• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

‘웹크립토’ 이용한 공인인증서, 활용가능성은? 2014.11.14

정보보호포럼 조찬 세미나 개최...정보보호 표준화 동향 논의


[보안뉴스 김태형] 정보보호포럼(의장 염흥열, 순천향대 교수)은 14일 서울 팔래스호텔에서 조찬 세미나를 개최하고 W3C(World Wide Web Consortium) 정보보호 표준화 동향 및 ITU-T SG17 제4차 회의 성과에 대해 발표했다.

 ▲ 순천향대학교 김동준 연구원은 “웹브라우저 기반 암호화 기술인 ‘웹크립토(Web Crypto) API’를 활용해 플러그인 없는 공인인증서를 발급한다면 보다 폭넓고 안전하게 활용할 수 있다”고 설명했다.


먼저 순천향대학교 김동준 연구원은 ‘W3C 정보보호 표준화 동향- HTML5를 이용한 공인인증서 이용’을 주제로 한 발표에서 “지난 10월 28일 W3C는 HTML5 표준 권고안을 발표했다. 이 권고안은 보안과 개인정보, 웹 디자인과 개발, 응용프로그램 수명관리, 유용성과 접근성 등에 적용된다”고 설명했다.


또한 그는 “현재 W3C에서 표준화 논의가 진행 중인 웹브라우저 기반 암호화 기술인 ‘웹크립토(Web Crypto) API’를 활용해 플러그인 없는 공인인증서를 발급하고 키스토어(Keystore) 저장을 통해 이용하면 기존보다 더 안전하게 이용할 수 있다”고 말했다.


기존 공인인증서는 보안에 취약한 ActiveX 사용으로 인해 공인인증서 유출 증가와 IE ActiveX의 사용으로 브라우저 호환성도 떨어진다는 문제점이 있다. 또 보안접속 프로그램, 키보드 보안, 개인 방화벽, 백신 등의 보안 프로그램 설치를 강요하고 사용자들에게 ActiveX에 대해서 무조건 ‘예’를 누르게 인식시켜 악성코드 유포에도 기여하게 했다.


이에 대해 김 연구원은 “이같은 상황에서 웹크립토를 활용해 웹 환경에서 플러그인 없이 공인인증서 환경을 구현한다면 다양한 분야에서 활용이 가능하고 어떤 환경에서도 동작하는 호환성을 확보할 수 있다”면서 “최근 관련 기관이나 업체에서도 이와 관련한 공인인증서 저장매체인 보안토큰 개발 및 HTML5 기반의 ActiveX Free 공인인증서 기술을 개발하고 있다”고 밝혔다.


이와 관련 정보보호포럼 의장 염흥열 교수는 “웹 크립토의 표준화는 현재 진행 중이다. 이 기술은 공인인증서가 밖으로 나갔을 때 꺼내 볼 수 없도록 하는 기술이다. 현재 공인인증서도 해커가 탈취해 가도 파밍 공격을 통해 패스워드를 가져가야만 개인키를 탈취할 수 있다”면서 “공인인증서와 ActiveX의 문제는 별개로 대응하면 풀릴 수 있는 부분이라고 생각한다. 기존 환경에 대해서 비판하는 것은 좋은데 대안 없는 비판은 문제가 있다. 대안을 제시하는 비판이 돼야 한다”고 덧붙였다.


또한 그는 “다른 나라에서 금융거래를 하려면 보안레벨이 1부터 5까지 있다고 한다면 레벨3 이상이 돼야 가능하다. 그런데 우리나라는 그렇지 않다. 우리나라에서도 보안에 대해 사용자 중심의 선택 권한을 준다면 더 안전하게 사용할 수 있을 것으로 본다. 현재 공인인증서를 강제하지 않는 상황에서 사용하지 못하게 하는 것도 안 된다. 선택은 은행 자율에 맡겨야 한다”고 말했다.

한국인터넷진흥원 정경호 부원장은 “실제로 보안 위험성이 과장된 부분도 있다. 정부 및 관련 기관에서는 여러 가지 방법들을 이용해 보안을 해결하려는 입장이며 전자거래를 활성화하고 다른 나라와 비슷한 보안 환경으로 만들기 위해 노력하고 있다”면서 “너무 보안만 생각하다 보면 복잡하고 어려운 기술만 만들어내고 이에 대한 부작용도 따르게 마련이다. 보안과 활용의 균형을 맞추는 것이 중요하다”라고 강조했다.

정보통신기술센터CP 원유재(충남대 교수)는 “지금까지 보안 솔루션만 사용하면 안전하다고 한 것이 잘못됐다고 생각한다. 보안 솔루션의 한계를 인정하고 사실 그대로 전달해야 하는데 현재 그렇지 못하다”면서 “공인인증서도 기술적·이론적 측면에서는 완벽한 기술이지만 실제 적용 환경에서 발생하는 다양한 문제에 대해서는 그 한계를 인정하고 부족한 부분은 다른 방법으로 채워야 할 필요가 있다”고 말했다.


이어서 나재훈 정보보호포럼 부의장(ETRI)은 ITU-T SG17 제4차 회의 결과에 대해 발표했다. 나재훈 부의장은 “지난 9월 17일부터 26일까지 스위스 제네바에서 개최된 이번 회의에서 한국은 총 28건(섹터 7건 포함)의 기고서를 제출했다”고 말했다.


이번 회의 성과는 △승인 채택은 ‘웹기반 공격 예방을 위한 기술에 대한 국제표준(X.1211), △채택준비 승인은 이상행위 탐지 시스템 기능(X.sap-7), 모바일 기기를 이용한 다중요소 인증 메커니즘(X.asp-8), 위임부인방지 보안구조(X.asp-9) △부속서 승인은 스마트폰 앱 배포 및 검증 기준(X.msec-8) △신규 표준화 아이템 발굴(ITS보안, 연령 검증기술, SDN보안, 빅데이터 보안, 스마트그리드 보안, 모바일 침해탐지 기술, 정보보호 준비도, 스미싱 대응기술, 사이버보안 메시지 포맷 등) △개인정보보호 관리체계 가이드라인, 보안관리 개정표준, 텔레바이오인식 및 스마트 그리드 보안, OID 기반 기술 등의 표준 초안 업데이트 진행 등이다. 

한편 정보보호포럼은 정보보호 기술 개발 및 표준화를 통한 국내 정보보호 산업 활성화와 정보보호 정책의 실효성 확보를 위해 올해 창립됐다. 이를 바탕으로 국내외 정보보안 표준화 추진의 구심적 역할을 담당하고, 사이버 보안 및 개인정보보호정책 제안 등이 활동을 펼쳐나가고 있다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>