[디지털데일리 이민형기자] W3C 표준 웹크립토(Web Crypto) 애플리케이션 프로그래밍 인터페이스(API)를 사용해 공인인증서를 웹브라우저에 저장하는 형태의 전자서명 기술 개발이 추진된다.
염흥열 순천향대 교수는 14일 서울 팔레스호텔에서 열린 ‘정보보호포럼 조찬세미나’에서 웹크립토API를 사용해 공인인증서를 사용할 수 있도록 하는 프로젝트를 추진한다고 밝혔다.
이 자리에서 염 교수는 “웹크립토API에 포함된 암호화·복호화 방법(Method, 메소드)와 키 입출력 방법을 사용하면 특정 로컬폴더에 공인인증서를 저장하지 않아도 된다”며 “웹브라우저내 키저장소(Key Store)에 접근할 때도 암호를 입력하도록 설계할 수 있으며, 해당 웹브라우저에서 임의로 탈취한 키는 자동 폐기되는 형태로도 만들 수 있다”고 설명했다.
보안업계에서는 공인인증서가 로컬에 저장될 때 ‘NPKI’ 폴더에 저장되는 것을 개선해야 한다고 매번 지적해왔다. 임의의 폴더가 아닌 특정할 수 있는 폴더에 저장이 강제돼 있어 공인인증서 탈취가 더 수월해지기 때문이다.
당초 공인인증, 전자서명 업계에서 저장장소를 강제하지 않으려고 했으나, 금융회사나 솔루션 업체별 상이한 저장장소를 사용할 경우 호환성에 문제가 될 수 있어 현재의 형태가 된 것이다.
염 교수는 “최신 웹브라우저에는 키를 보관할 수 있는 저장공간이 있고, 이 역시도 암호화 등의 보호조치를 통해 안전하게 활용할 수 있다”고 말했다.
이 기술을 활용한 공인인증서 발급방식은 다음과 같다. 우선 웹크립토API를 통해 키(PKI)를 발급받은 뒤 해당 키를 웹브라우저의 키스토어에 저장한다. 공개키와 사용자 정보를 은행에 송신하면, 은행은 그 정보를 공인인증기관에 넘겨준다.
최종적으로 공인인증기관은 은행에서 넘겨받은 정보를 검증한 뒤 키(공인인증서)를 사용자 웹브라우저 키저장소에 보내주게 된다.
공인인증서를 사용할때는 사용자와 은행간 트랜젝션이 발생하는 사이에 웹브라우저 키저장소에 있는 키(공인인증서)를 호출하고, 그 키를 공인인증기관에 전송해 검증작업을 거친다. 인가가 완료된 키는 다시 은행에 전송되고 정상적인 거래로 이어질 수 있다.
이와 관련 염교수는 “이와 같은 방식에도 불구하고 여전히 발생할 수 있는 보안문제는 존재한다. 하지만 최악의 상황만은 가정해 비판만 한다면 새로운 기술은 등장할 수 없다”고 강조했다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
[OTT레이더] 협박전화 한 통에…넷플릭스·웨이브 '지금 거신 전화는'
2024-11-24 13:04:04주파수 재할당대가, 정부가 부르는게 값? “산정방식 검토 필요”
2024-11-22 18:23:52유료방송 시장, 역성장 지속…케이블TV 사업자 중 SKB 유일 성장
2024-11-22 13:28:49[디즈니 쇼케이스] 판타스틱4, MCU 합류…미소 짓는 케빈 파이기
2024-11-22 12:56:31LGU+, 기업가치 제고 계획 발표…"AX 컴퍼니 구조 전환 가속화"
2024-11-22 10:18:34“놀러 가고 싶지만 흔한 곳 싫어”…벌써 160만 다녀간 네이버 서비스
2024-11-24 13:05:06드림어스컴퍼니, 자본준비금 감액해 이익잉여금 500억원 전입
2024-11-22 14:57:25야놀자·인터파크트리플, 12월 ‘놀 유니버스’로 법인 통합
2024-11-22 14:57:10