-
인터넷 보안에 대한 영원한 숙제. ActiveX와 공인인증서를 대체할 수 있는 방법은 없는 것일까?Security 2013. 1. 14. 07:58반응형
이미 대선은 끝났지만 대선 기간 중에 몇몇 대선후보가 내세웠던 IT 공약들 중에 ActiveX 줄이기와 공인인증제도 폐지가 있었다. 이 공약이 나오기까지에는 사용자들의 불편함이 그 배경으로 깔려있는데 간단히 정리하면 다음과 같다.
공인인증제도에서 사용하고 있는 공인인증서는 국제 표준처럼 사용하고 있는 SSL 방식이 아닌 국내에서만 사용할 수 있는 방식으로 인터넷 익스플로러나 파이어폭스, 크롬과 같은 웹브라우저에서 지정하고 있는 서버 인증서 저장 공간이 아닌 별도의 공인인증서 저장 공간을 사용하고 있으며 암호화 방식도 SSL에서 사용하고 있는 AES 방식이 아닌 국내 암호화 알고리즘(SEED, 혹은 ARIA 등)을 이용하는 등 오로지 국내에서만 사용할 수 있는 국내 표준방식이다. 그렇기 때문에 해외에서 만든 웹브라우저인 인터넷 익스플로러나 파이어폭스, 크롬 등에서는 제대로 사용할 수 없다. 그렇기 때문에 플러그인 방식이 필요했던 것이며 공인인증제도가 시작될 때 가장 많이 사용하고 있는 인터넷 환경인 윈도 OS 위에 인터넷 익스플로러를 기반으로 만든 ActiveX가 공인인증서 플러그인으로 채택되어 사용된 것이다.
공인인증제도는 그렇다고 치고 여기서 문제가 되는 것은 ActiveX의 사용이다. 위에서 언급했듯 2000년대 중반에 제도가 만들어지고 시행이 되었기 때문에 멀티 플랫폼, 멀티 웹브라우저 사용이라는 것이 아닌 당장에 쓸 수 있는 기술을 사용해야 한다는 전제조건이 붙었다. 그래서 ActiveX가 채택되어 사용되었고 지금까지 이어지고 있다. 하지만 2000년대 후반에 들어와서 모질라 재단의 파이어폭스가 웹브라우저 전쟁의 전면에 나서게 되고 구글이 크롬 웹브라우저를 내놓음으로 웹브라우저가 인터넷 익스플로러만 사용하는 것이 아닌 다양한 웹브라우저를 사용하는 시대가 되었다. 그리고 ActiveX가 보안에 취약하다는 점으로 인해 윈도 XP 이후에 윈도 비스타와 윈도 7으로 넘어가면서 ActiveX 사용 패턴 및 방식에 변화가 생기면서 기존에 사용했던 ActiveX 방식에 문제가 생기기 시작한다. 그리고 2009년부터 아이폰의 국내 도입 이후에 본격적으로 불어온 모바일 환경에 대한 대응도 늦어졌는데 그 이유를 많은 전문가들은 ActiveX에서 그 원인을 찾고 있는 것이 사실이다.
간단히 정리하면 위와 같이 현재의 공인인증방식과 ActiveX에 대한 사용상 배경 및 문제점을 살펴봤다. 그러면 그대로 불편함을 갖고 살아야 하는가? 아니다. 시대가 변하는 만큼 ActiveX를 이용한 다양한 보안 소프트웨어를 만드는 보안업계들도 이런 문제점을 인지하고 변화하고 있다. 그리고 다양한 대안 및 대응방향을 제시하고 있는데 그것들을 좀 살펴볼까 한다.
현재의 ActiveX는 윈도 OS 위에서 인터넷 익스플로러 웹브라우저 위에서만 동작하는 싱글 플랫폼, 싱글 웹브라우저 기반의 플러그인 방식이다. 위에서 언급했지만 국내 법률에 맞게 보안 소프트웨어를 만들기 위해서는 웹브라우저를 국산용으로 직접 만들거나 아니면 해외 웹브라우저가 국내 법률에 맞도록 구조를 제공해주면 된다. 하지만 전자의 경우 이미 웹브라우저 시장을 꽉 잡고 있는 기존 웹브라우저들의 강세가 너무 심해서 어렵고 후자인 해외 웹브라우저가 국내 표준에 맞춰서 다시 만들어지는 것은 어려운 일이다. 그렇기 때문에 플러그인 방식을 어쩔 수 없이 가져가야 한다. 하지만 사용환경이 다양해졌기 때문에 ActiveX처럼 싱글 플랫폼, 싱글 웹브라우저 방식이 아닌 멀티 플랫폼, 멀티 웹브라우저 방식을 가져가야 한다.
아직까지 웹기술들 중에서 멀티 플랫폼, 멀티 웹브라우저를 한번에 지원하는 기술은 없다. 이유인즉, 보안 소프트웨어의 경우 시스템 자원을 사용해야 하는 경우가 많은데 자바 스크립트나 제이쿼리(jQuary)와 같은 기술은 시스템 자원을 사용할 수 없기 때문이다. 플래시를 사용하는 경우도 있지만 플래시 역시 플러그인 방식이며 점점 사양화 되어가고 있는 기술이다. ActiveX도 사양화 되어가고 있는 기술임은 분명하지만 MS에서는 인터넷 익스플로러에 대한 개발을 끊지 않는 이상 아마도 데스크탑 부분에 대해서는 쭉 유지될 가능성이 크다. 그렇기 때문에 다양한 플랫폼과 웹브라우저에 맞게 플러그인을 개발해야 한다.
