공인인증서
-
공인인증서의 우월적 지위 폐지로 인해 변해갈 본인 인증 방식의 변화에 대해서Security 2018. 2. 9. 09:43
며칠이 된 뉴스이기는 하지만 보안 분야를 지속적으로 해오고 있는 내 입장에서 매우 흥미로운 뉴스가 나왔다. 1월 24일에 정부에서 공인인증서의 공인이라는 우월적 지위를 폐지하겠다는 뉴스가 바로 그 주인공이다. 공인인증서의 폐지나 다름없다는 평가가 나오고 있는데 이유인 즉 그동안 공인인증서가 정부, 공공기관 및 금융기관 서비스를 이용하는데 있어서 거의 유일무이한 인증수단으로 이용되고 있었으며 그 근거가 전자서명법으로 법적인 근거가 있다보니, 그리고 그 법에서 허용하는 보안성을 충족(?)하는 다른 인증 방법이 나오지 못하다보니 공인인증서는 그 우월적 지위를 이용하여 한국 인터넷 시장의 인증 시장에서 가지는 파워는 절대적이었는데 그 우월적 지위가 없어지면 사람들이 공인인증서 사용을 (불편함 등을 이유로) 거부..
-
애증의 공인인증서의 변화. 본질은 그대로, 하지만 사용성은 진화한다!Security 2017. 11. 8. 22:23
공인인증서에 대해서는 이것저것 할 얘기가 많은 것이 사실이다. 이전에 있었던 직장이 공인인증서를 핸들링하는 모듈을 만들던 회사이기도 했고 공인인증서의 태생부터 시작하여 시장에 어떻게 정착되어 왔는지, 또 어떻게 사용되어왔고 금융권 등은 또 어떻게 이것을 이용해왔는지를 직접 봐왔던 입장에서 공인인증서는 어떻게 보면 애증의 관계에 있는 전처(?)의 느낌이 드는 녀석임은 분명하다. 공인인증서 사용 방식의 진화 이런 공인인증서에 대해서 재미난 뉴스가 하나 보여서 좀 읽어봤다. 보안성과 편의성을 강화한 공인인증서 관리 및 사용 방식의 변화에 대한 뉴스다. 사람들이 공인인증서를 왜 불편해했는가를 생각하면 이런 변화는 무척이나 환영할만한 상황이다. 뉴스의 내용은 공인인증서를 신뢰할 수 있는 매체, 혹은 공간에 저장을..
-
ActiveX 방식과 그 대안 방식인 EXE 방식의 문제점에 대한 고찰Security 2017. 7. 12. 07:30
현 정부가 들어서기 전에 문재인 대통령이 후보 시절에 대선 공약으로 공공웹서비스에서 공인인증서와 ActiveX를 없애는 방향으로 나가겠다는 내용을 발표했던 적이 있다. 물론 어떻게 없애겠다는 구체적인 내용은 나오지 않았지만 그 공약만으로 많은 사람들이 만세를 외친 것 같았다(뭐 내 주변에서도 그러니). 그리고 최근에 공공웹사이트에서 ActiveX의 대체 기술로 EXE 방식을 일단은 이용하겠다는 뉴스가 나왔다. ActiveX란? 일단 공인인증서와 ActiveX를 동일하게 생각하는 잘못된 생각은 버리고.. ActiveX에 대해서 먼저 알아야 할 부분이 ActiveX는 웹브라우저를 플랫폼으로 구동하는 어플리케이션이라고 보면 된다. 원래는 ActiveX는 인터넷 익스플로러(IE)라는 MS에서 윈도 OS 기반으로..
