모바일 인터넷 시대의 필수 조건, W-PKI

일반입력 :2002/12/27 00:00

홍승수

2000년 이후 정보통신의 동향은 급속도로 변화하고 있다. e-비즈니스의 유행이 한때 세상을 떠들썩하게 했었고, 2001년 이후 인터넷 동향은 이동통신으로 급속하게 번져 나갔다. 불과 몇 년전만 하더라도 이동통신은 정보의 양이 제한돼 있다는 취약성 때문에 항상 유선통신의 뒤에 있었다. 하지만 이동통신 분야는 기술적인 성장을 꾸준히 이뤘고, 국내에 1980년대에 무선 호출서비스가 처음 선을 보인 이후에 꾸준히 무선통신기술연구 분야에 많은 투자를 했고 그 결과 1997년 PCS(Personal Communica tions Services) 서비스를 개시했다. 이동통신 가입자 수는 1997년 이후 매년 급속한 성장을 했고, 2002년 현재 유선통신 가입자 수를 위협하는 수준까지 올라가 있다. 이동 통신을 주도하는 업체들은 양적인 확대를 통해 수익을 올렸으며, 이 수익을 가지고 서비스의 질을 높이는데 다시 투자하고 있다. 이에 따라 모바일 인터넷 서비스를 통해 인터넷 뱅킹, 증권거래, 전자상거래, 인터넷복권 등 다양한 금융 서비스를 지원하고 있다. 아직은 서비스를 이용하는 가입자수가 유선통신에 비해 상대적으로 많지 않으나, 앞으로 빠른 시일 내에 많은 이용자들이 발생할 것이라고 예측하고 있다. 최근 신용카드회사와 이동통신업체의 가입자 정보에 대한 분쟁이 바로 이런 예측을 뒷받침 해준다.무선 정보통신 분야에서 정보교류가 확대됨에 따라 보안에 대한 중요성도 함께 부각되고 있다. 현재까지 모바일 인터넷을 사용하는 사용자는 단말기에 의해 WAP(Wireless Application Protocol) 사용자와 ME(Mobile Explorer) 사용자로 두 부류로 나뉘며, 각 이동 통신업체별로 표준화되지 않은 프로토콜을 사용한다. WAP·ME 방식으로 사용자 구분 사용자 규모, 지원 업체와 개발업체 등에서 WAP의 사용이 가장 앞서 있다. 또한 MWIF(Mobile Wireless Internet Forum)에서 새로운 국제 표준규격을 개발해 ITU(International Telecommunica tion Union)나 IETF(Internet Engineering Task Force)에 공동사양을 제출해, 국제 표준화할 방침이다. 모바일 인터넷의 표준이 가속화됨에 따라서 WAP 방식과 ME 방식에 대한 관심이 더욱 집중되고 있는 것이 현실이다. WAP 방식은 이동통신과 유선 네트워크를 연동하기 위한 WAP 게이트웨이를 두고 있으며, 사용자의 단말기와 WAP 게이트웨이는 WAP에서 정의된 프로토콜로 통신이 이뤄진다. WAP 포럼에서는 모바일 인터넷 환경에 적절한 프로토콜을 정의하고 있으며, 보안을 위한 프로토콜로 WTLS(Wireless Transport Layer Security)를 정의하고 있다. WTLS는 인터넷에서 가장 많이 사용하고 있는 SSL/TLS 기반으로 작성됐고, 유선 보안 서비스처럼 기밀성, 사용자 인증, 메시지 무결성 등의 보안 서비스를 제공한다. 반면 ME 방식은 WAP 게이트웨이의 역할을 모바일 단말기 내의 브라우저가 한다. 즉, 내부적으로 기존 유선 인터넷의 HTTP 방식과 호환되며, HTML을 축약한 mHTML을 사용하고 있다. 보안 메커니즘은 HTTP를 기반으로 유선 인터넷에서 사용되는 일반적인 SSL 보안 서비스를 적용할 수 있다.

