[단독]"액티브X 없이 공인인증서 쓴다"

국내서 액티브X 없이 모든 브라우저와 단말기로 공인인증서를 쓰게 될 가능성이 구체화됐다. 웹표준화기구 '월드와이드웹컨소시엄(W3C)'이 액티브X 기반 공인인증서 기술을 대체할 수 있는 웹기반 암호 처리 관련 표준을 논의할 조직을 신설 중인 것으로 알려졌다.

최근 W3C가 구성해온 '웹 크립토그래피(Web Cryptography) 워킹그룹(WG)'이 그 활동을 담당할 조직이다. 여기서 국내 공인인증서 이용 환경을 반영한 표준화가 추진될 경우 앞으로 HTML5을 지원하는 모든 브라우저에서 공인인증서를 쓸 수 있게 된다.

다만 액티브X에 얽매인 국내 공인인증서 기술이 이 활동을 통해 웹표준에 반영되려면 우리나라 사용자와 현장의 기술 전문가들이 목소리를 낼 수 있어야 한다. 이를 위해 현재 W3C에 구성된 HTML5 관련 하위 모임으로 'W3C HTML5 대한민국 관심그룹(KIG)'이 활동중이다.

■'웹 크립토그래피 API', 암호처리를 브라우저로

23일 이원석 HTML5 KIG 의장은 W3C에서 '웹 크립토그래피 워킹그룹' 활동을 준비해왔는데, 현재 정리한 '차터(활동계획안)'에 대해 (W3C가) 지난달 10일부터 이달 15일까지 회원사 의견을 받았다며 아마도 조만간 (웹 크립토그래피) WG 활동을 시작할 것 같다고 언급했다.

W3C 웹 크립토그래피 차터(http://www.w3.org/2011/11/webcryptography-charter.html)에 따르면 해당 WG의 목적은 개발자들이 브라우저에서 신뢰성있는 암호 기반을 통해 메시지 기밀성과 인증 서비스를 포함한 웹앱 수준의 보안 애플리케이션 프로토콜을 구현케 해줄 API를 정의하는 것이다.

즉 기존 공인인증서로 구현해온 기밀성과 사용자 인증 등 암호화 기술을 브라우저 자체 기능으로 구현되게 해주는 웹표준을 만드는 것이 목표다.

이 의장은 웹 크립토그래피 WG에서 표준화하려는 API가 액티브X 기반 인증서를 대체할 수 있을 것으로 보이기 때문에, 이 WG 활동은 대한민국에 상당히 중요한 의미를 갖는다고 설명했다.

■액티브X에 발목 잡힌 공인인증서

현재 우리나라 사람들은 PC로 인터넷뱅킹이나 온라인 신분 증명을 할 때 요구되는 '공인인증서'를 쓰면서 일정한 불편을 감수한다. 번번이 인터넷익스플로러(IE) '액티브X'나 다른 브라우저의 플러그인으로 인증서 관리, 키보드 보안, 피싱 예방, 바이러스 차단을 맡는 프로그램을 설치하기 때문이다. 이는 번거로움을 넘어서 다른 프로그램과 충돌 등으로 불안정하게 동작하고 최신 브라우저와 OS를 못쓰게 만드는 환경이라 사용자들의 짜증을 유발해왔다.

반면 해외서는 이전부터 액티브X가 아닌 브라우저 자체 보안기능을 통해 이용 가능한 서비스를 제공했다. 일례로 현재 미국이나 유럽 인터넷 뱅킹 서비스 대부분에 사이트 인증을 위한 SSL과 거래 보안을 위한 일회용비밀번호(OTP) 기술이 쓰인다. 이 경우 운영체제(OS)나 브라우저 종류에 따른 제약은 아예 없거나 국내에 비해 훨씬 적다.

국내 웹 환경도 액티브X와 플러그인 지원이 취약한 모바일 웹 비중이 늘면서 개방형 표준 기술에 대한 인식이 높아가는 추세다. 그러나 공인인증서 관련 서비스는 개선될 여지가 많다는 평가다. 일부 은행이 '오픈뱅킹'이란 이름으로 윈도와 IE를 벗어난 공인인증서 사용을 지원하지만 여전히 OS와 브라우저 선택에 제약을 받는 상황이다. 더불어 주요 공공서비스는 타 브라우저와 OS를 전혀 지원하지 않는 경우가 훨씬 많다.

이때문에 웹 크립토그래피 WG가 다룰 웹브라우저용 표준 암호 기술 API는 여러 브라우저와 OS 환경에 대응할 수 있을 것으로 기대를 모은다. 다만 은행이나 공공기관이 기존 서비스를 표준 기술 기반으로 바꾸려면 그만큼 많은 사용자가 해당 표준을 지원하는 브라우저를 많이 써야 한다.

이 의장은 모질라와 웹킷 커뮤니티에서 해당 API 구현을 진행중이기 때문에 이를 지원할 브라우저 비중도 매우 긍정적이라고 전망했다.

이미 적잖은 사용자들이 모질라와 웹킷 기술을 쓰고 있다. 모질라는 데스크톱과 모바일용 파이어폭스 브라우저를 만든다. 웹킷은 데스크톱 브라우저 구글 크롬과 애플 사파리 브라우저용 엔진으로 쓰인다. 더불어 iOS와 안드로이드 등 여러 모바일 OS에 내장 브라우저 기반 기술로 탑재됐다.

■웹표준 공인인증서, 언제 실현될까?

실제 HTML5 표준이 확정되는 시점은 오는 2014년이다. 그동안 온라인 서비스에 공인인증서를 요구하는 업체들이 표준화 활동에 참여해 목소리를 내고 대응해야 할 것으로 예상된다. 애초에 공인인증서 구현을 위한 웹표준 API를 W3C측에 제안한 것도 국내서 시작됐다.

한국마이크로소프트(MS) 개발자플랫폼사업본부(DPE)의 웹기술 에반젤리스트 황리건 차장은 모질라 커뮤니티 리더인 윤석찬 다음 DNA랩장이 (웹 크립토그래피 WG) 드래프트(기술 초안)와 API를 W3C에 제안한 사람인 걸로 안다며 웹 크립토그래피 WG 스케줄을 보면 공인인증서를 HTML5로 구현할 수 있는 시점은 내년 중순쯤으로 예상된다고 말했다.

WG 일정에 따르면 '기술초안을 최초 제안(FPWD)'할 시점이 오는 6월, '변경내용 최종요청(LC)'이 내년 2월이다. FPWD 단계는 말 그대로 기술 내용과 구현방식을 제안하고 실험적으로 구현해보는 단계라 최종 표준과 거리가 있을 수 있다. 본격적으로 시장에서 활용 가능한 기술이 주요 브라우저에 탑재되려면 세부 기능을 더 이상 바꾸지 않는 LC 단계, 즉 내년초가 돼야 한다는 설명이다. 다만 시장수요가 많은 기술은 브라우저 업체들이 표준화 일정보다 앞서 구현과 안정화 경쟁을 벌이기도 한다.

황 차장은 이는 웹기술 업계에서 액티브X와 플러그인을 쓰지 않는 흐름이 대세가 돼감을 방증한다면서 시장 변화가 이같은 움직임에 속도를 더하고 있지만 웹표준 기반이 더 빠르게 확산되길 바란다고 덧붙였다.