웹서비스에 통합 용이한 정보보호 기술 필요

보안 기술 표준화, 기존 웹서비스 보안 기술 최대한 활용

유비쿼터스 사회는 원격 무선시대라고 할 수 있다. 언제 어디서나 인터넷서비스를 받을 수 있다. 한편 이러한 편리한 서비스를 받기 위해 우리는 모바일을 기반으로 생활의 중심이동이 지금도 일어나고 있는 상황이다.

한국전자통신연구원(ETRI) 정보보호연구단 바이오인식기술연구팀 이재승 연구원은 “모바일 웹서비스를 통해 사용자는 어떠한 단말이나 네트워크 환경에서도 다양한 응용 서비스를 이용할 수 있게 된다. 현재 전자정부, 전자거래 서비스가 웹서비스 기반으로 구축되고 있으며, 모바일 웹서비스를 통해 사용자는 휴대 단말을 이용해 이러한 서비스들을 언제 어디서든 이용할 수 있게 된다”고 밝혔다. 그에게 모바일 웹서비스에 대해 들어봤다.

Interview

ETRI 바이오인식기술연구팀 이재승 연구원

모바일 웹서비스란 무엇인가?

정보 기술이 발전하고 인터넷이 보편화되면서 전자거래를 비롯한 다양한 응용서비스가 인터넷 기반으로 구축되고 있다. 이러한 다양한 인터넷 기반의 응용 서비스를 통합하면서 이기종 간의 시스템 연계 문제가 발생하고 있으며, 이를 해결하기 위해 웹서비스 (Web Services) 기술이 각광받기 시작했다.

웹서비스는 네트워크상에서 접근 가능한 소프트웨어 기능 단위로, 플랫폼, 프로그래밍 언어 및 컴포넌트 모델에 독립적인 기술로 만들어진 소프트웨어를 말한다. 웹서비스는 XML (eXtensible Markup Language)을 기반으로 하며, SOAP (Simple Object Access Protocol), WSDL (Web Services Description Language), UDDI (Universal Description, Discovery and Integration)를 기본으로 하여 구성된다. SOAP은 메시지 전달을 위해 사용되는 프로토콜이고, WSDL은 웹서비스를 기술하기 위한 언어이며, UDDI는 웹서비스를 등록, 검색하기 위한 표준이다.

모바일 환경은 다양한 플랫폼으로 구성되어 있으며, 웹서비스는 이들이 제공하는 이질적인 서비스들의 통합을 용이하게 해 줄 수 있기 때문에 최근 모바일 환경에 웹서비스를 접목한 모바일 웹서비스 기술이 개발되기 시작했다.

모바일 웹서비스에 대한 요구는 어느 정도인가?

시간과 장소에 구애받지 않고 서비스를 받을 수 있다는 장점 때문에 모바일 단말을 통한 인터넷 서비스 사용이 급증하고 있으며, 다양한 모바일 서비스들이 개발되고 있다. 오퍼레이터, 서비스 프로바이더, 컨텐츠 프로바이더, 사용자 단말 등으로 구성된 모바일 환경에서는 다양한 플랫폼이 사용되고 있으며 웹서비스는 이들이 제공하는 이질적인 서비스들을 적은 비용으로 빠르고 쉽게 통합하는 것을 가능하게 해줄 수 있기 때문에 최근 모바일 환경을 위한 웹서비스 기술 개발에 대한 요구가 증대되고 있다. 많은 무선 인터넷 사업자, 컨텐츠 프로바이더, 서비스 프로바이더가 모바일 단말에서 이용할 수 있는 웹서비스 기능을 요구하고 있으며, 특히 국내의 경우, 모바일 플랫폼 표준인 WIPI 환경을 위한 모바일 웹서비스 기술 개발 및 표준화가 요구되고 있다.

이 서비스가 도입되면 우리생활에 어떤 혜택을 가져 올 수 있나?

모바일 웹서비스를 통해 사용자는 어떠한 단말이나 네트워크 환경에서도 다양한 응용 서비스를 이용할 수 있게 된다. 현재 전자정부, 전자거래 서비스가 웹서비스 기반으로 구축되고 있으며, 모바일 웹서비스를 통해 사용자는 휴대 단말을 이용해 이러한 서비스들을 언제 어디서든 이용할 수 있게 된다. 서비스 제공자 입장에서는 모바일 웹서비스를 통해 다양한 단말 및 서비스로 구성된 모바일 서비스들을 손쉽고 빠르게 통합할 수 있으며 기존에 제공하던 서비스의 기능을 향상시켜 재활용하고 다수의 서비스를 연계시켜 새로운 서비스를 개발 가능하게 됨으로써 새로운 서비스 개발에 대한 시간과 비용을 절감할 수 있다. 또한 기존의 유선 인터넷 상에서 제공되던 서비스와 모바일 서비스 간의 연계도 용이해 진다.

모바일 웹서비스의 보안은 어떻게 이루어지나?(현재 보안기술 수준은?)