현재 보안 업계는 인터넷 익스플로러용인 ActiveX 뿐만이 아니라 파어어폭스용 플러그인, 구글 크롬용 익스텐션(확장모듈) 등 가장 많이 사용하는 웹브라우저 3종에 대한 보안 플러그인을 모두 만들어서 제공하고 있다. 그렇기 때문에 일부 인터넷 뱅킹 서비스는 인터넷 익스플로러가 아닌 파이어폭스나 크롬에서도 공인인증서를 사용할 수 있다(아마도 최근에 해당 서비스가 업그레이드 되었을 것이다). 그리고 내부적으로는 HTML5를 이용한 방식을 계속 시도하고 있다. 아직 HTML5가 정확한 표준이 잡혀져있지 않고 웹브라우저마다 HTML5 지원이 제각기 다른 상황이기 때문에 이 방식이 전면에 나오기까지는 시간이 더 걸릴 것으로 예상이 된다.
멀티 플랫폼을 위해서는 인터넷 뱅킹 전용 어플리케이션도 하나의 방법처럼 여겨지고 있다. 맥북프로나 맥북에어, 아이맥과 같은 Mac OS X를 사용하는 맥 제품에서 인터넷 뱅킹을 하기 위해서 신한은행의 경우 맥 전용 인터넷 뱅킹 어플리케이션을 개발해서 배포하고 있다. 웹브라우저 형식이 아니기 때문에 다양한 보안 방법을 적용할 수 있다는 장점이 있다. 다만 어디서든지 사용할 수 있다는 웹의 장점을 버렸기 때문에 범용성에서 약간의 불편함은 있다(하지만 맥용 제품이기 때문에 범용성을 크게 따질거 같지는 않다).
공인인증서의 경우 공인인증제도 자체가 바뀌지 않으면 아마도 폐기되기가 어려울 것이다. 하지만 국제 표준이 아닌 국내 표준이기 때문에 이 기술을 수출한다던지 하는 것은 현재로서는 요원한 일임은 분명하다. 그렇다면 공인인증서를 대체할 수 있는 인증 기술을 찾아서 대중화한 후 공인인증서를 대체하는 것이 무엇보다 중요하다.
해외에서는 이메일 인증을 많이 사용하고 있다. 본인 인증을 할 때 등록했던 이메일로 인증코드를 전달하고 그 코드를 인증에 사용하는 것이다. 하지만 국내의 경우 가짜 이메일 주소를 많이 사용하는 경우가 많고 메일 자체가 스팸으로 분류되는 경우도 있기 때문에 잘 사용하지 않는다. 그래서 국내에서는 주로 SMS 인증을 많이 사용한다. 인증할 때 전화번호를 입력해서 문자로 인증코드를 전달해서 그 코드를 입력하는 방식이다. 국내에서는 이 SMS 인증을 ID, 패스워드 인증 이후에 2차 인증 방식으로 많이 사용한다. 본인 명의의 휴대폰이어야만 가능하다는 점이 본인 인증을 더 신뢰할 수 있게 만들어준다는 장점이 있다. 그리고 은행에서 많이 사용하는 방식으로 OTP 방식이 있다. OTP 단말기를 이용해서 1회용 패스워드를 제공해서 인증 때 사용하는 것이다. OTP 단말기를 사용하던지 스마트폰이 있으면 OTP 어플리케이션을 이용하기도 한다. 일단 가장 많이 사용하는 본인 인증 방식으로는 메일 인증, SMS 인증, OTP 인증 등 3가지가 있다.
문제는 이 인증 방식이 공인인증서를 대체하기 위해서는 공신력을 지녀야 한다는 것이다. 공인인증서는 국가에서 인정한 공인인증기관을 통해서 허가된 사업자에 의해 발급을 받는다. 하지만 위에서 언급한 3가지 인증 방식은 아직 공신력을 가질 수 있는 무엇인가가 부족한 것이 사실이다. 현재 보안업계에서는 위의 3가지 인증 방식과 함께 다른 인증 방식을 같이 개발하고 있으며 공신력을 지닐 수 있는 방법도 같이 강구하고 있는 중이다. 하지만 일단 보편화가 먼저 진행된 이후에 공신력을 지닐 수 있는 방법을 찾는 것도 나쁘지는 않은 듯 싶다. 즉, 위의 3가지 인증 방식의 보편화가 우선이라는 얘기다. 아직 위에서 언급한 3가지 인증방식은 확실한 공신력을 갖추지 못했을 뿐만이 아니라 보편화도 제대로 이뤄지지 않은 상태다(SMS 인증이 그나마 많이 사용되고 있다). 일단 보편화가 먼저 진행된 후에 공신력을 지닐 수 있다면 공인인증서를 완벽히 대체할 수는 없어도 어느정도 대안으로 작용할 수 있지 않을까 생각해본다.
이미 사회 전반에 시스템화 되어있는 각종 보안 서비스들의 방식을 한꺼번에 바꾸기는 어렵다. 아무리 ActiveX를 없애야 한다고 말하며 공인인증서를 바꿔야 한다고 말하고 있지만 수년간 사용하면서 굳혀진 제도를 한꺼번에 바꾸는 것은 무리다. 이미 보안 업계쪽에서도 이런 문제점을 인식하고 합리적으로 대응방안을 찾아서 제시해주고 있는 만큼 관심을 갖고 기다려보는 것이 좋지 않을까 생각을 해본다.
본 포스트는 kocca 콘텐츠산업정보포탈의 콘텐츠갤러리에 기고한 글로 기고된 글은 [여기]에서 보실 수 있습니다.
반응형댓글