-
ActiveX 프레임으로 고통받은 인터넷뱅킹과 공공기관 서비스. 전용 프로그램을 통해 그 불편함을 좀 덜어보면 어떨까?Security 2017. 3. 28. 07:30
예전에 이 블로그를 통해 공인인증서와 ActiveX에 대한 내 생각을 좀 정리를 해봤다. 내 기본적인 생각은 공인인증제도와 ActiveX 이슈는 분리시켜야 한다는 것이고 ActiveX는 이제는 좀 '안녕~'을 외치는 것이 맞지만 공인인증제도는 지금의 불완전한 부분을 보완하고 사용 강제 범위를 줄이고 대안 방법을 제시하여 다양한 인증 방법을 제시하는 것이 맞다고 본다. 그 내용을 해당 글에도 적었고 디지에코의 보고서로도 쓰기도 했다. 대한민국의 계약 관행, 정책, 절차 등이 획기적으로 바뀌지 않는 한 공인인증제도의 완전 폐지는 어려울 것이라는 것이 내 생각이다. 그러다보니 이래저래 ActiveX와 연계해서 공인인증제도의 폐지 얘기가 나오기도 하지만 차라리 그것보다는 다른 방법으로 ActiveX로 인해 불편..
-
불편한 공인인증서와 ActiveX, 완전 폐지는 어려울 듯 싶고 보완할 수 있는 방법은?Security 2017. 3. 14. 19:00
아래의 글은 디지에코에 보냈던 공인인증서와 ActiveX의 보완 방법에 대한 글이다. 디지에코는 가입을 해야만 글을 볼 수 있기 때문에 공유 차원에서 이 블로그에 내용을 공개한다. 실제 디지에코에 등재된 보고서는 이 글보다는 조금 더 정리가 되었다. 이 글은 초기 원고이기에 좀 거친(?) 부분이 있음을 미리 알려드리니 감안하고 보시길 바란다. 3월 초에 들어 국내 ICT 업계에서 가장 화두가 되는 것은 인공지능, 커넥티드 자동차, 자율주행 자동차, 가상현실 등과 같이 CES 2017이나 MWC 2017에서 나왔던 기술이 아닐 것이다. 2017년 3월 2일에 더불어민주당의 유력 대선후보인 문재인 전 대표가 대선 공약으로 공인인증서와 ActiveX를 완전히 폐지하겠다고 얘기한 사건일 것이다. 지난 십 수년간..
-
해외에서는 순풍으로, 국내에서는 이제 본격적으로 열풍으로 오게 될 핀테크 바람Mobile topics 2015. 4. 17. 09:29
최근 핀테크(FinTech)라는 단어가 한국 IT 세계를 휘감고 있는거 같다. IT 세계 뿐만이 아니라 금융권 관련 산업에서도 핀테크에 대한 열기가 뜨겁다. 해외의 간편한 금융 관련 서비스가 국내에 소개되고 또 알리페이나 페이팔과 같은 해외 핀테크 관련 서비스들이 국내에 조금씩 적용되면서 핀테크에 대한 사람들의 관심이 높아지고 있으며 그에 관련하여 관계있는 산업의 움직임도 조금씩 보이고 있는 것이 사실이다. 하지만 국내의 핀테크 산업은 해외에 비해 많은 부분에서 뒤쳐져 있는 것이 사실이고 최근에야 관련 법규, 규제들이 풀리기 시작하면서 제대로 된 핀테크를 해보자는 분위기가 일어나고 있는 중이다. 핀테크의 종류는 상당히 여러가지다. 애시당초 핀테크의 의미가 금융(Financial) 기술(Technology..
-
오로지 ActiveX 방식만을 피하기 위해서 나온 Non-ActiveX 방식이라 불리는 방식. 과연 이게 맞는 방향일까?Security 2015. 2. 16. 11:18
최근은 아니지만 몇달전 천송이코드 관련 사건(?)으로 인해 다시 한번 ActiveX를 비롯한 관련 솔루션들이 재조명(?)을 받은 적이 있다. 뭐 좋은 쪽으로 재조명을 받은 것은 아니고 불편하고 비합리적이고 안전적이지도 않다는 부분에서 말이다. 이미 업계 안에서는 이런 부분이 어쩔 수 없는 상황으로 인해 야기된 것이라고 얘기하고 있지만 사용자들은 그런 변명(?)을 들을 생각을 하지 않는다. 뭐 이건 국가의 수반인 수첩공주께서도 마찬가지일테고 말이지. 결국 ActiveX 퇴출 운동의 정점을 찍으라는 지시에 이번에는 제대로 보안 관련 체계가 잡히려나 싶어서 어느정도 기대는 했는데 나온 방안이라고 하는 것이 너무 골때려서 말이지. ActiveX 방식의 문제점은? 최근 보안 솔루션 업체들을 비롯해서 이들 솔루션을..
