원문 : http://channy.tistory.com/136

지금까지 ActiveX와 공인 인증에 대한 문제에 대해 너무 많은 토론이 있었기 때문에 다들 문제 의식에는 공감을 하고 있을 것이다. (ActiveX에 대한 진실과 거짓말 II 참고)

사 실 이 문제는 꽤 뿌리가 깊다. 수 년 동안 계속되어온 소수 사용자 요구가  법적 소송이라는 방식으로 청구가 되어서야 문제를 인식하게 된 것은 때 늦은 감이 있다.  비 IE와 비 윈도우 사용자에게도 공인 인증을 사용할 수 있도록 해달라는 오픈 웹 활동이 이제는 우리 나라 공인 인증 전반에 대한 새로운 성찰을 요구 할 수 있게 된 것은 무척 기쁜 일이다.

그럼 이것을 해결하기 위한 대안은 무엇일까? 하나씩 살펴 보도록 하자. 현재 제기되는 가장 큰 문제는 아래 두 가지 이다.
  • 공인 인증을 위한 ActiveX 기술 사용 문제
  • 윈도우 자체 보안 문제
4 년 전만 하더라도 [2]번 문제는 존재하지 않았지만 지금은 키보드 해킹 방지, 스파이웨어 방지 프로그램이 모든 웹 사이트의 기본 사항이 될 정도로 문제가 커져 있다. 이것은 윈도우 OS 자체가 가지는 문제이기 때문에 장기적으로 MS가 계속 풀어가야할 과제이다.

[1]번을 범용 기술로 돌리더라도 [2]번 문제를 제기하는 사람이 많기 때문에 이 두 가지를 함께 살펴 봐야 한다.

[1] 공인 인증을 위한 ActiveX 기술 사용 문제

가 장 큰 문제는 현재 공인 인증 기술이 IE & 윈도우 사용자만 가능하다는 것이다. Firefox & 윈도우도 불가능 하다. 그 이유는 현재 공인 인증 기술이 SSL 기술을 기반으로 두고 있지만, 한국 자체 암호 알고리듬(SEED)을 강제하고 있고, 모든 암호 메시지에 전자 서명을 추가(Digital Signature)하도록 하고 있기 때문에 브라우저 내부 기술을 사용할 수 없다. 이를 위한 해결 방안은 다음과 같다.

(1) 단기- 플랫폼 독립적인 범용 플러그인 기술로 개발
대 표적인 방법이 자바 서명 애플릿이다. 자바 애플릿은 Java VM에서만 구동 되므로 안전하다. 간혹 소스 디컴파일에 대한 문제를 제기하는데 원래 PKI 기술 자체는 암호화를 기반으로 하고 있기 때문에 기본 기능에만 충실히 코드를 짜면 디컴파일 돼도 문제가 되지 않는다. UI상 좀 더 미려하게 하기 위해서는 Flash 기술을 접목해도 된다. 덴마크에서는 이미 간단한 기능이지만 자바 기반 공인인증 처리를 하고 있다.

사실 국내 공인 인증 암호화 규격에는 SEED와 DES가 함께 사용 가능하 다. 단지 보안 심사를 SEED만 하기 때문에 DES를 못쓰는 것 뿐이다. 만약 DES를 쓸 수 있다면 몇몇 주요 웹 브라우저에서도 플러그인 없이 가능하다. 예를 들어 IE CAPICOM과 Firefox의 crypto.signText 같은 것을 이용하는 방법이다. (하지만 이는 범용성이 떨어지는 단점이 있다.)

또 하나의 방법은 공인 인증용 독립 어플리케이션을 배포하는 것이다. 문제는 웹에서 해결 불가능한 것을 자꾸 웹에서 해결하려고 했던 데 있다. 과거에도 KT 월릿(Wallet) 프로그램이나 독립 프로그램으로 인터넷 뱅킹을 했었다. 모든 것을 웹으로 해결하려고 들지 말고 신한 은행 이지플러스 처럼 독립 프로그램을 제공하는 것도 검토해야 한다.

(2) 장기- 표준 SSL 기반 인증 및 서명 방법 개발
웹 브라우저에 몇 가지 기능이 추가 되면 범용 SSL 프로토콜을 써서 공인 인증이 가능하게 된다. 이를 위해서는 1) KISA루트 인증서 2) SEED 알고리듬 3) 전자서명 기능이 브라우저에 탑재 되어야 한다.

1)번의 경우 IE에 탑재되었고 Firefox에서 진행 중이다. 2)번의 경우 SEED가 2005년에 국제 표준이 되었기 때문에 연내에 윈도우와 OpenSSL(Firefox, Safari, Opera)에 탑재될 수 있을 것이다. 3)번의 경우가 가장 힘들다. 현재 몇 군데 표준 단체에 XML 전자서명을 통한 Web PKI 표준을 제정하도록 소수의 사람들이 함께 설득을 계속하고 있는 중이다.

