액티브X같은 추가 플러그인을 설치하지 않고도 공인인증서를 활용할 수 있게 하는 기술 개발이 마무리됐다. 액티브X 없이 쓰는 공인인증서 기술 개발은 액티브X를 활용한 기술 사용을 최소화하자는 사회적 분위기가 무르익고 있음을 보여주는 또 하나의 사례다.
물론 액티브X없이 쓸수 있는 공인인증서 기술이 나왔다고 해서 당장 인터넷 뱅킹이나 민원 서비스 환경이 바뀌는것은 아니다. 사용자가 체감할 수 있는 변화는 은행이나 공공기관에서 해당 기술을 서비스에 언제 적용하느냐 달렸다. 그런만큼 이제 은행과 공공기관의 행보에 관심이 쏠린다.
30일 미래창조과학부가 주최한 '인터넷 이용환경 개선 가이드라인 설명회 및 웹솔루션 전시회'에서는 그동안 한국인터넷진흥원(KISA)가 개발용역과제를 통해 수행한 'HTML5 기반 공인인증서 발급 및 이용 프레임워크'에 대한 세부 내역이 공개됐다.
개발된 기술은 공인인증서를 발급, 관리, 이를 활용한 전자서명, 인증서 저장 서비스와 연동하는 기능 등을 HTML5 및 자바스크립트 기반으로 구축했다는 점이 핵심이다.
KISA 전자인증팀 임진수 팀장은 자바스크립트 버전은 모든 웹브라우저를, HTML5에서 제시된 암호화 관련 기술인 웹크립토 API는 인터넷익스플로러11, 크롬 37 이상 버전, 사파리 개발자 버전 등을 지원한다고 설명했다.
그동안 문제가 됐던 공인인증서와 개인키 유출에 대한 문제를 해결하기 위해 공인인증서와 개인키를 기존 하드디스크 내 특정 폴더(NPKI) 대신 보안토큰, 스마트폰 유심칩, NFC기반 스마트카드에 저장하는 기술도 개발됐다. 인증서 지갑, 웹브라우저 내 안전한 폴더에 저장하는 방법 등도 기술적인 연동을 마쳤다. 예티소프트와 함께 보안토큰협의회, 스마트 인증 개발사 등이 프로젝트에 참여했다.
개인키는 공인인증서와 같은 공개키기반구조(PKI)에 사용되는 일종의 열쇠로 정보를 인터넷 상에 송수신할 때 암호화된 내용을 푸는 역할을 한다.
임 팀장은 암복호화, 전자서명, 인증서 발급 및 관리, 다른 서비스와 연동 등 공인인증서를 활용할 수 있는 기본 기능을 웹표준 기반으로 개발 완료했다며 앞으로 공공은 물론 여러 민간 분야에 활용될 수 있도록 해당 기술에 대한 강점을 소개할 계획이라고 밝혔다.개인키를 안전하게 보관하는 방법으로 개발 완료된 기술은 크게 4가지다. 먼저 가장 안전성이 높다고 알려진 보안토큰을 활용하는 방법이다.
보안토큰은 물리적인 칩에 암호연산기능을 탑재해 공인인증서와 개인키를 저장하며, 마음대로 빼내 쓸 수 없도록 한다. 이를 위해 PC 등에서 보안토큰을 활용하기 위한 드라이버, 구동 프로그램에 대한 업계 공통 기준을 만들었다.
두번째는 스마트 인증으로 스마트폰 내 USIM칩 내에 공인인증서와 개인키를 저장하는 방법이다. IC칩이 탑재된 스마트카드에 저장한 뒤 근거리무선통신(NFC) 기능을 통해 스마트폰으로 공인인증서와 개인키를 활용할 수 잇도록 하는 방안이다. 다만 이 과정을 수행할 수 있는 추가적인 중계서버가 필요하다.
이외에 소프트웨어적인 방법으로 공인인증서와 개인키를 저장, 활용하는 방안도 개발됐다. 인증서 지갑은 보안토큰을 소프트웨어로 구현한 것으로 별도 설치 프로그램을 통해 보안성을 제공한다.
웹저장소에 공인인증서와 개인키를 저장하는 방안도 개발됐다. 웹브라우저 상 보안성이 높은 영역에 공인인증서와 개인키를 저장하는 방식이다.
이러한 4가지 방안들은 모두 HTML5 표준을 따르면서 액티브X 기반 추가 플러그인을 설치하지 않고도 구현할 수 있도록 했다.
관련기사
- 알라딘, 액티브X 없는 금액인증 결제 도입2014.09.30
- 웹 접속만으로…공인인증서 1400개 유출2014.09.30
- 공인인증서 폐지서 게임만 제외…왜?2014.09.30
- 스마트폰 유심에 공인인증서 저장한다2014.09.30
이와 함께 인터넷 뱅킹, 전자민원을 처리하기 위해 관련 웹사이트에 방문했을 때 해커들이 웹콘텐츠를 불러들이는 문서객체모델(DOM), 자바스크립트 등을 임의로 수정하지 못하도록 난독화를 기술도 적용했다. 또한 자바스크립트 내에 악성코드를 주입해 전자서명과 관련한 함수를 가로채지 못하도록 보안하는 기능도 추가됐다.
개선점도 있다. 특히 공인인증서비스를 위한 프레임워크가 자바스크립트, HTML5와 같은 웹표준기술을 기반으로 한다고 하더라도 사용자 편의성을 개선하기 위해서는 기존 보안 기능을 추가하기 위해 설치됐던 키보드 보안, 개인 방화벽 등 프로그램에 대해서도 별도로 개선이 필요하다는 지적이다.