공인인증서
-
Windows XP 기술 지원 종료 이슈보다 더 크게 다가올 수 있는 인터넷 보안 통신 구멍이 될 가능성이 높은 OpenSSL 버그(HeartBleed 버그)Security 2014. 4. 10. 16:02
음.. OpenSSL TLS HeartBeat Read Overrun 버그가 발견되었다고 한다. 이 내용에 대해서는 먼저 [여기]서 내용을 확인했고 정리를 했다. 내용을 간단히 정리하면 TLS HeartBeat Extension(확장모듈)이 입력값에 대한 제한(경계, Boundary)이 없어서 서버로부터 64kb씩 메모리 내용을 계속 읽어올 수 있다는 것이다. 즉, 서버의 메모리 내용을 읽어올 수 있다는 얘기인데 이게 왜 문제가 되는가 하면 서버의 메모리를 계속 읽다 보면 서버에 저장된 암/복호화 키도 같이 노출될 수 있다는데 그 문제가 있다는 얘기다. 그런데 이게 왜 문제가 될까? 왜 MS의 Windows XP 기술 지원 종료 이슈보다 더 문제가 될 수 있다고 했을까? 국내의 경우에는 인터넷 뱅킹이나 ..
-
논쟁의 중심으로 떠오른 공인인증제도. 보는 관점에 차이로 인해서 논쟁이 시작된 것이 아닐까?Security 2013. 7. 8. 15:26
페이스북 그룹 중 '한국IT인 연합회'라는 그룹이 있다. 여기에 가입해서 정보들을 서로 공유하고 있는데 최근에 공인인증서 관련 논란이 벌어졌다. 찬성쪽과 반대쪽이 이런저런 이야기를 하면서 논쟁을 벌였는데 뭐 페이스북의 특성 상 서로 고성이 오가는 그런 싸움은 없었고(적어도 실명이 보장되는 상황이라 여차하면 칼부림 날 수 있는 논쟁꺼리였는데 신사적으로 잘 이야기가 오가는 듯 싶었음) 나름 더 괜찮은 정보를 얻을 수 있었다는 생각이 든다. 아래의 글은 공인인증서 폐지에 대한 논란(원래 오픈넷에서 요구했던 것은 공인인증서의 폐지였다고 들었다. 내가 느낀 부분도 그랬고. 그러다가 중간에 공인인증서에서 공인이라는 자격을 빼자는 쪽으로 바꿨는데 결국 결과적으로는 폐지하는 것과 별반 다를 것이 없는 상황이다)에 대해..
-
인터넷 보안에 대한 영원한 숙제. ActiveX와 공인인증서를 대체할 수 있는 방법은 없는 것일까?Security 2013. 1. 14. 07:58
이미 대선은 끝났지만 대선 기간 중에 몇몇 대선후보가 내세웠던 IT 공약들 중에 ActiveX 줄이기와 공인인증제도 폐지가 있었다. 이 공약이 나오기까지에는 사용자들의 불편함이 그 배경으로 깔려있는데 간단히 정리하면 다음과 같다. 공인인증제도에서 사용하고 있는 공인인증서는 국제 표준처럼 사용하고 있는 SSL 방식이 아닌 국내에서만 사용할 수 있는 방식으로 인터넷 익스플로러나 파이어폭스, 크롬과 같은 웹브라우저에서 지정하고 있는 서버 인증서 저장 공간이 아닌 별도의 공인인증서 저장 공간을 사용하고 있으며 암호화 방식도 SSL에서 사용하고 있는 AES 방식이 아닌 국내 암호화 알고리즘(SEED, 혹은 ARIA 등)을 이용하는 등 오로지 국내에서만 사용할 수 있는 국내 표준방식이다. 그렇기 때문에 해외에서 만..
-
ActiveX와 공인인증서! 그 역사적(?)인 배경과 앞으로의 대응 방법은?Security 2012. 12. 24. 08:00
최근 대선주자들의 IT 정책들 중에서 이런저런 정책들이 많이 나오고 있는데 그 중에서 눈에 띄는 정책이 있어서 좀 얘기를 해볼까 한다. 대통령 후보에서 사퇴한 안철수 박사는 IT 정책 공약으로 ActiveX 폐기(?)와 공인인증서 제도 폐지를 꺼냈다. 그리고 문재인, 안철수 단일화 이후에 이 정책은 고스란히 문재인 민주당 후보의 IT 공약으로 넘어가게 된다. 즉, 문재인이 대통령에 당선되면 현재 개인인증방법으로 쓰이고 있는 공인인증서 제도와 그동안 이래저래 말이 많았던 ActiveX는 내년부터 5년 안에 사라지게 될 상황에 놓인 것이다. 박근혜 새누리당 대통령 후보가 당선이 되었으므로 아마도 공인인증서와 ActiveX는 계속 살아남지 않을까 생각이 된다. 하지만 지금과는 분명히 다를테니 그런 것을 생각하..