-
국내의 금융 보안 기술과 해외의 금융 보안 기술의 차이. 핀테크를 위한 길은?Security 2014. 12. 29. 08:00
요즘 금융 시장과 IT 시장에 떠오르고 있는 단어가 하나 있습니다. 핀테크(FinTech)라는 단어입니다. 금융을 의미하는 파이넨셜(Financial)과 기술을 의미하는 테크놀로지(Technology)를 결합한 단어로 직역하자면 금융기술이고 금융서비스에 IT 기술을 더해서 사용자가 편하게 금융관련 서비스를 받도록 하자는 것이 핀테크의 의미라고 생각이 됩니다. 핀테크의 원래 의미가 금융서비스에 IT 기술을 더한 것이라고 한다면 이미 한국은 핀테크를 충분히 경험하고 있습니다. 인터넷뱅킹, 인터넷쇼핑 등의 서비스가 핀테크의 대표적인 케이스이기 때문입니다. 전세계 어느 나라를 봐도 우리나라의 은행처럼 실시간 뱅킹이 되거나 쇼핑이 되는 경우는 많지 않습니다. 서비스 자체만 따져봤을 때에는 국내 기술은 세계 최고라..
-
안전불감증과 사용자 부주의를 유발하는 대한민국 법 체계에서 안전하게 인터넷 서비스를 사용하기 위해서는?Security 2014. 10. 2. 11:30
보안에 관련된 일을 하면서, 그리고 인터넷 등에서 보안이 적용된 서비스를 사용하는데 있어서의 불편함, 짜증남의 이야기를 보면서 이런저런 생각이 많이 나는 것이 사실이다. 업계 관계자의 입장에서 보는 시각도 있고 사용자 입장에서 보는 시각도 있고 또 정부 관계자 입장에서 보는 시각도 있다. 나 역시 보안 솔루션을 제공해주는 업체의 관계자임과 동시에 그 서비스를 이용하는 사용자이기 때문에 2가지의 시선이 혼재하고 있다는 생각이 든다. 최근(글쓴 날짜를 기준으로 하면 오늘 아침)에 있었던 일을 정리하면서 보안 적용, 넓게 봐서 서비스가 제공하는 그 무엇인가(보안 앱 설치가 될 수도 있고 또 서비스를 원활하게 잘 사용하기 위한 서드파티 앱일 수도 있다)에 대해서 어떻게 생각해야 할지를 나름대로 정리해볼까 한다...
-
공인인증서 강제 의무 폐지, 공인인증서의 의미와 그 이후에 대해서...Security 2014. 6. 15. 09:00
아래 글은 공인인증서 강제 의무가 폐지된 이후에 다른 곳에 기고하기 위해 적은 글인데 기고 자체가 무산되어서 그냥 지우기도 아깝고 해서 공개하는 글임. 그러니 시기와 관점에 차이가 있을 수 있다는 것을 미리 알려드리니 참고하길 바람. 최근 공인인증서에 대한 의무 탑재 폐지가 이뤄진 이후 다양한 인증 방식 및 결제 방식에 대한 이야기가 나오고 있고 또 논란도 뜨겁게 일고 있다. 오랫동안 한국 IT의 한 축으로 자리잡아왔던 공인인증서 시스템에 대한 전반적인 재점검 및 인증, 결제 수단의 다양화 확보가 필요하다는 얘기가 각계각층에서 나오고 있는 상황이다. 수년전부터 공인인증서의 폐지를 주장했던 오픈넷 진영과 공인인증서의 유지를 주장하고 있는 금융감독원 및 여러 업체, 기관들의 싸움도 이제는 슬슬 마무리가 되어..