유무선 환경에서의 웹서비스 기반 서비스 구축에 큰 걸림돌이 되고 있는 것은 웹서비스에 대한 정보보호 문제다. 이를 위해서는 웹서비스에 통합이 용이한 정보보호 기술이 필요하다. 웹서비스에서 사용되는 메시지는 XML 기반 프로토콜인 SOAP 메시지 형태이며, 이에 대한 정보보호를 적용하기 위해서는 정보보호 처리 결과가 XML 형태이고 SOAP 메시지에 대한 부분 서명, 암호화 등이 가능한 기술이 적용되어야 한다. 또한 웹서비스 메시지는 다수의 중개자를 경유하는 경우가 많기 때문에 멀티홉을 거치더라도 보안 컨텍스가 유지되는 end-to-end 보안 기술을 적용해야 한다. 또한 XML 기반의 보안 정책 기술 및 접근제어, 보안 정보 교환, SSO (Single Sign On), ID 관리 기술 등의 적용이 필요하다.

대표적인 웹서비스 보안 기술로는 W3C의 XML 전자서명 (XML Signature) 및 XML 암호 (XML Encryption) 기술, OASIS의 WS-Security (Web Services Security: SOAP Message Security), IBM/MS/Verisign의 WS-SecurityPolicy, OASIS의 SAML (Security Assertion Markup Language) 및 XACML(Access Control Markup Language), W3C의 XKMS (XML Key Management Specification), Liberty Alliance의 Identity Federation, Identity Web Services Framework 기술 등이 있다.

XML 전자서명은 XML을 비롯한 다양한 형태의 전자문서에 대해 XML 형태의 전자서명을 생성하고 검증할 수 있는 XML 기반의 전자서명 기법이며, XML 암호기술은 XML을 포함한 다양한 디지털 컨텐츠에 대한 암호문을 XML 형태로 생성하고 복호화하는 암호 기술이다. WS-Security는 웹 서비스에서 메시지 수준에서의 보안을 제공해 주며, 멀티홉을 거쳐 전달되는 SOAP 메시지의 안전한 end-to-end 전송을 가능하게 해주는 표준 기술이다. WS-SecurityPolicy는 WS-Security에 적용되는 WS-Policy에 대한 정책을 제공하는 표준이며, SAML은 XML 기반의 인증 및 승인 정보를 안전하게 교환하기 위한 표준이며, XACML은 XML로 기술된 정책 언어와 접근 제어 결정 요구/응답 언어로 구성된 접근 제어에 대한 표준이다. XKMS는 PKI 기술과 XML 어플리케이션의 통합을 용이하게 해주는 키관리 서비스 표준이다. Identity Federation 및 Identity Web Services Framework 기술은 분산 시스템 환경에서 협업적 비즈니스를 가능하게 하도록 사용자 Identity에 대한 프라이버스와 안전성을 보장하면서 SSO를 가능하게 해주는 기술이다.

모바일 웹서비스 보안 기술 표준화는 새로운 표준 개발보다는 이러한 기존의 웹서비스 보안 기술을 최대한 활용하는 쪽으로 진행되고 있으며, 위의 기술들을 모바일 웹서비스에 그대로 적용하거나 모바일 환경에 맞도록 프로파일을 만들어 적용하고 있다.

OMA에서는 모바일 웹서비스를 위한 전송 레벨 보안 기술로 SSL/TLS를 사용하고 메시지 레벨 보안 기술로 WS-Security를 사용하며, 응용 레벨 보안을 위해 XML 전자서명 및 XML 암호를 사용하고 키관리를 위해 OCSP나 XKMS를 사용하며 인증을 위해 SAML을 사용할 것을 권고하고 있다. 또한 모바일 웹서비스에서의 ID 관리 기술로 Liberty Alliance의 표준을 기반으로 한 OMA Network Identity Federation Framework, OMA Network Identity Web Service Framework 표준을 개발하고 있다. Nokia에서는 모바일 환경에서 XML 및 SOAP을 지원하고 Liberty Alliance의 ID관리 기술을 구현한 Nokia Web Services Framework를 개발하고 있다. 하지만 아직 모바일 폰에서 XML 보안 기술 및 WS-Security 등을 완전하게 지원하는 제품은 없으며, 기존의 SSL이나 WTLS를 적용해 전송 레벨에서의 보안을 지원하는 경우가 대부분이다. 

이 서비스를 위해 정부나 KISA 혹은 ETRI에서 준비하고 있는 사항이 있다면?

ETRI에서는 표준연구센터와 정보보호연구단에서 정보통신표준화 사업인 ‘유비쿼터스 웹서비스 표준화 연구’를 수행하면서 모바일 및 유비쿼터스 환경을 위한 웹서비스 표준 기술을 개발하고 있다. 정보보호연구단에서는 유무선 웹서비스 정보보호를 위한 기술 개발 및 표준화를 수행중이고 모바일 웹서비스 보안과 관련하여 현재 모바일 웹서비스에서의 메시지 보안 서비스 아키텍쳐 표준 (X.websec-3)을 개발하면서 ITU-T SG17에서 국제 표준화를 추진 중이고 WIPI 환경을 위한 XML 보안 API 개발 및 표준화를 진행하고 있다. 또한 모바일 웹서비스를 위한 인증/인가 표준 기술도 연구하고 있다.

앞으로 전망은 어떤가?

모바일 웹서비스를 통해 휴대폰과 같은 이동 단말에서도 시간과 장소에 구애받지 않고 다양한 서비스 이용이 가능해지며, 모바일 웹서비스 기술은 향후 와이브로, 텔레매틱스 응용, 유무선 통합 환경 등을 포함한 다양한 환경에서의 효율적인 서비스 연동 기술로 발전되리라고 예상한다. 특히 모바일 웹서비스에 대한 보안 기술이 개발되어 서비스의 안전성이 보장되면 모바일 웹서비스의 확산이 더욱 촉진되리라고 기대한다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>