하지만 실현이 되려면 꽤 많은 노력이 필요하다. 우리 나라 전자 서명법을 세계적으로 만들려면 KISA와 정부가 오히려 이런 데 정치적인 힘을 발휘해 주길 바란다.

(3) 장기- 리치 웹 어플리케이션 기술로 개발
현 재 글로벌 웹 기술은 리치 웹 어플리케이션으로 가고 있다. MS 비스타, 파이어폭스, 어도비 아폴로 플랫폼 등이 차세대 데스크톱 웹 어플리케이션 개발 플랫폼을 제공하기 위해 심혈을 기울이고 있다. 여기에 애플과 사파리 등이 WHATWG라는 표준활동을 통해 웹 표준으로도 리치 어플리케이션을 만들 수 있는 작업을 하고 있다.

글로벌 웹 기술의 변화는 플러그인에 있지 않다. 이점을 잘 인식하고 리치 웹 어플리케이션 기반 공인 인증 기술도 고민해야 한다.
 
[2] 윈도우 자체 보안 문제

공 인 인증 기반 체계과 별개로 인터넷으로 데이터를 도둑 맞는 스파이웨어 프로그램으로 생기는 보안 문제가 국내에서는 심각하게 대두 되어 있다. 스파이웨어에 대해 전 국민이 방지 프로그램을 설치하게 하는 창을 방패로 막으려 하지 말고 더 근본적인 방법을 도입해서 문제를 풀어야 한다.

(1) 단기 - 국내 사용자의 보안 수준 강화
- 윈도우 보안 수준 강화
우 리 나라 사람들은 전 세계 어디를 비교해 봐도 매우 교육 수준이 높다. 교육에 따라 얼마든지 보안 수준이 올라갈 수 있는 국민이다. IE의 보안 수준을 고급으로 올리도록 하고 윈도우 권한을 '일반 사용자'로 바꾸도록 사용자 교육을 강화할 필요가 있다.

국가에서 이를 권장하고 필요하다면 MS에 이야기 해서라도 한국어 버전에 보안에 대한 간단한 TIP을 나오게 하는 것도 가능할 것이다.

- 오프라인 인증 강화
공 인 인증만으로 인증이 다 됐다고 생각하는 건 큰 오산이다. 일반 SSL이든 공인 인증이든 PC의 보안이 뚫리면 끝이다. 지금까지 한 20개 정도가 조합되는 단순한 보안 카드에 거래를 의존해 왔다. 외국에서는 다양한 오프라인 인증 기기들이 존재한다.

단순한 보안 카드가 아니라 OTP(원타임패스워드) 같은 좀 더 복잡한 형태의 오프라인 인증기기의 사용을 늘일 필요가 있는 것이다. 특히 휴대폰이나 PMP 단말기 등에 인증 프로그램이 설치 될 수 있도록 지원할 필요가 있다.

- 데이터 해킹 보안 강화
키 보드 해킹 방지를 위해 스크린 키보드로 선택 하게 하거나 그림 문자를 통한 인증 수단도 함께 활용해야 한다. 스크린 키보드는 위치를 랜덤하게 표시하거나 그림 문자를 기계가 좀 더 해독하기 어렵도록 함으로서 보안은 충분히 강화된다.

- 개인 보안 수준 강화
가장 중요한 것이다. 스스로 보안은 스스로 지킨다는 의식을 가지도록 하는 게 좋다. 개인이 스스로 백신 프로그램을 구입 하여 설치하고 사용하도록 권장한다. 이게 SW 업계에도 이익이 된다.

특히 은행이나 금융권에서는 비 IE, 비 윈도우 사용자들 처럼 자신의 PC를 지킬 수 있다는 사람에 한해 계약을 통해 키보드 해킹 방지나 스파이웨어 방지 프로그램을 강제 설치 하지 않도록 할 필요가 있다.

(2) 장기 - 차세대 윈도우 OS나 대안 OS를 사용한다.
이건 말할 것도 없다. Vista를 사용하게 하거나 맥이나 리눅스 데스크톱을 사용하는 사용자가 늘어 나면 되는 것이다. 사실 어찌보면 이게 제일 중요하다.

-----
지금까지 현재 문제에 대한 다양한 해결 대안들을 살펴 보았다. 물론 이게 당장 해결 할 수 있는 것은 아니지만 장기적인 로드맵으로 꼭 해결 해야 될 걸로 본다.
반응형

+ Recent posts