액티브X 없는 웹표준 인증-결제 , 보완점은?

아무 것도 설치하지 않고 웹표준 환경에서만 본인인증, 결제 등을 할 수 있는 대안 솔루션들이 속속 등장하고 있다. 이들 솔루션이 좀더 대중화되기 위해서는 편의성, 보안성, 범용성 등에서 디테일을 보완해야 한다는 지적이다.

지난 9월 KB국민은행이 처음 도입한 브라우저 인증은 공인인증서, 개인키를 웹브라우저 내에 안전한 저장소에 저장한 뒤에 쓸 수 있게 하는 방식이었다. 다만 해당 은행이 제공하는 스마트OTP카드를 발급받은 고객들만이 활용대상이라는 점과 아직까지 다른 은행이 발급한 인증서를 활용하기 어렵다는 제약이 따른다. 보안적으로 웹브라우저 내에 인증서를 저장하는 방식은 기존 하드디스크 내 NPKI 폴더에 저장하는 방식과 비교해 크게 보안성이 높은 것은 아니라는 지적도 나온다.

해당 은행에 브라우저 인증을 구축, 공급했던 위즈베라 백효성 대표는 "웹브라우저 내에 암호화한 형태로 인증서, 개인키를 저장하는 방식이지만 소프트웨어 방식의 보안토큰(소프트보안토큰) 기술을 적용했기 때문에 NPKI 폴더에 저장하는 것보다 안전한 방식인 것은 맞다"고 밝혔다.

다른 은행에서 발급받은 인증서, 개인키를 활용하기 어렵다는 것도 보완해야할 점으로 꼽힌다. 웹표준 관련 규약을 정하는 W3C 내에서 '웹크립토API'라는 표준 암호화 기술에 대한 'SOP(Same Origin Policy)'에 대한 입장 차가 좁혀지지 않고 있기 때문이다.

SOP는 우리나라 말로는 동일출처정책으로 해석되며, 쉽게말하면 같은 URI를 쓰고 있지 않는 경우 다른 출처로 처리되게 하는 것이다. 쉽게 말하는 A 인터넷뱅킹사이트에서 발급한 공인인증서를 웹브라우저에 저장해 사용할 경우 B 인터넷뱅킹사이트에서는 활용할 수 없게 막아놓은 것이다.

마이크로소프트, 구글 등은 사용자가 프로토콜, 호스트, 포트 등이 같을 경우에만 중요한 문서나 스크립트를 활용할 수 있도록 하고 있다. 악성스크립트로 인해 출처가 불분명한 웹페이지에 접속해 중요정보가 유출되지 않도록 하기 위한 보안정책이다.

이런 정책은 MS, 구글 등이 제공하는 웹브라우저에 그대로 적용된다. 문제는 이런 방식을 따르게 되면 기존처럼 타행 인증서를 사용한 인터넷뱅킹이 불가능해진다는 점이다. 결국 인터넷뱅킹사이트마다 서로 다른 인증서를 발급해 웹브라우저 내에 저장해서 써야하는 불편함이 생긴다.

웹브라우저에 인증서, 개인키를 저장하는 방식은 또한 웹표준을 준수할 수 있어 여러 브라우저, OS를 지원할 수 있다는 장점이 있지만 그만큼 충분한 보안조치가 이뤄져야한다.

KISA가 발간한 '인터넷 이용환경 개선을 위한 기술 안내서' 8월 개정판에 따르면 웹취약점에 대응하기 위해 자바스크립트 소스에 대한 보호, 통신 구간에 대한 보호, 저장소에 대한 보호 기능을 갖춰야한다고 조언한다. 이런 방식은 내년 초 일부 은행들이 KB국민은행처럼 스마트OTP카드를 함께 사용한다는 조건 아래 도입한다는 계획이다.

비밀번호를 대체하는 생체인증기술 관련 단체인 FIDO얼라이언스가 마련한 FIDO 표준은 공인인증서 내에 비밀번호를 대체하는 수단으로 활용될 것으로 전망된다.

한국전자인증은 지문인식을 지원하는 스마트폰을 활용해 인증서에 로그인, 전자서명할 때 필요한 비밀번호를 생체정보를 입력해 인증하는 방식으로 대체한다는 계획이다.

관련기사

FIDO얼라이언스로부터 FIDO UAF 인증을 받았던 라온시큐어는 로그인, 결제 분야에서 스마트폰과 생체정보만을 활용해 본인을 인증할 수 있는 방법을 고안해 냈다. 온라인 쇼핑몰에 로그인하거나 주문한 물건을 결제할 때 지문, 안면인식 등 생체정보를 활용하는 방식이다.

다만 아직까지는 공인인증서를 대체할 수 있는 수단으로까지 활용되지는 않고 있다. 라온시큐어 김운봉 이사는 "인증서가 가진 부인방지기능을 스마트폰을 활용한 FIDO 표준 기반 생체인증으로도 충분히 대체할 수 있다고 본다"며 "아직까지는 인터넷뱅킹 등 분야에서는 추가인증방법 중 하나로만 검토되고 있는 단계"라고 설명했다.