W-PKI, 모바일 인터넷의 보안 해결사로 부각 (그림 1, 2)에서 보듯이 두 가지 방식의 모바일 인터넷 서비스가 자리를 잡고 있는 가운데 주목해야 할 사항은 기술뿐만 아니라 서비스의 양도 함께 성장했다는 것이다. 모바일 인터넷 서비스를 이용하는 사람이 많아질수록 보안에 대한 관심도 높아진다. 모바일 인터넷의 보안 메커니즘은 정당한 사용자인지를 확인하는 인증, 데이터의 비밀 전송과 변조 여부 확인, 전자서명을 통한 거래 부인 방지 등이 이뤄진다. 모바일 인터넷의 보안 메커니즘을 충족시켜주는 요건으로 W-PKI(Wireless Public Key Infrastruc ture)가 각광받을 것으로 예상된다. 얼마전 인터넷보안기술포럼(이하 ISTF)에서 ‘W-PKI 사실표준’을 제정했는데, 그 내용은 다음과 같다.·모바일 전자서명 인증서 프로파일 ·모바일 전자서명 인증서 효력 정지와 폐지 목록 프로파일 ·모바일 인증서 요청형식 프로토콜 ·모바일 WTLS 인증서 프로파일 ·모바일 전자서명 알고리즘 ·모바일 키분배 알고리즘W-PKI 사실표준은 이미 지난 해부터 한국정보보호진흥원, 공인인증기관, PKI 솔루션 업체, 이동 통신업체 등이 공동으로 개발해 ISTF의 심의를 거쳐 6가지의 표준을 정했다. 이에 따라 국내의 모든 W-PKI 시스템은 이 표준을 따라야 한다. 각각의 표준 내용을 살펴보면, 먼저 모바일 전자서명 인증서 프로파일은 인증서 생성과 처리에 대한 내용으로 이미 전자서명법에 따라 공인인증기관이나 사설인증기관들이 유선 인터넷에서 만들어 놓은 전자서명인증 관리체계와 상호 연동돼야 하며 국제 규약에 위배되지 않아야 한다라는 내용이다. 각각의 세부 내용을 살펴보면, 우선 모바일 전자서명 인증서 프로파일 표준의 내용은 모바일 전자서명용 X.509V3 인증서의 규격을 정의했으며 인증서의 버전과 일련번호, 서명 알고리즘, 유효기간, 공개키 정보 등이다. 다음으로 모바일 전자서명 인증서 효력정지와 폐지목록 프로파일 표준에서는 인증서를 잃어버렸거나 유효기간이 경과됐을 때 효력정지와 폐기목록에 등록하고 처리하는데 필요한 사항들에 대해 정의하고 있다. 그리고 모바일 인증서 요청형식 프로토콜 표준은 모바일 인터넷을 통한 인증서 발급처리에 대한 형식을 정의하고 모바일 WTLS 인증서 프로파일 표준은 모바일 인터넷 사용시 키분배에 사용되는 인증서의 형식을 정의하고 있다. 모바일 전자서명 알고리즘 표준은 사용자의 전자서명 알고리즘과 메시지 인증에 사용되는 해시(HASH) 알고리즘에 대해 정의하고 있으며, 마지막으로 모바일 키분배 알고리즘 표준은 전자문서의 암호화와 키분배에 사용되는 해시 알고리즘에 대해 정의하고 있다.모바일에 적합한 PKI 도입 방안 모색 W-PKI를 적용하기 위해 WTLS(Wireless Transport Layer Security) 인증서 사용과 인증서 저장 방식에 고려가 있어야 한다. WTLS는 모바일 환경에서 클라이언트와 서버 사이에 형성된 채널의 안정성을 보장하는 전송계층 보안 프로토콜로, W-PKI를 적용하기 위해 모바일 단말기에는 WTLS 인증서를 사용해야 한다. 