-
공인인증서와 ActiveX, 왜 지금까지 이렇게 이어져 왔을까?Security 2012. 12. 20. 07:34반응형
최근 IT업계의 화두는 공인인증서, 그리고 ActiveX가 아닐까 싶다. 대선기간 중에 대선후보들이 공인인증서 폐지와 ActiveX 축소를 공약으로 내세웠던 것이 이 이슈를 수면위로 떠오르게 만들었지만 실제로는 그 전부터 공인인증서에 대한 사용자들의 불만, 그리고 ActiveX에 대한 불편함과 웹표준, 웹호환성에 대한 문제제기가 계속 있어온 것이 사실이다. 웹표준이 트랜드가 되고 모바일 환경이 점점 사용자들의 메인 환경이 되어가고 있는 요즘 어떻게 보면 시대에 뒤떨어진 구시대 산물처럼 보이는 공인인증서와 ActiveX가 왜 지금까지 지속되어 온 것일까? 간략하게 살펴볼까 한다.
인터넷 뱅킹이나 쇼핑몰 사이트를 돌아다니다보면 수많은 ActiveX 모듈을 설치하게 된다. 잘 살펴보면 대부분이 보안 관련 모듈이다. 키보드 보안 모듈, 암호화 통신 모듈, 화면 저장 방지 모듈, 화면 위조 방지 모듈 등 설치되는 ActiveX의 종류만 해도 10개정도(혹은 그 이상)가 된다. 많이도 깔린다는 생각도 들 뿐더러 다 설치하고 나면 PC의 성능이 무척이나 많이 느려진다는 느낌도 받는다. ActiveX는 윈도 운영체제 위에서 사용되는 인터넷 익스플로러의 플러그인이기 때문에 많은 플러그인이 동시에 동작되기 때문에 성능이 떨어질 수 밖에 없는 것은 당연한 일이다. 그렇다면 왜 이렇게 많은 ActiveX를 필요로 하게 될까?
정부에서는 법으로 인터넷 상에서 금융관련 모든 액션에 보안을 하도록 의무화를 했다. 은행에 가서도 본인 인증 후에 금융거래를 하는 것과 마찬가지로 인터넷 상에서도 돈이 오가는데 당연히 보안을 해야 하는 것이 맞으니 이에 불만을 품을 수는 없을 것이다. 인터넷을 통한 금융 업무가 활성화되기 시작한 것이 2000년대 초중반쯤이다. 운영체제(OS)는 윈도 XP가 전 PC 사용자의 98% 정도를 차지하고 있었고 인터넷 익스플로러 6(IE6) 웹브라우저가 95% 이상을 차지하고 있을 때다. 정부에서 법으로 이 부분을 강제하기 시작하니 인터넷 뱅킹이나 쇼핑몰 서비스를 운영하는 기업 입장에서는 인터넷 상에서 법으로 정한 보안 요건을 다 갖추기 위한 기술을 도입하기 시작한다. 이때 각광을 받았던 기술이 바로 ActiveX 기술이다. ActiveX는 마이크로소프트(MS)가 제공하는 인터넷 익스플로러(IE)의 플러그인으로 운영체제의 내부 자원을 사용할 수 있는 획기적인 기술이었다. 그 당시 수많은 인터넷 기술들이 ActiveX 기반으로 많이 만들어졌는데 IE6가 제공하는 기술에 한계가 있고 사용자들이 원하는 수준까지 자체적으로 지원해주지 못했기 때문에 ActiveX를 이용해서 다양한 기술을 접목한 서비스들이 인기를 끌기 시작했던 때다. 앞서 얘기했던대로 윈도라는 OS를 대부분 사용하고 있었고 IE6 역시 웹브라우저를 천하통일하다시피 한 상황이라 보안 업계는 대다수가 사용하는 환경인 윈도 XP에 IE6를 기준으로 인터넷용 보안 소프트웨어를 만들기 시작한다. 그리고 인터넷 뱅킹을 제공하는 은행이나 증권사, 결제 서비스를 제공해야 하는 쇼핑몰 업체들은 이들 보안 소프트웨어를 적용해서 정부의 보안 기준을 충족시키게 된다.
여기서 왜 ActiveX를 고집했는가를 얘기하자면 일단 그 당시에 IE6에서도 보안 기능을 제공했다. 그런데 정부가 원하는 보안 기준에는 보안 알고리즘을 국내에서 제공하는 국산 알고리즘을 사용해야 한다는 조건을 붙인다. 그 당시에는 SEED, 지금은 ARIA 알고리즘이 그 예인데 이렇게 했던 이유는 암호화 알고리즘은 국가 기반 자원으로 분류되었기 때문이다. 2000년대 초에 미국에서는 AES 암호화 알고리즘을 메인 알고리즘으로 사용했지만 미국 이외에서는 사용할 수 없었다(미국이 오픈을 안시켰기 때문이다). 2000년대 중반부터 AES 알고리즘을 본격적으로 해외에서도 사용할 수 있었다. 정부가 SEED나 ARIA를 고집하는 이유 중에 하나가 암호화 알고리즘의 국가 기간 자원화 때문도 있다. 어찌되었던 MS가 만든 해외 어플리케이션인 IE6에는 당연히 SEED 알고리즘 지원이 없었다. 그것을 해결하기 위해서는 외부의 플러그인 도움이 필요하고 딱 맞게 ActiveX를 이용해서 SEED 알고리즘을 지원할 수 있게 만들었던 것이다. 또한 키보드를 통한 해킹이나 화면을 조작하는 위법행위로부터 보호받기 위해서는 다양한 보안 모듈이 필요했는데 그 시대에는 가장 많이 사용하는 환경에서 돌아가게 하기 위해서 ActiveX를 쓰는 것이 당연시 되는 때였다. 즉, ActiveX의 범람은 어쩔 수 없는 시대적 배경이 있었다는 얘기다.
