액티브X 기반 추가 플러그인을 설치하지 않고 웹브라우저 종류에 상관없이 공인인증서를 쓸 수 있게 하는 기술이 개발 완료 단계에 왔다. 앞으로 남아있는 과제는 추가 플러그인을 통해 설치할 수밖에 없었던 키보드 보안, 개인방화벽 등을 어떻게 보다 편리하게 구현할 수 있는가이다.
금융거래에서는 전자금융거래법 시행세칙이 개정되면서 공인인증서를 쓰지 않고도 30만원 이상 결제를 허용됐다. 이에 따라 스마트폰앱, ARS인증 등을 활용한 비공인인증서 기반 결제 기술들이 속속 개발되고 있다.
이와 함께 정부는 그동안 사용자들에게 많은 불편함과 보안문제를 초래해 왔던 문제를 웹표준 기술을 통해 해결한다는 방침이다.
최근 미래창조과학부, 한국인터넷진흥원(KISA)은 비액티브X 공인인증서 구현을 위해 'HTML5 기반 공인인증서 발급 및 이용 프레임워크 개발' 프로젝트를 이르면 9월 안에 완료할 계획이라고 밝힌 바 있다.
이 프로젝트는 월드와이드웹 컨소시엄(W3C)에서 논의 중인 웹브라우저 기반 암호화 기술인 '웹크립토 API'를 통해 플러그인 없이 인증서 발급, 관리를 위한 일련의 과정을 다룬 프레임워크를 개발하는 것을 목표로 한다.
또한 기존에 하드디스크에 공인인증서와 관련 비밀번호로 사용되는 개인키 정보를 저장했던 문제를 해결하기 위해 스마트폰 USIM칩, 신용카드(IC카드) 등 별도 보안매체와 연동시킬 수 있게 하는 스마트인증 서비스 연동모듈을 개발하는 중이다.
내부에 저장되면 읽기만 가능할 뿐 복사가 불가능한 전자서명생성키 저장매체인 보안토큰(HSM)을 구동하기 위한 소프트웨어도 함께 개발된다.
해당 사업을 주관하고 있는 KISA 전자인증팀 임진수 팀장은 현재 기본 기술 개발을 완료해 정리하고 있는 단계이고, 기본적으로 자바스크립트, W3C 웹크립토 API를 활용해 인증서를 발급하거나 사용할 때 추가 플러그인을 설치하지 않도록 방법을 구현했다고 말했다.
현재 이 프로젝트에는 한국전자통신연구원(ETRI)이 IC카드 관련 기술을 개발 중이다. 이밖에도 유심, 보안토큰, 기존 공인인증서 기반 보안솔루션 개발업체들이 참여하고 있다. 웹표준 기반 공인인증서 기술 구현에 이전보다 빠르게 속도를 내는 모습이다.
그동안 공인인증서를 활용한 거래에 필수 설치 프로그램이었던 공인인증서 보안, 개인방화벽, 키보드 보안용 플러그인 중 공인인증서 구현 기술은 큰 무리없이 웹표준에 따라 추가적인 설치 없이도 쓸 수 있게 될 전망이다.
그러나 개인방화벽, 키보드 보안 프로그램은 특성상 어쩔 수 없이 운영체제(OS)의 커널단은 물론, 드라이버단을 건드려야 하는 탓에 사용자 편의성을 높이기에는 여전히 한계가 따를 것으로 전망된다.
초기부터 키보드 보안 프로그램을 개발해 주요 금융권 등에 공급해 온 소프트캠프 배환국 대표는 해커들은 PC 내 보드에 탑재된 키보드 구동 관련 칩셋에 직접 명령을 내려 입력값을 빼내는 수법까지 쓰고 있어 OS별, 웹브라우저별로는 물론, 보드 칩셋에 대한 문제까지 해결해야 한다는 점에서 어려움이 있다고 말했다.
키보드는 하드웨어인 탓에 드라이버를 설치해 입력값을 암호화해야 한다. 이 과정에서 추가적인 프로그램을 설치할 수밖에 없게 된다는 설명이다. 공인인증서 보안이 통신보안이라면, 물리적인 장치를 활용한 입력보안을 해결하기 위해서는 플러그인이 설치될 수밖에 없다는 것이다.
배 대표는 커널단을 건드려서 서로 다른 키보드 보안 프로그램들 간에 충돌이 나는 문제는 많이 안정화가 됐지만 중국산 저가 보드에 사용된 키보드 구동 칩셋의 경우 보드마다 특성을 타는 탓에 완벽하게 오류없이 대응하기는 어렵다고 덧붙였다.
그렇다고 키보드 보안 프로그램을 설치하지 않는다고 해결될 문제는 아니다. 해커들이 키보드 입력정보를 빼내는 수법은 이미 오래 전부터 악용된 해킹 기법 중 하나이기 때문이다.
관련기사
- MS-구글, 웹용 실시간 통신 API 공동 표준화2014.08.24
- 공인인증 대체 결제수단, 올해 쓸 수 있나?2014.08.24
- ‘공인인증서→휴대폰인증’으로 대체된다2014.08.24
- 공인인증 필요없는 결제기술 힘받았다2014.08.24
개인방화벽 역시 네트워크를 통해 오가는 트래픽을 적어도 공인인증서를 사용하는 동안에는 보안성을 높여준다는 점에서 필요없다 보기는 어렵다.
해외에서는 개인/기업들이 필요에 따라 직접 키보드 보안 등과 같은 툴을 구매한 뒤 설치한다. 그러나 국내서도 사용자들의 불편함을 줄이기 위해 키보드 보안, 개인방화벽을 알아서 선택하도록 한다고 문제가 해결될 수 있을지는 미지수다.