-
공인인증서와 ActiveX, 왜 지금까지 이렇게 이어져 왔을까?Security 2012. 12. 20. 07:34
최근 IT업계의 화두는 공인인증서, 그리고 ActiveX가 아닐까 싶다. 대선기간 중에 대선후보들이 공인인증서 폐지와 ActiveX 축소를 공약으로 내세웠던 것이 이 이슈를 수면위로 떠오르게 만들었지만 실제로는 그 전부터 공인인증서에 대한 사용자들의 불만, 그리고 ActiveX에 대한 불편함과 웹표준, 웹호환성에 대한 문제제기가 계속 있어온 것이 사실이다. 웹표준이 트랜드가 되고 모바일 환경이 점점 사용자들의 메인 환경이 되어가고 있는 요즘 어떻게 보면 시대에 뒤떨어진 구시대 산물처럼 보이는 공인인증서와 ActiveX가 왜 지금까지 지속되어 온 것일까? 간략하게 살펴볼까 한다. 인터넷 뱅킹이나 쇼핑몰 사이트를 돌아다니다보면 수많은 ActiveX 모듈을 설치하게 된다. 잘 살펴보면 대부분이 보안 관련 모듈..
-
점점 그 용도와 영역이 줄어들고 있는 USB 메모리. 이대로 역사의 뒷편으로 사라지게 될련지...Mobile topics 2012. 1. 9. 08:30
어느날 집에서 여기저기 돌아다니는 USB 메모리들을 한곳에 모아봤다. 일단 모아본 USB 메모리는 4개. 원래는 6개인데 1개는 동영상을 잔뜩 담아서 차에 달려있는 네비게이션에 꽂아두고 운전하면서 딸이 심심할 때마다 보여주는 용도로 쓰고 있다(참고로 그 USB 메모리에는 뽀로로의 1기부터 3기까지의 모든 동영상과 뽀로로 극장판, 그리고 꼬마버스 타요 동영상이 들어있다 -.-). 또 나머지 1개도 차에 있는데 MP3를 잔뜩 담아두고 음악 감상용으로 사용하고 있다. 여하튼간에 6개중에 4개가 모여있어서 한데 모아봤다. 막상 저렇게 다 모아두고 보니 꽤 돌아다니는 것들이 많구나 하는 생각이 들었다. 용량은 2GB, 4GB, 8GB, 16GB까지 다양하다. 글고보니 돈주고 산 것은 없고 다 사은품으로 받은 것들..
-
스마트폰의 확대로 각 기업, 개인 모바일 보안 중요Security 2010. 7. 26. 08:30
모바일 시장이 변화하고 있다. 과거 피쳐 폰을 중심으로 형성되던 모바일 시장이 스마트폰을 중심으로 재편되고 있는 것이다. 스마트폰이 과거에 없었던 것은 아니다. 삼성전자, HP 등을 중심으로 PDA 폰이라 불리는 스마트폰이 존재하고 있었으나 일부 매니아들, 혹은 일부 사람들을 중심으로만 사용하고 있어서 그 점유율이나 사용량이 모바일 시장에서 매우 미약했다. 하지만 재작년에 출시한 T*옴니아가 모바일 시장에 스마트폰 바람을 일으킬 준비를 하게 만들었고 작년 12월에 국내에 드디어 출시한 애플의 아이폰으로 인해 스마트폰은 이제 바람에서 태풍으로, 그리고 지금은 대세로 굳혀지고 있는 상황이다. 아이폰의 출시로 인해 올해 안드로이드를 탑재한 구글 폰들이 대거 출시되었고 또 출시를 준비하고 있는 상황이다. 스마트..
-
스마트폰 소액결제의 공인인증서 방식 폐지가 마냥 좋기만 한 것인가?Security 2010. 4. 7. 08:30
(아래의 글은 내 개인적인 소견을 썼을 뿐 다른 의미는 없다. 아무래도 오해하는 사람들이 있어서 미리 그 부분을 밝혀주는 바이다.) 부제 : 보안을 빌미로 자신의 기득권을 지키려고만 하는 현 보안업체들 최근 스마트폰을 이용한 결제에 대해서 이런저런 이야기들이 많이 오가고 있는 듯 싶다. 공인인증서 방식을 고집하는 현 정부와 보안업체들, 그리고 공인인증서 방식 폐기를 주장하는 이용자들이 팽팽히 대립하고 있는 상황이다. ActiveX를 기반으로 하는 공인인증서 방식은 한국을 윈도 종속적에 IE 종속적으로 만들었고 결국 그것이 한국 IT의 발전에 발목을 잡는 결과로 이어졌다고 많은 사람들은 얘기하고 있다. 그리고 이러한 방식이 모바일, 특히 스마트폰에까지 도입되면 한국의 모바일 시장의 퇴보는 눈으로 확인하지 ..
-
세계적인 추세를 역행하는 정부의 아이핀 정책Security 2008. 11. 13. 14:28
정부의 주민등록번호 대체수단인 아이핀(i-Pin)이 웹표준을 지키지 못하고 있다는 논란이 마구 일어나고 있다. 아이핀을 인증하는 모듈이 MS의 IE 기반에서만 돌아가는 것이 문제가 되는 것이다. 이유는 아이핀에서 사용하고 있는 각종 보안모듈이 모두 ActiveX 기반으로 만들어졌기 때문이라는데. 왜 정부 등의 공공기관에서 하는 대부분의 사업에 있어서 MS 종속성을 못피해나가는 것일까? 주민번호 대체수단인 아이핀에서 필요한 모듈은 인증모듈과 키보드 보안모듈이라고 한다. 현재 이들 모듈들은 모두 대부분이 ActiveX 기반으로 만들어져있는 상태. 정부 입장에서는 해킹등의 문제가 매우 크기때문에 철저한 보안모듈이 없으면 아이핀을 제공할 수 없다는 것이다. 그로인해 이미 상용화되어있는 보안모듈에서 찾고자 하다보..