공인인증서 역시 같은 이유에서 해석이 가능하다고 본다. 우리가 은행이든 쇼핑몰에서든 금융 관련 뭔가를 할 때 돈이 직접 오가는 경우에 신분증을 먼저 제시하고 본인 확인을 한 후에 다음을 진행하는 경우가 많다. 쇼핑몰에서 결재를 할 경우에는 본인의 카드나 현금을 직접 이용하기 때문에 신분증 확인을 하지 않지만 은행에서 업무를 볼 때에는 신분증을 사용하는 경우가 많다. 돈이 오가는 일이기 때문에 잘못하게 되면 금전적 피해를 볼 수 있기 때문에 최소한의 보호조치로 본인 확인을 하는 것이다. 오프라인에서도 이러한데 인터넷이라는 온라인 환경에서는 더더욱 본인 확인이 어렵다. 이런 인터넷 환경에서 본인 확인을 명확하게 하기 위해서 나온 정책이 공인인증서 정책이다. 국가에서 지정받은 공인인증서 발급 기관(혹은 기업)을 통해서 만들어진 공인인증서를 이용해서 인터넷 상에서도 본인을 확인할 수 있게 한다는 취지로 만들어진 것이다.
해외의 경우 본인 확인으로 이메일 인증을 사용한다. 2차 인증이라고 하는데 ID와 패스워드로 인증하는 것 이외에 본인만이 알고 있는, 서비스에 등록할 때 같이 기록된 본인의 이메일로 인증 코드를 전달해서 그 코드를 입력하게 함으로 본인임을 확인하게 한다는 것이다. 국내에도 휴대폰의 문자메시지(SMS)로 인증코드를 보내서 본인 인증을 하는 2차 인증을 많이 사용하고 있는데 아직까지 금융거래와 관련해서는 공인인증서를 통한 인증만 가능한 것이 현실이다. 이유는 금융관련 모든 액션들을 국가에서 지정한 기술로 보호하게 하기 위함이다. 이메일 인증이나 SMS를 이용한 인증에 대해서 아직까지 신뢰를 할 수 없다는 정부의 생각도 있고 인증 방법을 여러개로 하는 것보다 하나로 통일해서 하도록 하는 것이 관리하기도 수월하기 때문에 공인인증제도를 만든 것이다. 또한 각 기업마다 제각기 인증방법을 연구하는 것이 아닌 국가에서 지정한 방법을 이용해서 사용하게 함으로 추가 비용을 방지할려는 목적도 있다. 어찌되었던 국가에서 인정하는 공인인증제도이기 때문에 신뢰할 수 있다는 것이 공인인증서의 확산을 가져오게 된 것이다.
문제는 공인인증서에서 사용하는 방법들이 국제 표준이 아닌 국내용이라는 것이 문제다. 위에서도 언급했던 암호화 방식부터 거의 국제 표준이 되다시피 한 AES가 아닌 ARIA를 사용하고 있으며 각 웹브라우저에서 제공하는 보안 모듈 데이터 저장소가 아닌 공인인증서 전용 저장소를 사용한다는 것이 문제가 되었다. 그리고 위에서 언급한 ActiveX 기반으로 구동되고 있는 것도 지금의 변화된 환경을 못쫓아가고 있다는 지탄을 받고 있는 이유가 되고 있다.
하지만 공인인증서가 왜 지금까지 이어졌는지에 대해서는 ActiveX의 사례와 마찬가지로 그 당시에 최선의 방법이었고 그것이 통용되는 사회였기 때문이며 공인인증서를 제공하는 업체 역시 보안 업체이기 때문에 위에서 언급한 같은 이유가 적용되고 있는 것이다.
이런 시대적인 이유를 모르고 무조건 현재에 문제가 되었으니 다 바꿔야 하고 없애야 한다고 주장하는 것은 좀 무리가 있다. 변해야 하는 것은 사실이고 변하기 위해서 보안 업계들도 노력하고 있는 것이 사실이다. 몇몇 보안 업체들이 자사의 수익 보존을 위해 정부에 보안 정책을 바꾸지 말것을 로비한다는 소문도 돌지만 그건 정말 극소수의 경우일 뿐이고 현재 보안 업체들도 얼마 안되는 개발 인프라를 총동원해서 현재 요구사항에 맞춰서 변화시키고 있는 중이라는 사실은 인지를 해야 할 듯 싶다. 다음에는 어떻게 보안 업계들이 현재의 상황, 환경에 맞춰서 ActiveX에 맞춰진 보안 솔루션들을 바꿀 것인지를 살펴볼까 한다.
본 포스트는 kocca 콘텐츠산업정보포탈의 콘텐츠갤러리에 기고한 글로 기고된 글은 [여기]에서 보실 수 있습니다.
반응형댓글