유선 PKI에서 발급된 인증서를 폐지·효력정지 등 트랜잭션을 발생시키는 인증서 유효성을 검사하는 과정으로 CRL(Certificate Revocation List), OCSP(On-line Certificate Status Protocol), SCVP(Simple Certificate Validation Protocol) 등을 통해 이뤄진다. 그러나 제한된 환경인 모바일 단말기에서는 인증서 유효성을 검사하는 것이 불가능하기 때문에 WTLS 인증서를 사용한다. 또한 CRL이 게시되는 시점의 차이가 있고 인증서를 사용하는 클라이언트나 서버에서 새로 게시된 CRL을 트랜잭션마다 다시 가져오는 것이 아니라 일정한 배치 형식으로 가져오기 때문에 통용되는 인증서의 상태 검증이 어렵다. 따라서 인증서 자체의 유효기간을 WTLS 단위로 발급함으로써 인증서 검증에 있어 상태 확인 과정을 생략한다. 이 밖에도 WTLS 인증서는 인증서의 크기가 줄어들게 돼 실제적인 트랜잭션에서 전송되는 데이터의 크기도 X.509 인증서 크기 이상, WTLS 인증서 크기 정도로 줄어들고 인증서 인코딩이 XDR이므로 디코딩이 쉬운 장점이 있다. 인증서 저장 방식도 변화돼 모바일 단말기의 NV메모리에 대한 한계로 인해 인증 전체를 저장하는 방안과 인증서 URL만 저장하는 방안이 사용되고 있다. 또한 W-PKI는 암호 알고리즘도 변화한다. 유선 PKI에서 주로 쓰고 있는 RSA(Rivest, Shamir, Adleman Cryptosystem)를 사용할 경우 키 생성뿐만 아니라 개인키 연산에도 많은 시간이 걸려 사용이 힘들다. 이를 ECC 계열의 알고리즘을 사용해 시간을 많이 줄일 수 있다. 또한 인코딩 방법도 변화해 PKI는 BER 또는 DER로 인코딩했으나, W-PKI는 XDR를 주로 사용한다. 이같은 사항들을 충분히 고려해 W-PKI가 적용돼야 하며 이같은 고려 사항들은 솔루션 업체, 표준기구, 이동 통신업체, 공인 인증기관들이 함께 고민해 해결해야 할 숙제다. 표준화된 W-PKI 개발 급선무향후 W-PKI는 ▲모바일 오피스 ▲물류정보 서비스 ▲원격제어·검침서비스 ▲모바일 전자상거래 서비스 분야에서 활발히 적용될 수 있다. 또한 모바일 인터넷 환경이 점차 커지고 모바일 통신기기의 컴퓨팅 파워가 뒷받침되면서 그에 적합한 애플리케이션이 개발되면서 적용시장도 크게 확대될 것으로 예상된다. 하지만 W-PKI 시장이 장미빛 미래만을 예고하지는 않는다. W-PKI가 확산되기 위해서는 여러 가지의 사항을 고려해야만 한다. 먼저 유선 인터넷의 PKI 시스템과의 연동, 각 이동 통신업체의 인터페이스 등의 기술 문제와 공인 인증기관과 이동 통신업체 간의 정책이 W-PKI를 확산시키는데 가장 우선적으로 해결해야 할 사항들이다. 유무선 복합 네트워크 환경에서 운영되고 있는 모바일 인터넷에 보안서비스를 제공하지 못한다는 단점을 극복해야 한다. 즉 유선 인터넷처럼 정당한 사용자인가를 확인하는 인증, 데이터의 비밀전송과 변조확인, 전자서명을 통한 거래부인방지 등의 서비스가 모바일 인터넷 환경에도 적용돼야 한다. 따라서 WAN, 모바일 익스플로러 등 모바일 인터넷 프로토콜에 독립적인 W-PKI로 프로토콜에 관계없이 W-PKI가 적용돼야 한다. 더욱 중요한 것은 대면거래를 대체해 인터넷 비즈니스를 가능케 해주는 암호·인증기술에 대해 인식이 높지 않은 통신업체·금융권·쇼핑몰 등을 포용할 정책이 세워져야 한다. @