19 : ‘Breeder Documents' 등이다. 최근 유럽 디지털 지갑 EUDI Wallet 표준을 개발하기 위해 WG 20이 임시로 구성됐다.CEN/TC 224는 다중 부문 환경에서 개인 식별 및 관련 개인 장치, 시스템, 운영 및 개인 정보 보호의 상호 운용성과 보안을 강화하기 위해 표준을 개발하고 있다.여기에는 전자 식별, 전자 서명, 지불 및 청구, 출입, 국경 통제와 같은 애플리케이션 및 서비스와 같은 작업을 포함하고 있다. 또한 △카드, 모바일 장치 및 관련 인터페이스와 같이 폼 팩터와 독립적인 보안 요소를 갖춘 개인 장치 △인증, 기밀성, 무결성, 생체 인식, 개인 데이터 및 민감한 데이터 보호를 포함한 보안 서비스 △수용 장치, 서버, 암호화 모듈과 같은 시스템 구성 요소 등도 해당된다.CEN/TC 224 다중 부문 환경은 정부·시민, 교통, 은행, 전자 보건과 같은 부문 뿐만 아니라 카드 제조업체, 보안 기술, 적합성 평가기관, 소프트웨어 제조업체와 같은 공급 측면의 소비자 및 공급자가 포함된다. 참고로 CEN 기술 위원회 224 내 실무 그룹(WG)은 다음과 같다.▷CEN/TC 224/WG 1 - ICC physical characteristics▷CEN/TC 224/WG 2 - General concepts for ICC systems▷CEN/TC 224/WG 3 - Device interface characteristics▷CEN/TC 224/WG 6 - User Interface▷CEN/TC 224/WG 7 - PIN presentation▷CEN/TC 224/WG 8 - Thin flexible cards▷CEN/TC 224/WG 9 - Telecommunication applications▷CEN/TC 224/WG 10 - Intersector electronic purse▷CEN/TC 224/WG 11 - Transport applications▷CEN/TC 224/WG 12 - Health applications▷CEN/TC 224/WG 15 - European citizen card▷CEN/TC 224/WG 16 - Application Interface for smart cards used as Secure Signature Creation Devices▷CEN/TC 224/WG 17 - Protection Profiles in the context of SSCD▷CEN/TC 224/WG 18 - Interoperability of biometric recorded data▷CEN/TC 224/WG 19 - Breeder Documents▷CEN/TC 224/WG 20 - Ad Hoc Group on European Digital Identity WalletsCEN/CENELEC 공동 기술위원회 19(CEN/CENELEC Joint Technical Committee 19)는 블록체인(Blockchain) 및 분산 원장 기술(Distributed Ledger Technologies)을 다루는 위원회다.특히 실무 그룹 1(Working Group 1) : 분산형 신원 관리(Decentralised Identity Management)는 ISO 카운터파트너 ISO 기술위원회 307( ISO Technical Committee 307)과 긴밀한 접촉을 유지하고 있다.분산형 ID 관리(decentralised identity management) 및 DLTs(Distributed Ledger Technologies)에 의해 제공되는 지원 기능을 위한 프로세스, 역할, 관행에 대한 것이다. 식별자, 키, 증거 레지스트리, 트러스트 앵커(trust anchors) 관리를 포함한다.실무그룹 2(WG 2)는 환경 지속가능성(CEN/CLC/JTC 19/WG 2 - Environmental sustainability)을 다루고 있다. 

▲스리랑카보험공사(Sri Lanka Insurance Corporation, SLIC) [출처=홈페이지]스리랑카 보험공사(Sri Lanka Insurance Corporation, SLIC)는 최근 모바일 장치 기반 디지털 서명 솔루션 출시를 위해 랑카페이(LankaPay)와 계약을 체결했다고 밝혔다.SLIC는 최근 몇 년 동안 운영을 빠르게 디지털화하면서 내부 효율성을 높이는 동시에 고객에게 원할하고 신속한 솔루션을 제공하기 위해 디지털 혁신 전략을 가속화하고 있다.SLIC는 디지털화 여정에서 매우 중요한 단계로 모바일 장치 기반 디지털 서명 솔루션을 구현한 국내 최초의 기관으로 문서 서명 및 승인을 추진했다.SLIC는 내부 및 외부 문서 서명을 위해 모바일 장치에서 랑카사인(LankaSign) 디지털 서명을 추진했다. 랑카사인은 스리랑카에서 디지털 인증서를 발급하는 유일한 인증서비스 공급업자(Certification Service Provider, CSP)다.랑카페이가 운영하고 있는 CSP는 스리랑카 중앙은행(Central Bank of Sri Lanka)과 스리랑카 컴퓨터비상대응팀(Computer Emergency Readiness Team, CERT)의 합의에 의해 설립됐다.또한 랑카사인(LankaSign) 디지털 서명은 스리랑카 정보통신기술청(Information and Communication Technology Agency, ICTA)으로부터 법적으로 인정 받았다. 랑카사인 인증 프로세스는 ISO 27001:2013과 같은 국제 표준을 준수하고 있다.